Hi,
war das ein Tag.

Der PC meiner Eltern wurde offenbar durch einen oder mehrere Viren verseucht, und das Windows zerstört.

Mir ist etwas vergleichbares noch nie untergekommen.

Und bitte fragt nicht nach irgendwelchen Scanberichten, der Pc muss eh komplett neu gemacht werden.

Meine Mutter sagte der Pc hätte eine Fehlermeldung. Sie fuhr den PC runter und startete ihn neu.

Windows fuzte nur noch bis zum Hintergrundbild: Microsoft Windows verhindert den Start von FrontPage Server Administration oder sowas inder Art.

Die Meldung konnte man wegdrücken, dann war nur noch das Hintergrundbild sichtbar.

Task-Manager funzte, aber Explorer.exe starten war nicht möglich: Tab neuer Task gesperrt.

Ok soviel dazu.

Abgesicherter Modus, wurde mit Neutstart beantwortet.

Also kam ich auf die Idee, WinXP "drüberinstallieren", hat bei einem Laptop auch schonmal gefunzt. Quasi Reperaturinstallation.

Ok Installation hatte funktioniert, beim ersten Start ging es dann aber so richtig los.

Willkürlich wurden Programme gestartet, und dll`s vermisst.

Danach rundll32 Fehler, der zum sofortigen Shutdown führte.

Nach ein paar Neustarts konnte ich Malwarebytes starten. Hat auch drei Sachen gefunden. Alles Trojaner....

Ok nach einer Zeit kam nur noch die Meldung: Windows wird nach einem schwerwiegenden Fehler ausgeführt. Diese Meldung lies sich wegdrücken, kam aber immer wieder.

Nach einem weiteren Neustart funktionierte dann wieder alles. Ich hab diverse Virenscanner, und Anti-Malware/Spyware Programme installiert, und alles besetigt was ich gefunden habe.

Das Problem war die Systemwiederherstellung. Diese wurde deaktiviert.

Diese blöden Trojaner, und oder Viren, hatten auch den Sound verstellt auf 8.1CH + Optisch, so kam aus meinen Boxen nur gegreische....

Lies sich alles beheben.

Ok soweit so gut, der PC und auch Windows sahen so aus, als wären sie voll funktionsfähig.

Der PC hatte schon immer Probleme mit Plug&Play.

Aber jetzt funktioniert nichts mehr, nicht mal Hot Plug&Play!!!

Keine Chance!

Würde ja nix machen, aber aus irgendeinem Grund wurde die beiden (!) Onboard-Lan-Adapter bei der Win-Installation nicht mit installiert!

Absolut keine Möglichkeit die nochmal zum Laufen zu bekommen.

Wlan-Karte aus einem anderen PC, nix kein Pieps, garnix. Treiber meldet -> kein Wlan-Gerät gefunden.

Soweit so schlecht, das nächste Windows wird sicherer installiert.

Meine Eltern waren nur auf 3 harmlosen Seiten, schon seltsam.

Bis hierhin liest das eh keiner, aber gibts es wirklich so mächtige Viren das sogar die Hardware betroffen ist? Der Sound umgestellt wird, und keine Hardware-Installation mehr möglich ist?...

Daten zum PC:

Athlon 64 3000+ Sockel 939
MSI K8N Neo 2
2x 512MB 400Mhz RAM
80Gb Platte
WinXp Home Sp2

Und ja, wir sind uns einig -> komplett formatieren und von vorne. Sollte nur mal als abschreckendes Beispiel dienen.

mfg
Kai

Mittlerweile gibt es Rootkits (getarnte Trojaner und Viren) die sich in den Master Boot Record reinfressen quasi. Lass doch mal mbr.exe drüberlaufen um zu schauen, ob alles in Ordnung ist, poste das Resultat hier.

Die Site zum Download und Ausführen>> rootkit in master boot record

Sorry hab gewaltig verpennt.

Test laut Anweisung durchgeführt, kein Fund.

Bevor ich den formatiere, wollte ich halt noch ein bisschen üben.

Aber ohne Netzwerk, und damit auch Internet, kann ich keinen Scanner aktualisieren.

Gibts es keine Möglichkeit einen Scanner manuell zu updaten, oder eine Hardwareerkennung zu erzwingen?

Viel kaputtmachen kann man ja nicht mehr, bin auch offen für radikale Lösungen.

mfg
Kai

Update:
Ich konnte mich per USB verbinden.

Wie merke ich ob noch etwas bedrohliches auf dem PC ist?

Programme die ich benutzt habe:
Avira Antivir 9
Malwarebytes Antimalware
F-Secure Blacklight
Hijack-This
und Escan free
Clean Prog um Temp zu löschen
MBR.Exe

Nach einigen Funden findet jetzt nur noch Escan was, aber das findet mir eh immer zuviel Schädlinge. Zuviel F/P.

Wie gesagt ich übe nur, was könnte ich noch benutzen um noch was zu finden?

Wir haben den Rechner mit OS gebraucht bekommen, vieles davon ist nicht von uns:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:41, on 25.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Programme\BOINC\boinc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\BOINC\boinctray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.wow-europe.com/de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [boinctray] "C:\Programme\BOINC\boinctray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-861567501-776561741-839522115-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'boinc_master')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{341DBA35-7CE2-4338-9717-BB419EDA8382}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BOINC - Space Sciences Laboratory - C:\Programme\BOINC\boinc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 6974 bytes

Hi,

der erste Ansatz wäre alle ungenutzen Programme deinstallieren.
Dann unter Start->Systemsteuerung->Verwaltung->Eventmanager zu schauen was eigentlich diese Fehler beim Hochfahren verursacht.
Dann haste mit Glück sogar schon einen Dateinamen mit dem du weitergooglen kannst.

Ansonsten die Dateien, die gelöscht wurden googlen, da ergibt sich meist auch Information.

Signaturen offline einspielen ist bei den allermeisten Programmen kein Problem.
avira
MBAM soweit ich weiß

gmer würd ich noch mal drüberlaufen lassen und gucken was das so findet, vorher aber alle anderen Programme schließen.

lg myrtille

Ich teste das auch noch, mein Vater blockiert alles.

Ich melde mich wieder.

mfg
Kai

GMER 1.0.15.14944 - http://www.gmer.net
Rootkit scan 2009-03-25 22:15:02
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter

Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

@myrtille
Komm du bist doch der Pro, sach mal was dazu!

Kommt schons chreibt noch irgendwas!

Mein internetsüchtiger Vater benutzt den wieder als wäre nie was gewesen.

Aber 100% sauber ist der PC noch nicht.

Escan findet z.B. noch genug Zeugs.

mfg
Kai

Ziehe ihm das Lan Kabel ;P

Also das GMER Log scheint gut auszuschauen. Wenn eScan noch was finden sollte, weg damit.

vielleicht kannst du mal Malwarebytes drüber laufen lassen damit wir sehen, was so alles los ist.

Zitat:

Ziehe ihm das Lan Kabel ;P

Also das GMER Log scheint gut auszuschauen. Wenn eScan noch was finden sollte, weg damit.

vielleicht kannst du mal Malwarebytes drüber laufen lassen damit wir sehen, was so alles los ist.
__________________

Lan Kabel hat er ja keins mehr! Ist ja einer der Fehler!

Escan findet zwar einiges, aber wie kann ich das bekämpfen?

Das freie Programmm löscht ja nix mehr, und kaufen kann ich das nicht.

Die anderen Scanner sind sauber.

Spybot fand noch 2 Fehler.... keine Bedrohungen.

mfg
Kai