Hallo.

Ich wollte meinen PC kurieren, da er beim Hochfahren immer so lange brauchte.
Ich besitze einen Pentium D Core Duo 2,8 GH 1GB Ram.
Mein Betriebssystem ist Windows XP Media Center Ed.2002 SP 2
Was noch zu sagen wäre, ich habe nicht viel Ahnung von Computern.

Jedenfalls begann ich mir den Autostart anzuschauen, welche Programme sich immer mit hochfahren, dafür habe ich mir noch den StartupManager runtergeladen und bei Unklarheit gegoogelt.
Um das ganze noch zu Perfektionieren und meinen PC richtig durchzuchecken lud ich mir Ad Aware und Spybot S&D.
Ich fuhr in den abgesicherten Modus, deaktivierte vorher die Systemwiederherstellung und fing an mit den o.g. Programmen und Avira AntiVir Personal zu scannen.

Es gab mehrere Funde von Cookies, Warnungen und eben leider auch einen Trojaner (von Antivir gefunden) : Bezeichnung : TR/Dldr.small.acza

Habe diesen sofort gelöscht.

Dann dachte ich, jetzt wird mein PC super schnell sein. Fehlanzeige!

Nach dieser ganzen Aktion kann ich von Glück reden, wenn sich mein PC beim zweiten Versuch hochfährt, was dann mind. 5 min. dauert.

Jetzt treten folgende unglaublich merkwürdige Erscheinungen/Fehler auf:

1. Kann erst beim zweiten Versuch den PC hochfahren (s.o.)- dann dauert
es aber sehr lange

2. Nach dem Start installiert sich immer eine Internetverknüpfung mit einem
Icon mit dem Titel "Casino" auf meinem Desktop. Diese lösche ich
jedesmal, aber nach jedem Neustart ist sie wieder da.

3. Wenn ich Google verwende, findet es zwar Suchergebnisse, aber wenn ich
diese anklicke, öffnen sich ein neuer Tab mit Werbeseiten von
Casinos,Handywerbeanbietern.. (immer unterschiedlich) statt des
gewünschten Suchergebnisses

4. Grundsätzlich kann ich mit beiden Browsern, sowohl IE und mit Firefox
KEINE Seiten von ANTIVIRENSOFTWARE mehr ÖFFNEN. Da kommt bei
Firefox,Seite kann nicht angezeigt werden und bei IE - diese Seite ist im
moment nicht verfügbar. Also weder Symantec, noch Panda, Kaspersky...
Dies fiel mir auf als ich einen OnlineScan noch zusätzlich durchführen
wollte.

Führe jetzt gerade den One Safety Scanner von Windows live aus, das einzige was funktionierte.

5. Seitenaufbau im Internet, dauert trotz DSL 6000 auf einmal total lange.
Habe das Gefühl jemand surft über meine Leitung mit und überwacht
sogar meinen PC und weiß das ich jetzt hier schreibe... unheimlich
irgendwie. Deshalb kann ich vielleicht auch nicht mehr auf Antivirenseiten
weil der nicht will das ich ihn entdecke (den Trojaner mit dem mich
vielleicht jmd. ausspioniert.)

Bitte helft mir, ich weiß nicht mehr was ich machen soll, mein PC war mal so gut und jetzt ist er ein Wrack : (

Das ist alles seit ich kein Norton mehr habe, weil mein Abo ausgelaufen war. Dann stieg ich auf Avira um und Schwupps - nur Probleme.

Das Virenprogramm findet jetzt keine Fehler mehr, aber irgendwas ist auf meinem PC oder wurde vom Trojaner zerstört.

Ich bin nun am Überlegen ob ich meine ganze Festplatte formatieren soll, aber bei meinem PC war Windows zwar drauf installiert, aber die CD war nicht mit dabei. Das heißt ich müsste mir extra ein Betriebssystem kaufen.

Ich würde mich über Antworten, Tips und so weiter freuen.
Vielen Dank im Voraus.

poste ein HijackThis Log und führe ein scan mit Malwarebytes durch.

