Probleme mit MSN - Virus

Ekkez · 21.11.2008, 20:29

Hallo Liebe Leute,

Bin neu hier... und habe nen Problem, was nicht so schlimm ist, nur nervig ist.
Bissher habe ich jeden Virus ohne Fremde hilfe gelöscht bekommen, nur der hier
zersträubt mir meine nerven.

Folgendes:

Meine Freundin hat damals einen Link zugeschickt bekommen, wo sie über MSN
drauf geklickt hat. Dort öffnete sich eine HTML seite, mit einem Webcam fenster. Sie hat das sofort wieder geschlossen, aber ab dann kam das eigentl.
Problem.

Nun verschicke ich, oder meine Freundin (Kommt drauf an, wer gerade on ist) über meine Adresse folgende Links:

"haha http://msnvideo.ohost.de/?play=(DIE MAIL ADRESSE WOHIN ER DAS
SCHICKT)"

Und das 1000x... einige haben mich schon blockiert und mich am tel. gefragt
was ich für einen mist versende. So ein Link war das auch, wo meine Freundin drauf geklickt hat.

Meine bissherigen Versuche:

Als erstes habe ich AntiVir drüberlaufen lassen, dieser hat mir 6 Viren/Trojaner
angezeigt, die er auch gelöscht hat. Danach restart.

Das Problem war aber immer noch da.

Danach habe ich mir "Clean Virus MSN" heruntergeladen und drüberlaufen lassen, hat einen Virus entdeckt, den auch beseitigt. Dennoch kein Erfolg.

Ein Freund von mir, schickte mir dann: "Spybot - Search & Destroy"
Hab es installiert, geupdatet und gescannt: 41 Probleme behoben.

Problem ist aber immer noch da.

Danach habe ich Ad-Aware drüberlaufen lassen, war nur ein Problem, auch behoben (Zwischen drin immer ein restart gehabt!!!)

Als AdAware fertig war, und der restart erfolgte kam dennoch das Problem.
HiJackThis gescannt, und sachen rausgelöscht.

Dennoch kommt das problem.
Kann mir wer helfen?! Hatte jemand auch sowas schon? In Google finde ich auch rein garnichts

(Denke es hat am Doppelposting gelegen)
---
Hilft eine Systemwiederherstellung?

cad · 21.11.2008, 20:40

Frage: Hast Du die PNs tatsächlich gelesen?

Betriebssystem->fehlt
Pfadangaben-> fehlen
und wieder im falschen Unterforum gepostet

Vervollständige bitte den Beitrag, dann verschieb ich den Thread ins richtige Unterforum

Edit: Rechts oben nachsehen unter Private Nachrichten

21.11.2008, 21:23

Halte Mich Aus Diesen Thema Heraus

Entschuldigung Nochmal

Edit: Du brauchst Dich nicht raushalten, sondern solltest mit dem Support bitte solange warten, bis der TO es endlich schafft die NUBs einzuhalten

Ekkez · 21.11.2008, 22:25

Also editieren kann ich ja nicht mehr....

Mein Betriebsystem ist Windows XP SP 3.
Und welche Pfadangaben?! Ich weiß ja nichtmals wo er sich befindet, wenn ich
das wüsste wäre ich ja schon ein schritt weiter.

Er verschickt nur im MSN Chat die Links... welche genauen Pfadangaben
meint ihr? Und fehlermeldungen kommen ja auch nicht.

Nur diese Links

Zu den PMs, sry habe ich nicht gesehen... erst als du mich darauf aufmerksam gemacht hast, denke du kannst es verschieben, habs
nur hierein geschrieben, weil MSN zu Windows gehört....

Silent sharK · 21.11.2008, 22:36

Hallo,

erstell bitte ein HijackThis Logfile und stelle es hier rein.
Nebenbei arbeite noch das Tool ab:

MSNFix (by !aur3n7)

Downloade Dir das MSNFix.zip.
Entpacke MSNFix.zip in einen eigenen Ordner auf Deinen Desktop.
Mach einen Doppelklick auf die MSNFix.bat
- Stelle als Sprache G für Deutsch (German) ein.
- Klicke auf R (Search) für Suchen.
- Wenn eine Infektion gefunden wird, wirst du aufgefordert eine beliebige Taste zu drücken,
- damit die Reinigung beginnen kann.
Starte Deinen Rechner nach der Reinigung neu.
Ein Report Text mit dem Ergebnis befindet sich im gleichen Ordner wie die Batch-Datei (MSNFix.bat).
Poste bitte den Inhalt des Report Textes.

