Trojaner-Board - Mega Problem Nach Virenentfernung !!!

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Mega Problem Nach Virenentfernung !!! (https://www.trojaner-board.de/9334-mega-problem-virenentfernung.html)

Mega Problem Nach Virenentfernung !!!

Hallo Leute,

Ich hab ein mega Problem *seuftz

Ich hab meinen PC mit "Bit Defender" Scannen lassen,habe mir das Progg dazu extra runtergeladen. Davor hatte ich AntiVir ( Das hab ich DRAUFGELASSEN, aber so eingestelt damit es beim systemstart nicht mehr automatisch startet )
Gleich als Bit defender die ersten dateien gescannt hab hat es einen Virus gefunden ; Jeefo.A , hier eine Beschreibung : http://www.sophos.de/virusinfo/analyses/w32jeefoa.html

Dazwischen waren noch 4 oder 5 dateien die mit nem anderen virus infiziert waren aber die spielen jetz keine rolle...

Als Bit defender fertig war hatte er um die ~ 470 Dateien gefunden die mit diesem Jeefo.A infiziert waren. Die hat er alle automatisch desinfiziert...

Die einzige die er NICHT desinfiziert hatte war die svchost.exe , das war die "hauptdatei" .. steht ja auch inner erläuterung von sophos,,,

Ich hab danach dann dieses tool benutzt das auf der Sophos seite steht..und dieser scanner hat diese svchost.exe beendet und noch ein paar infizierte dateien gelöscht...

Dann war mal ne weile ruhig und bit defender hat eindringversuche von jeefo.A geblockt,,,

Ein paar dateien lagen in der quarantäne ( Das waren solche scherzprogramme und 3 dateien mit nem anderen wurm, hab ich gelöscht..aber nicht alle weil ich nicht sicher bin ob ich die brauch..ka.. )

Ich hab dann mal meine kiste neugestatet weil ich Bit defender geupdatet hab, und jetzt das größte Problem:

#Einige programme , z.B Zone Alarm , Mozilla , Hijackthis , .... gehen nichtmehr.. wenn ich die öffnen will kommt:

"C:\Programme...... [ der pfad]..Ist keine zulässige Win32 Anwendung "...

#wenn ich ins Internet will,steht unten links ( wo eigentöich die URL steht ) irgendwas von "dnserror"... mit dem ich auch nichts anfangen kann...

Ein weiteres problem:

#ich dachte wenn ich das system zurück setze auf freitag,gehts vielleicht wieder...aber er führt die Systemwiederherstellung nicht aus !!!also hab ich keine chance alles rückgängig zu machen..

Jetzt die Frage: Was kann ich machen,damit ich es wieder zum laufen kriege ???

Sagt bitte nicht system neu aufsetzen *heul :(

Ich hoffe ihr könnt mir helfen....
Wäre euch wirklich sehr dankbar !!

Lg.

PS.: In meinem "registriert für" unter "system" steht "Not you,no longer"... was is das denn?

Und nach jedem neustart kommt "host for win .... hat ein problem festgestellt und muss beendet werden"... also ist die svchost.exe irgendwie defekt... ich finde im internet nirgends infos mit dene ich klar komme..

Ich hocke schon ein paar stunden jetzt an dem PC und nichts geht !:(

Was mir noch einfällt: habe keinen Virenscanner mehr, und da ich auf dem pc kein internet hab kann ich mir auch keinen mehr holen... hab nur noch adaware SE !Und der findet nichts..

Hi

Auch wenn du es nicht hören willst du wirst nicht drumrumkommen dein windows neu zu installieren!

Wenn du es machst befolge diese anleitung hier!
http://www.trojaner-board.de/showpos...28&postcount=2

Und noch ein Tipp :
Nimm kein Zone Alarm oder andere PFW (Personal Firewall) mehr.
Und Bitte nicht mehr den IE benutzen Es gibt bessere Alternativen wie Mozilla Firefox oder Opera

Wie du dein system auch ohne absicherst findest du auch in der obigen anleitung.

MFG ZERO

Hallo Zero.