Danke an erty!

Für dich AngryBlonde:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

ich habe aber die XP Media Center Edition 2005 - > keine Windows CD. SP 2.
Zur Auswahl für die Wiederherstellungskonsole stehen aber nur XP Home oder Professional..
was nun?
------
aber wenn ich meinen PC hochfahr, kann ich die Wied.konsole auswählen, muss ich die da trotzdem nochmal runterladen?

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

LOL?

Na dann nehmen wir eben SDFix:

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

sagt mal, ich bin ein bissl neugierig.. mir ist aufgefallen das ziemlich viele im Board die selben Probleme haben.
Was ist das für ein Trojaner, wo kommt der her? Und die meisten haben auch AVIRA - da kann das Programm doch nicht gut sein, wenn man da trotzdem haufen Viren und Trojaner bekommt?!

So und ich soll jetzt wirklich das andere Programm nehmen, weil ich nicht die Home Ed. oder Prof.Ed hab?
Najut, auf gehts.

Eins muss ich noch sagen, seit ich das Maleware zeug gemacht hab, lässt sich mein Rechner wieder problemlos hochfahren. Ich kann auch wieder auf Sicherheitsseiten von Antivirenfirmen gehen. Nur das INternet ist noch extreeeem langsam.
Ach und noch was, ich habe jetzt an meinem PC einen Aufkleber entdeckt wo mein XP Code drauf steht. Also fehlt mir sozusagen die CD aber den Registrierungsschlüssel habe ich.
Sollte ich XP also mal neu drauf machen wollen, kann ich dann einfach ne andere XP CD nehmen mit meinem Code? Aber das Problem wird wahrscheinlich sein, dass ich diese Media Center Edition hab, also brauch ich die CD oder? Aber die is vielleicht auch nich so teuer? Fragen über Fragen.
Sorry, bin etwas wissbegierig und geschwätzig. Bin ne Frau ; =)

So los gehts.

Dieses Hijack This lässt sich auch nicht öffnen (trendsecure.com) !! Wie soll ich das jetzt machen?

Mir sind auch noch 2 Probleme eingefallen. Beim IE sind die Symbole irgendwie verschoben und Grafiken werden nicht richtig angezeigt.

Und wenn ich Zip Dateien runterlade, und diese auf dem Desktop speichere , werden die auf dem Desktop auch nicht angezeigt. Hab ich da was falsch eingestellt?

Versuch es mit RSIT und poste log.txt und info.txt

es geht einfach nicht, ich kann die Seiten nicht öffnen, ich kann jegliche Anti-Viren Seiten nicht öffnen. auch nicht diesen RSIT. Da kommt immer Seite kann nicht angezeigt werden. Was soll ich nur machen? könntet ihr mir die exe per Mail schicken? Bitte !!!!

Code: Alles auswählenAufklappen

ATTFilter

   Logfile of HijackThis v1.99.1
Scan saved at 21:48:40, on 15.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
         

stell erstmal den teatimer und sdhelper im spybot ab.

ganz blöde Frage: wie mach ich das? Bin jetzt im Programm drin, weiß aber nich wie ich das ausschalte. Da gibts nichts mit Häkchen rausnehmen oder so.. oder soll ich das mit HijackThis rausnehmen, also Häkchen rein und fixen ??
------------------
ok, ich war nicht im erweiterten MOdus
hab jetzt die Häkchen rausgemacht

nein in spybot deaktivieren.

links unter werkzeuge den Tab Resident

hast du schon Malwarebytes upgedated und gescannt?

noch nicht.

mach ich jetzt. Ist denn in dem LogFile schon irgendwas auffällig?

Hier nochmal Dateien die unter Wiederherstellen bei Spybot stehen.. Registry Einträge. Nicht das ich was wichtiges gelöscht habe:

Microsoft Windows Sec. Center
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSCSVC\Start

Bearshare
class ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{.....}

interface
HKEY_CLASSES_ROOT\interface\{....}

type library
HKEY_CLASSES_ROOT\Typelib\{...}