Hallo erstmal, ich bin der Basti und habe ein Problem ;-)

Anscheinend habe ich ein ähnliches Problem wie es in letzter Zeit wohl öfter vorkommt, aber irgendwie scheint es sich um einen schwereren Fall zu handeln :S

Ich habe mir bereits dieses Thema: http://www.trojaner-board.de/67843-p...-trojaner.html
und damit verbunden auch dieses Thema: http://www.trojaner-board.de/59605-g...n-oeffnen.html
durchgelesen.

Ich benutze Microsoft Windows XP Media Center Edition SP2, und mein Problem begann ganz ähnlich:

Zuerst fiel mir auf dass Google-Links zu anderen Seiten umgeleitet werden, der Seitenaufbau weitaus länger dauert und ich Seiten diverser Antivirensoftware nicht mehr aufrufen kann (Seiten-Ladefehler, Verbindung fehlgeschlagen). Natürlich ist es nicht die Hosts Datei, wäre auch zu schön gewesen -.-
Achja, ich benutze Firefox..

Ich habe Avira und Spybot S&D installiert, Avira funktioniert wohl noch einwandfrei, Spybot S&D tut das genaue Gegenteil. Das Symbol rechts unten in der Taskleiste ist vorhanden, aber öffnen lässt sich das Programm nicht, updaten ebenfalls nicht.

Nun habe ich Avira erstmal einen kompletten Suchlauf machen lassen, hat auch 3 Sachen gefunden und gelöscht. Ob die Umleitungen der Links dadurch beseitigt wurden oder durch meine anderen Versuche weiss ich leider nicht mehr.
Nur leider lassen sich die Websites von Antivirensoftware immer noch nicht aufrufen, Antivirensoftware lässt sich nicht installieren/updaten/ausführen, und der Seitenaufbau ist recht langsam.

Nun habe ich mit List und Tücke über verschiedene Umwege verschiedene Programme geladen um das Problem zu beseitigen, eine Lösung hat das allerdings nicht nach sich gezogen.


Meine Versuche sind:

-Spybot S&D neu installieren. Wenn er sofort Updaten soll hauts nicht hin, ansonsten wird installiert aber das Programm lässt sich nicht öffnen. Es erscheint der Prozess kurz im Task-Manager, verschwindet aber sofort wieder.

-cwshredder.exe geladen und ausgeführt, der hat auch prompt 2 Sachen gefunden und behoben, das wars aber auch schon (Ich glaube das hat die Umleitung von Links behoben).

-HijackThis geladen und ausgeführt, automatisch analysieren lassen, aber nichts auffälliges gefunden, weil ich sonst nichts zu tun wusste nutzlose Dinge gelöscht.

-mbam-setup.exe geladen (was schon mal eineiges an Aufwand war, da die ganzen Downloadlinks nicht aufgerufen werden können), allerdings lies sich eines der gefunden Setups nicht ausführen, und bei den anderen habe ich folgendes Problem: Beim installieren bekomme ich diese Fehlermeldung (2mal):

2 mal auf "Wiederholen" gelickt und alles scheint in Ordnung, das Programm lässt sich aber wie Spybot S&D nicht ausführen. Tja, und nun?

-Ad-Aware geladen und installiert, funktioniert wohl einwandfrei, hat auch einiges gefunden, und zwar:
2x AdwareRelevant, kann erfolgreich in Quarantäne verschoben werden.
44x Cookies, kann ebenfalls beseitigt werden
2x Win32Backdoor.TDSS, wird als Malware deklariert, sind zwei Dateipfade angegeben. Lassen sich auch entfernen, allerdings teilt Ad-Aware mir mit ein Neustart sei nötig, danach sind die Dinger nur blöderweise wieder da..




Tja, wie gesagt, Malwarebytes lässt sich nicht ausführen, folglich: was soll ich tun?

Da ihr bei ComboFix ja immer so eine nette Warnung mit abgebt lass ich da mal vorerst lieber die Finger von...


Jetzt habe ich auch noch das Problem dass auf dem PC einige doch recht wichtige Dateien leigen, unter anderem noch nicht sicherheitskopierte Teile meiner Facharbeit. Kann ich die Dateien gefahrlos auf eine externe Festplatte oder einen USB-Stick ziehen, oder könnte sich das böse Vieh dann auch dort einnisten?


Ich Danke euch schon mal im Vorraus und hoffe auf eine Möglichkeit zur Entfernung der Sauerei, da ich eigentlich extremst im Facharbeits-Stress bin und mich nun schon den ganzen Abend mit diesem Mist herumschlagen darf.. :S



Und zu guter letzt noch meinen HijackThis-Log, vielleicht fällt euch ja doch was auf:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:02:03, on 20.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SMSC\SetIcon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161181998125
O17 - HKLM\System\CCS\Services\Tcpip\..\{19BE9141-085F-4A0E-B5DC-BB91E26394D6}: NameServer = 192.168.2.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6910 bytes

Diese Art kommt leider in letzter zeit häufiger vor, doch leider muss ich sagen, dass du Neuaufsetzen musst, da eine backdoor gefunden wurde.

Bitte lies dir das durch, meistens werden damit alle Fragen beantwortet:
http://www.trojaner-board.de/51262-a...sicherung.html

und

http://www.trojaner-board.de/65029-t...-handlung.html

Hallo
Bevor ihr neu Aufsetzt probiert noch mal
"SUPERAntiSpyware Free Edition"
Mein Problem war ganz ähnlich

Nein! Da ist eine Backdoor im Spiel!

Wenn du dir den zweiten Link den ich vorher gepostet hab durchliest dann wirds dir vielleicht klar.

Hmm, das gefällt mir gar nicht, nicht weil es ein grösseres Problem darstellt den PC neu aufzusetzten, sondern weil das einfach Zeit ist die ich im Moment nicht habe. Wie der Grossteil der Leute hab ich natürlich zu spät mit der Facharbeit angefangen, und bin nun mördermässig im Stress..

Habs einfach mal versucht, aber alle Seiten von denen ich SUPERAntiSpyware ziehen könnte sind ebenfalls blockiert, hab dann doch eine gefunden, allerdings bekomm ich beim Ausführen des Setups die Fehlermeldung "SUPERAntiSpyware hat ein Problem festgestellt und muss beendet werden..."

Nur zur Sicherheit nochmal:

Ich kann also alle persönlichen Dateien auf meine externe Festplatte ziehen, ohne Gefahr dass ich den Virus mitverschleppe (würd die Dateien halt vorher alle mal von Avira bzw Ad-Aware durchleuchten lassen).


Und nunja, inwieweit wäre es denn zu verantworten einfach mit dem Pc weiterzuarbeiten? Hab noch 10 Tage Stress, danach könnte ich mich ausführlich darum kümmern. Ich führe sowieso weder Onlinebanking noch ähnliches durch, und ob ein wildfremder die Passwörter zu ein paar Foren-Accounts kennt wäre mir recht schnuppe ^^
Gibts da sonst zwingende Gründe die dagegensprechen den PC erstmal noch etwas weiterzubenutzen?

Thx, für eure Hilfe erstmal.


Achja: Ärzte ftw ^^

Bei Backdoor würd ich auf jedenfall NEUINSTALLIEREN!

Auch wenn man meint, sie wäre weg....es könnte sein, das da trotzdem noch ws drauf ist!