Hallo brauche dringent Hilfe seit zwei Tagen ist mein Pc mit dem Virus BAT/ Fake.Privdanger befallen! Der hat versucht ein Programm aus dem Internet zu installieren und einige Links auf meinen Desktop kopiert. Desweiteren hat mein Antivier den Virus TR/Vundo.Gen und TR/Crypt.XPACK.Gen gefunden. Antivier sowie Spybot bekommen es nicht in den Griff ich bin absuluter Laie und weiß nichtmehr weiter??
Habe eine LogFile mit HijackThis erstellt weiß aber nicht wie ich die posten soll??

Guck mal da herein: http://www.trojaner-board.de/22771-a...log-files.html

Dann poste am Besten mal den HJT Log nach diesen Regeln.

Zitat:

Zitat von Stephan82

Hallo brauche dringent Hilfe seit zwei Tagen ist mein Pc mit dem Virus BAT/ Fake.Privdanger befallen! Der hat versucht ein Programm aus dem Internet zu installieren und einige Links auf meinen Desktop kopiert. Desweiteren hat mein Antivier den Virus TR/Vundo.Gen und TR/Crypt.XPACK.Gen gefunden. Antivier sowie Spybot bekommen es nicht in den Griff ich bin absuluter Laie und weiß nichtmehr weiter??
Habe eine LogFile mit HijackThis erstellt weiß aber nicht wie ich die posten soll??

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:44: VIRUS ALERT!, on 08.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
D:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\PnkBstrA.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
D:\Programme\PTBSync\PTBSync.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINNT\SOUNDMAN.EXE
D:\Programme\D-Tools\daemon.exe
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\USBMonit.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
X:\Programme\HP\HP Software Update\HPWuSchd2.exe
X:\Programme\ICQLite\ICQLite.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
X:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
D:\Programme\Radeon Omega Drivers\v2.6.83\ATI Tray Tools\atitray.exe
X:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\svchost.exe
X:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
X:\Programme\Pinnacle\Pinnacle PCTV\TeleText\WebServer.exe
D:\PROGRA~1\PINNAC~1\SHARED~1\Filter\server.exe
X:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\PROGRA~1\PINNAC~1\SHARED~1\Filter\VBI_SE~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
D:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - X:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {FE07740C-ED9E-4041-A4F6-565AE689A3E8} - C:\WINNT\system32\efcCsQGX.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: bgrqfetx - {5A1364E1-F41E-44F5-A015-4BF35B7FF55B} - C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\ac8zt2\bgrqfetx.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PTBSync] D:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Programme\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\USBMonit.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [HP Software Update] X:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ICQ Lite] "X:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programme\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCTVRemote] X:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [WinampAgent] X:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Programme\Radeon Omega Drivers\v2.6.83\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] x:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] X:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\RunOnce: [ICQ Lite] X:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [SpybotDeletingB6035] command /c del "C:\WINNT\system32\efcCsQGX.dll"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: WebServer.lnk = X:\Programme\Pinnacle\Pinnacle PCTV\TeleText\WebServer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = X:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - X:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - X:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - X:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - X:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - X:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - X:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C48FF0CB-B538-441B-B057-F5C67BC0288F}: NameServer = 192.168.2.1
O20 - Winlogon Notify: efcCsQGX - C:\WINNT\SYSTEM32\efcCsQGX.dll
O21 - SSODL: tfnslopk - {B0F3070A-A088-4ECC-9330-5FF2D8876772} - C:\WINNT\tfnslopk.dll (file missing)
O21 - SSODL: xokvrpwg - {547BD0EE-2099-4667-B8A4-7DE15AFF9072} - C:\WINNT\xokvrpwg.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINNT\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 9304 bytes

Das ist die Logfile sorry für meine Unkenntniss!

Zitat:

Zitat von Stephan82

O2 - BHO: (no name) - {FE07740C-ED9E-4041-A4F6-565AE689A3E8} -
O4 - HKCU\..\RunOnce: [SpybotDeletingB6035] command /c del "C:\WINNT\system32\efcCsQGX.dll"
O20 - Winlogon Notify: efcCsQGX - C:\WINNT\SYSTEM32\efcCsQGX.dll

Diese Sachen sehen mir nicht ganz koscher aus.

Dazu hast du ein paar Sachen drinne, wo die Files nicht mehr existieren.