Ekkez · 21.11.2008, 22:46

Alles klar ich hab erst den MSNFix drüber laufen lassen, restart:

LOG DATEI:

Ich wusste nicht welche Datei, also habe ich beide geöffnet und hier veröffentlicht:

Temp Datei:

[C:\WINXP\system32\winchat.exe] CB080D824A3FD66C3C50C02A2DD79F13
[C:\WINXP\system32\winfxdocobj.exe] A251B726EED494F2FD9E5C6B1205BDB0
[C:\WINXP\system32\winhlp32.exe] DEC934E494851A6BB4D7772E758D6212
[C:\WINXP\system32\winlogon.exe] F09A527B422E25C478E38CAA0E44417A
[C:\WINXP\system32\winmine.exe] F1BC7CB0292D60E69E958019EF0E7E58
[C:\WINXP\system32\winmsd.exe] D5986C06F8F99F051BB41557943C9AED
[C:\WINXP\system32\winspool.exe] 0B4B94B78123E8035B84105BC024F9F8
[C:\WINXP\system32\winver.exe] 09345D5037F0B3C0046ABFB47D75B396

MD5:

winchat.exe
winfxdocobj.exe
winhlp32.exe
winlogon.exe
winmine.exe
winmsd.exe
winspool.exe
winver.exe

HiJackThis!:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45:25, on 21.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wuauclt.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Winamp\winampa.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\wuauclt.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Service] service.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://80.237.209.20/objects/NpFv415.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe

--
End of file - 9146 bytes

Ich hoffe ihr könnt daraus iwas herausfinden... danke für die Hilfe

Silent sharK · 21.11.2008, 22:50

Sieht schlecht aus:

Zitat:

O4 - HKLM\..\Run: [Windows Service] service.exe

Das ist der IRC-Bot der sich über MSN verbreitet.
Ich würde eine Neuinstallation in Betracht ziehen, an deiner Stelle..

Ekkez · 21.11.2008, 22:52

naja die service.exe habe ich aber immer schon gehabt.
Kann ich einen wiederherstellungspunkt benutzen? Habe damals als ich neu installiert habe, den direkt gesetzt, ne woche später kam der fehler erst. Habe gelesen das die service.exe nicht schlimm ist, solange sie unter system32 aktiv ist, nur sobald sie in einem Unterordner
wie drivers ist, sollte man neuinstallieren. Das habe ich aber gerade gecheckt, oder was hat sich mit der service.exe aufssich?

Silent sharK · 21.11.2008, 22:55

Ja, die services.exe im %SysDir%-Ordner ist auch legitim.
Aber das ist eine service.exe im %WinDir%-Ordner. Und das ist der "MSN-Virus" wie du so schön sagst. Schau doch mal, ob du im WINDOWS-Ordner eine admintxt.txt findest.

Btw. die Systemwiederherstellung kannst du vergessen, das bringt nichts.

Ekkez · 21.11.2008, 23:03

Also, ich habe manuell gesucht und über die suche....
eine admintxt.txt finde ich/er nirgendswo...

Heißt das was?

Silent sharK · 21.11.2008, 23:05

Normalerweise wird die admintxt.txt automatisch vom Bot erstellt und enthält gespeicherte Informationen über deinen Rechner, Passwörter etc.

Mach bitte mal das:

MD5 Überprüfung:

Öffne erneut HijackThis
Gehe auf die Option Open the Misc tool section
Scrolle runter bis Advanced Settings
Setze einen Haken bei Calculate MD5 of files if possible
Lasse HijackThis erneut ein Logfile erstellen und poste es hier

Ekkez · 21.11.2008, 23:08

Ok, habe ich gemacht....

LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:07:36, on 22.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Winamp\winampa.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\wuauclt.exe
C:\WINXP\System32\svchost.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (filesize 1266992 bytes, MD5 945FEFD0146F5870765F4FF8477BBD3D)
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll (filesize 75272 bytes, MD5 6BA2CD421D1FE739C461706EFBD25754)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL (filesize 2210608 bytes, MD5 786DD1892B553EFE5A004AC39775C851)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (filesize 509328 bytes, MD5 F921D875A1CBD69A6A462BA2514BC831)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (filesize 401968 bytes, MD5 E393F5B7D090DF8370452916FFE92F9A)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll (filesize 863688 bytes, MD5 FED6ACFA88DB3A32A5F6DE99FB634EBB)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (filesize 958712 bytes, MD5 96F76412720D0E9AD005CBD6201F688D)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (filesize 1266992 bytes, MD5 945FEFD0146F5870765F4FF8477BBD3D)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup (filesize 33792 bytes, MD5 F6B34CD47CAF6D68106B9F8055F35C50)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install (filesize 1630208 bytes, MD5 D76B1D340C6C8F5A676DC717919B319A)
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit (filesize 33792 bytes, MD5 F6B34CD47CAF6D68106B9F8055F35C50)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE (filesize 16132608 bytes, MD5 FD38AEEB62D48A88786309063E9DF7BB)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE (filesize 69632 bytes, MD5 8B4CBBA1EA526830C7F97E7822E2493A)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min (filesize 266497 bytes, MD5 6E812818306D460D62B4ABEA9FDC6679)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" (filesize 144784 bytes, MD5 6AB4C021FBD36DC6764924C312428D97)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" (filesize 34672 bytes, MD5 69B16C7B7746BA5C642FC05B3561FC73)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exeC:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" (filesize 31016 bytes, MD5 38D198A2DD54A67120040566A38103BA)
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exeC:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Service] service.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exeC:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun (filesize 490952 bytes, MD5 79CC43BE17E1D1AC58844574ABD58941)
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (filesize 3513344 bytes, MD5 69DCF2620252E1E2281B4E96F7081838)
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent (filesize 173304 bytes, MD5 42E5210D48BAA0FE609CB96058D30D7A)
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exeC:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" (filesize 1289000 bytes, MD5 1C2863FE366B9E907AABFC6F8B6EE1A3)
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html (filesize 748 bytes, MD5 8A9B76C57C473678D8F30B6C7D4872C2)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (filesize 509328 bytes, MD5 F921D875A1CBD69A6A462BA2514BC831)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (filesize 509328 bytes, MD5 F921D875A1CBD69A6A462BA2514BC831)
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (filesize 155152 bytes, MD5 5D897435076541B3697289872D2D9916)
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (filesize 155152 bytes, MD5 5D897435076541B3697289872D2D9916)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll (filesize 604000 bytes, MD5 80C412B3E7304FE87C9CDB1836F0160A)
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll (filesize 604000 bytes, MD5 80C412B3E7304FE87C9CDB1836F0160A)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll (filesize 158504 bytes, MD5 5707C8268FDAC1BE457884AE0AFEB109)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll (filesize 1499136 bytes, MD5 5F62AE472DDEC02CB3C635FAD6F3A632)
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll (filesize 1499136 bytes, MD5 5F62AE472DDEC02CB3C635FAD6F3A632)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe (filesize 558080 bytes, MD5 AAC1D4EE39DF138C5D30AC5883E3B59F)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe (filesize 558080 bytes, MD5 AAC1D4EE39DF138C5D30AC5883E3B59F)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (filesize 173304 bytes, MD5 42E5210D48BAA0FE609CB96058D30D7A)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (filesize 173304 bytes, MD5 42E5210D48BAA0FE609CB96058D30D7A)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (filesize 1695232 bytes, MD5 E2AA953ED6A296B6BF399A783B32CCDE)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (filesize 1695232 bytes, MD5 E2AA953ED6A296B6BF399A783B32CCDE)
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://80.237.209.20/objects/NpFv415.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL (filesize 222512 bytes, MD5 BD25E3537B54C1BFF40335992B3686FD)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exeC:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exeC:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exeC:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exeC:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeC:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exeC:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exeC:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exeC:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exeC:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exeC:\WINXP\system32\PnkBstrA.exe

--
End of file - 12337 bytes

Silent sharK · 21.11.2008, 23:11

Anscheinend hast du die service.exe gelöscht.
Wenn du nicht formatieren willst, können wir eine Bereinigung versuchen, dadurch wird das System aber nicht 100% vertrauenswürdig.
Auf jedenfall solltest du all deine Passwörter und Zugangsdaten von einem sauberen System aus ändern.

Onlinebanking würde ich an dem Rechner nicht mehr betreiben.

mfg

Ekkez · 21.11.2008, 23:12

nein habe die service.exe nicht gelöscht, sondern über die msconfig nach dem mist erstmal deaktiviert....

Naja dann sollte ich wohl lieber formatieren... weil online banking wichtig ist für mich, woher kommt so ein virus? über diese links?

Silent sharK · 21.11.2008, 23:16

Ja, er verbreitet sich über diese Links.
Wenn man einen Link anklickt, wird man entweder durch die Datei infiziert, die man downloaden soll oder durch das Java Plugin, das ausgeführt wird.

21.11.2008, 20:40	#2
cad /// caddy ☀	Probleme mit MSN - Virus Frage: Hast Du die PNs tatsächlich gelesen? Betriebssystem->fehlt Pfadangaben-> fehlen und wieder im falschen Unterforum gepostet Vervollständige bitte den Beitrag, dann verschieb ich den Thread ins richtige Unterforum Edit: Rechts oben nachsehen unter Private Nachrichten __________________ __________________ Geändert von cad (21.11.2008 um 20:48 Uhr)

21.11.2008, 21:23	#3
Debian_300 Gast	Probleme mit MSN - Virus Halte Mich Aus Diesen Thema Heraus Entschuldigung Nochmal Edit: Du brauchst Dich nicht raushalten, sondern solltest mit dem Support bitte solange warten, bis der TO es endlich schafft die NUBs einzuhalten __________________ Geändert von cad (21.11.2008 um 22:03 Uhr)

Probleme mit MSN - Virus

Plagegeister aller Art und deren Bekämpfung: Probleme mit MSN - Virus