Bitte helft mir... Ich habe heute - entsetzt, denn es waren wirklich viele - einige Trojaner, Viren und Spyware- verseuchten Dateien von meinem PC gelöscht... Diese Dateien wurden von meinen Scannern gefunden. Ich habe nun aber das große Problem, dass sie nicht zu ende scannen, weil mein PC jedes mal plötzlich und unerwartet abstürzt! Ich habe dieses Problem bei AntiVir und Spybot gehabt! Sie können also - so scheint es mir - nicht zu ende suchen! Irgendwas muss da doch sein, oder? Das ist nicht in Ordnung... Wäre wirklich nett, wenn ihr mir möglichst schnell helfen könntet! Vielleicht könnt ihr ja mit diesem Problem mehr anfangen als ich...
DANKE schonmal,
LaAnPe

Versuche es mit E-Scan im Abgesicherten Modus:

http://www.trojaner-board.de/42731-escan-anleitung.html

Hmm, das habe ich gerade schon gemacht! Dort hat er auch wiederum 4 infizierte Dateien gefunden, und 2 hat er glaub ich umgenannt oder so... Aber das Problem besteht nach wie vor!

Aber im abgesicherten Moduskannst du zu Ende scannen, wie es aussieht? Mach mal ein hijackthis-log und poste es bitte:

http://www.trojaner-board.de/51130-a...ijackthis.html

Logfile of HijackThis v1.98.2
Scan saved at 22:51:58, on 08.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\BENQMA~1\QtPmBenQ.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\BenQ\Q-MediaBar\QBar.exe
C:\Programme\BenQ\QMusic\QMAgent.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Dokumente und Einstellungen\Lasse Petersen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QtPmBenQ] C:\PROGRA~1\BENQMA~1\QtPmBenQ.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe Minimize
O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic\QMAgent.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Check Mplayer] C:\windows\runoncew.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: T-Online.lnk = ?
O4 - Startup: ICQ Lite.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07c2bdb282ffa12...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18A6A1A4-0263-4AC4-8B48-2D47534BCF48}: NameServer = 217.237.150.225 194.25.2.129

Ich muss noch kurz sagen, dass es mir gerade gelungen ist - nach dem ca. 5. oder 6. Versuch - mit SPYBOT zu Ende zu scannen... Ich hoffte schon, dass alles wieder in Ordnung ist, bis ich es dann erneut mit ANTIVIR probierte: Der PC stürzte wieder ab!

(Danke schonmal dafür, dass Du dich mit mir und meinem Problem befasst!!)

Da sind auf jeden Fall einige unschöne Sachen dabei. Du solltest HijackThis erst mal in einen eigenen Ordner entpacken, damit Backups besser möglich sind. Webrebates ist Spyware, versuche zunächst, das Programm zu deinstallieren. Danach gehe wieder in den abgesicherten Modus und fixe (falls noch vorhanden):

C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07c2bdb282ffa1...RdxIE601_de.cab

Diese Datei kommt mir sehr spanisch vor:

O4 - HKLM\..\Run: [Check Mplayer] C:\windows\runoncew.exe

hat E-Scan dazu nix zu sagen? Die automatische Auswertung markiert sie als böse und sie sieht auch verdächtig nach einem Imitat der "guten" runonce.exe aus. Du solltest sie mal bei Trendmicro und ravantivirus online scannen lassen.

Da du nach eigener Aussage bereits viele Viren gelöscht hat und immer noch Schädlinge auf deinem System sind, solltest du eine Neuinstallation in Erwägung ziehen.