Am Besten wartest du auf einen qualifizierten Helfer, da ich mich nicht so gut auskenne.

Hallo nochmal Problem besteht immernoch brauche Hilfe kennt sich jemand aus?
Mitlerweile hab ich keinen Internetzugang mehr Router nicht synchron kann das mit dem Virus zusammenhängen??
Werde morgen vormittag nochmals hier nachschauen!

Hallo

deaktiviere bitte den Hintergrundwächter (Guard) deines Antivirenprogramms und wende dann bitte mal Smitfraudfix an
SmitFraudFix
wechsel in den abgesicherten Modus (beim start F8 drücken) und lass Smitfraudfix mit der Option 2 dein System bereinigen.
Zurück im normalen Modus scanne dein System mit Malwarebytes aber bitte noch nix löschen.

MFG

SmitFraudFix v2.333

Scan done at 17:01:25,90, Sa 09.08.2008
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C48FF0CB-B538-441B-B057-F5C67BC0288F}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C48FF0CB-B538-441B-B057-F5C67BC0288F}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C48FF0CB-B538-441B-B057-F5C67BC0288F}: NameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Das war erstmal das Ergebnis von Smitfraud, dass andere Programm ist noch am Scannen poste ich sobald es fertig ist. Vielen Dank schon mal gibt schon erste Veränderungen kann wieder auf C: und D: zugreifen konnte ich zuvor nicht!
Ach ja Internet hab ich wieder war wohl ein Problem der T-Com!?

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.0.2195 Service Pack 4

18:14:37 09.08.2008
mbam-log-8-9-2008 (18-14-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|X:\|)
Durchsuchte Objekte: 85766
Laufzeit: 54 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINNT\eltb.exe (Trojan.FakeAlert) -> No action taken.
E:\Eigene Dateien\System\Nero 6\o-5yly3a\Keygen.exe (Trojan.Agent) -> No action taken.

Dateien hab ich noch nicht gelöscht das ist der aktuelle Stand!

Zitat:

E:\Eigene Dateien\System\Nero 6\o-5yly3a\Keygen.exe

(Fette Rotschrift durch mich)

*hust* Ich glaub, da wird einer Neuaufsetzen müssen.

Neuaufsetzen! Was hat das mit dem keygen.exe zu tun??
Ist das sicher oder gibt es noch hoffnung????

Hallo

Zitat:

*hust* Ich glaub, da wird einer Neuaufsetzen müssen.

würde ich auch empfehlen, wer weiß was wir noch finden, wenn wir zu buddeln anfangen.
Wer Keygens verwendet, darf sich aber auch nicht wirklich wundern...
(Nero6 nee nee) lesen --> Nero: Die beste Brenn-Konkurrenz - CHIP Online

MFG

Zudem noch, da die meisten Keygens Backdoor Server enthalten.
Und so ein Kollege ist noch unschöner wie sonst was.

Bitte hab noch eine Frage was mache ich mit den bei maleware gefundenen Dateien? Ich habe das System nicht installiert was hat es mit keygen.exe auf sich? Kann ich denn meine Daten wie Bilder, Musik, Videos und Textdateien brennen ohne den Virus ebenfalls zu brennen??
Wäre wirklich froh wenn ihr mir nochmals helfen könntet!
Soweit ich weiß ist das Nero auch son min. 1 Jahr auf dem Rechner kann also nichts mit dem Virus zu tun haben oder?

Hallo

sichern kannst alle Dateien, verzichte aber auf ausführbare und Dateien aus unsicheren Quellen (wie den Keygen).
Vor dem zurückspielen der Dateien mit einem aktuellem Antivirenprogramm die Sicherung prüfen.

Zitat:

was hat es mit keygen.exe auf sich?

Trojan.Agent kann einiges sein

Zitat:

Zudem noch, da die meisten Keygens Backdoor Server enthalten.

könnte sein und da hört der Spaß auf

MFG

Bezieht sich das "ausführende Dateien" auch auf avi also Video Dateien? Was genau ist ein Backdoor? Kann ich noch ins Internet gehen ohne Gefahr zu laufen?? Und zuletzt gibt es nicht doch noch ein Programm oder so was ich ausprobieren könnte mit deiner bzw. eurer Anleitung? Tut mir leid für die vielen Fragen bin aber gerade ziemlich hilflos und am Boden!!