Zitat:

Zitat von bannth

ja ich hab mir das jetzt durchgelesen (auch davor schon)
was ist denn nicht korrekt?

Zb. alles ab Punkt 2.

zu 2. ich habe doch nur ein Thema

zu 3. das problem ist doch klar oder nicht? "ich habe einen sehr verlangsamten PC und den verdacht auf einen Virus"

zu 4. was habt ihr gegen mein deutsch? oO

zu 5. meine Programme sind sehr langsam; meine kaspersky will nicht starten; systemwiederherstellung unmöglich; abgesicherter modus nicht machbar; angeblich keine soundkarte installiert;

Hallo,
hatte bei meinem letzten Beitrag das gleiche Problem wie Du. Du bist auf der Seite mit den Verhaltensweisen nur zum Punkt 1. und seinen Subpunkten vorgedrungen (gutes Deutsch etc). Für Lektüre des Punktes 2 mußt Du die Seite runterscrollen...
viele Grüße und viel Erfolg

ehm... ok
zu den programmen:

das wäre die textdatei zu hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:56, on 02.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B9B786B-7011-4428-AD09-2E415A183D14}: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4388 bytes


anstatt des programms CCleaner habe ich etwas ähnliches/gleiches namens
"PCShower"


malwarebytes folgt noch

ich hoffe damit könnt ihr was anfangen =(

malwarebytes:

alwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

02.03.2009 16:35:27
mbam-log-2009-03-02 (16-35-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 145526
Laufzeit: 54 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 7
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-7-4-43-100026063-100024725-100021390-4448.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gaopdxtmoytpqj.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxfmqhylba.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxnttkwkil.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxyuvltobo.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Ich mache mich grade schlau:
85.255.112.228
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

das hijackthis-logfile sieht gar nicht gut aus, du wirst über eine ukrainsche ip umgeleitet, und bist somit also wahrscheinlich nicht mehr herr über deinen rechner:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B9B786B-7011-4428-AD09-2E415A183D14}: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228

ich würde neuaufsetzen empfehlen, was meinen die profis hier im board dazu?

Das ist richtig!!!
Ein ukrainischer Webhoster, der lange Zeit als Basis für einen sehr aktiven Typ von Malware diente, wurde nach Beschwerden von Security Fix an den verantwortlichen ISP, vom Netz genommen.

Seit mindestens 2005 hatte UkrTeleGroup Ltd. hunderte von Webservern gehostet, welche die Kontrolle über ein breites Netzwerk von mit Malware infizierten Computern hatten. Im vorliegenden Fall ging es um Varianten des Trojaners DNSChanger aka Zlob, wie die Sicherheitsfirma McAfee erklärte. Dieser Trojaner ändert auf dem betroffenen System die Hosts Einträge und leitet damit die Computernutzer auf gefälschte Webseiten um Kreditkarten- oder Kontodaten abzugreifen.

DNSChanger/Zlob blockiert außerdem den Zugriff auf sicherheitsrelevante Webseiten wie Antivirus Hersteller oder auch den Microsoft Update Dienst, so dass die Nutzer der infizierten Rechner keine Sicherheitsupdates einspielen oder sich Informationen zum Entfernen des Trojaners besorgen können.

Der Trojaner DNSChanger/Zlob war laut dem Computer Sicherheitsunternehmen Sunbelt Software das 10. häufigste Malware Programm im Dezember 2008.

Nach einem McAfee Bericht von Dezember 2008 wurden mehr als 400 DNS Server im Netzbereich von UkrTeleGroup gefunden. Das bedeutet das mehr als 10% des kompletten IP Bereiches für DNS Server ausgelegt war.

Schon seit langem war die UkrTeleGroup vielen Sicherheitsexperten ein Dorn im Auge und schon 2006 gab es die Empfehlung den IP Bereich des Hosters komplett zu sperren. Nach der nun überfälligen Netzsperre ist leider kein Aufatmen angesagt. Die Gruppe hinter dem Trojaner hat ihre Basis inzwischen bereits verlegt, diesmal nach Lettland zu Zlkon.lv, so dass die neuen DNS Server wohl irgendwo zwischen 94.247.2.0 und 94.247.3.255 auftauchen werden. Quelle: netzhappen


Ich hoffe ich kann dir gleich antworten....
Bin leider zeitlich etwas eingeschränkt...->gleich Kickertraining in der Kneipe

Zitat:

Zitat von 4RobSen8

Zb. alles ab Punkt 2.

Ich kann mich nur wiederhohlen...
Das ist der Teil mit den Programmen...
Die brauchen wir, weil eine Aussage wie: "meine Programme sind sehr langsam; meine kaspersky will nicht starten; systemwiederherstellung unmöglich; abgesicherter modus nicht machbar; angeblich keine soundkarte installiert;" sind nur bedingt aussagekräftig.