Also, ich habe so ziemlich alles gemacht, was du gesagt hast, aber das Problem, dass mein Pc sich einfach selbst ausschaltet, wenn ich AntiVir meinen PC nach Viren etc. durchsuchen lasse - besteht weiterhin... Ich habe das letzte mal darauf geachtet, bei welcher Datei dies geschieht. Ich weiß zwar nicht, ob es jedes mal die selbe ist, (weiß auch nicht, ob das wichtig ist), aber vielleicht könnt ihr/ kannst du ja was damit anfangen: IIS6.CAB

Ansonsten habe ich nochmal ein "Hijackthis" erstellt:
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Lasse Petersen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QtPmBenQ] C:\PROGRA~1\BENQMA~1\QtPmBenQ.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe Minimize
O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic\QMAgent.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Check Mplayer] C:\windows\runoncew.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: T-Online.lnk = ?
O4 - Startup: ICQ Lite.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18A6A1A4-0263-4AC4-8B48-2D47534BCF48}: NameServer = 217.237.150.225 194.25.2.129

Also, ich weiß echt nicht, was ich alles tun kann, um dieses wirklich nervige Problem zu beheben! Bitte helft mir...
Wonach sieht es denn für euch überhaupt aus? Ein Virus, oder vielleicht ein Trojaner? Ich kenne mich mit all diesen Dingen ehrlich gesagt ein bisschen zu wenig aus... Ist es in irgendeiner Weiße gefährlich? Oder könnte es das sein?

Natürlich möchte ich eine Neuinstallation - wenn möglich - vermeiden, aber wenn es keinen anderen Ausweg gibt?!

Naja, die suspekte runoncew.exe ist ja immer noch da, ich bin mir ziemlich sicher, dass das ein Schädling ist, vielleicht wird er nur noch nicht erkannt.
Schick die Datei mal bitte mit einem Link zu diesem Thread an virus@av.klaffke.info
Dann fixe den Eintrag, ebenso auch:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

Kann es sein, dass am Anfang einige Einträge fehlen in deinem Log? Du solltest HijackThis auch in ein richtiges Verzeichnis entpacken und von da ausführen, ist besser als in einem temporären.

Hast du diesen Cult3d-Active-X-Player selbst installiert und brauchst du ihn unbedingt? Falls nicht, auch
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

noch fixen. Mit Active-X sollte sowieso sehr restriktiv umgegangen werden, am besten deaktivieren bzw, auf einen Alternativbrowser umsteigen (Opera, Firefox) und den IE samt Active-X nur noch zum Windowsupdate verwenden.

Zitat:

Zitat von MountainKing

Naja, die suspekte runoncew.exe ist ja immer noch da, ich bin mir ziemlich sicher, dass das ein Schädling ist, vielleicht wird er nur noch nicht erkannt.
Schick die Datei (welche Datei meinst du jetzt? Diese IIS6.CAB?) mal bitte mit einem Link zu diesem Thread (Wie macht man das genau? Was für ein Link?) an virus@av.klaffke.info
Dann fixe den Eintrag, ebenso auch:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

Kann es sein, dass am Anfang einige Einträge fehlen in deinem Log? Du solltest HijackThis auch in ein richtiges Verzeichnis entpacken und von da ausführen, ist besser als in einem temporären. (Wie meinst du das? Soll ich einen Ordner erstellen und es dort reinverschieben?)

Hast du diesen Cult3d-Active-X-Player selbst installiert und brauchst du ihn unbedingt? (Installiert habe ich ihn nicht selbst, und hatte ihn auch gestern deaktiviert, bis ich dann diese beiden Trendmicro und ravantivirus benutzen wollte... Da brauchte man nämlich wieder Active-X!) Falls nicht, auch
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

noch fixen. Mit Active-X sollte sowieso sehr restriktiv umgegangen werden, am besten deaktivieren bzw, auf einen Alternativbrowser umsteigen (Opera, Firefox) und den IE samt Active-X nur noch zum Windowsupdate verwenden.

So, hab ein paar Fragen und Antworten in deinen Text in () eingebaut...
Sorry, dass ich so viele Fragen stellen muss, aber wie gesagt: Bin leider kein Fachmann auf diesem Gebiet...