Vielen dank für deine antwort!

Habe ne gute nachricht: Hab es wieder hinbekommen , OHNE system neu aufsetzen !zwischen ca 50 mal hoch/-runterbooten hab ich mich durch die registry gekämpft,sämtliche programme deinstalliert, IP´s gecheckt,im abgesicherten Modus dateien gelöscht und und und....das ging nochmal gut !

War schon dran die Win CD einzulegen aber irgendwie hatte das nicht geklappt ( worüber ich jetzt froh bin !!! )
Werde erstmal nochmal das system durchscannen um zu schauen ob noch teile eines wurmes übrig sind ( der übrigens für den name "Not you,no longer" verantwortlich war ! )

Win ist auch einmal beim hochfahren in den abgesicherten modus hängen geblieben, hab den pc dann abstürzen lassen,neu gestartet dann hat er von sich aus eine verwaiste datei wiederhergstellt..

dann musste ich noch ne svchost.exe löschen die ein wurm war ...joa,war einige stunden arbeit....

Und nochmal davon gekommen @ c format *grinst*

Bis zum nächsten Problem *lach* :D

cya ;-)

@DoS

da du kein HJT logfile postet ist es schwer zu deuten
vielleicht sind die winsocks im eimer

hiermit kannst du sie reparieren
http://www.cexx.org/lspfix.htm

chaosman

Na ja ich wär mir da nicht so sicher das dein system wieder OK ist.

OK vielleich hast du es in ordnung gebracht aber ich denke es ist nur eine frage der zeit bis du wieder probleme bekommst.

Und selbst nach einem virenscan kannst du nicht sicher sein das dein system sauber ist (Das kannst du zwar nie aber nach einem Malwarebefall kann alles manipulirt sein!!!!!)

Lies dir das mal durch

http://oschad.de/wiki/index.php/Kompromittierung

MFG ZERO

Hi !

@Chaosman: Dann geb ich dir mal nachträglich mein LOG!
Sorry das ist ne doofe frage,aber was sind Winsocks?*grins*

Hier das LOG:

Code:

Logfile of HijackThis v1.98.2

Scan saved at 18:32:18, on 11.11.2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Programme\HP\hpcoretech\hpcmpmgr.exe

C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Programme\Messenger Plus! 3\MsgPlus.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe

C:\Programme\SigXC\SigX.exe

C:\Programme\TGTSoft\StyleXP\StyleXP.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\Sandra Jakob\Eigene Dateien\ccb 1.2.1\ccbutler_v1201\ccbutler_v1201\ChatCityButler.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\MSN Messenger\msnmsgr.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Winamp\winamp.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\ICQ\Icq.exe

C:\WINDOWS\System32\taskmgr.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\unzipped\hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.runrig.co.uk/index.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alba gu bràth!

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [TweakPower] C:\Programme\TweakPower\TweakPower.exe -100-

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [SigXC] C:\Programme\SigXC\SigX.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html

O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll

O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - 

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} - http://xtraz.icq.com/xtraz/activex/MISBH.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3485E7A8-3661-48BC-875D-9DBE953C8D68}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{DA8457BA-3FF1-47C8-8380-755C0E17A872}: NameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{F63CF962-58BA-423F-BFAF-2C4D3A1BD695}: NameServer = 192.168.0.1

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

@ZERO:
Hm..glaubst du das ich bald wieder solche probleme hab?Bis jetzt läuft alles rund... keine viren und nichts...programme laufen auch wieder,wenn ich sie neu installiere...(die wo bei der jeefo-sache zerstört wurden)...

ich mach halt nicht gerne das system neu,wegen meinen ganzen dateien,denn ich bin erhlich gesagt zu faul die alle zu sichern :headbang: *g*

Logfile ...doch noch 2 böse Einträge...
Hör mal lieber auf die Experten hier.
LG
Mrs.helpless

Zitat:

Zitat von Mrs.helpless

Logfile ...doch noch 2 böse Einträge...
Hör mal lieber auf die Experten hier.
LG
Mrs.helpless

*lol* Guckt mal genau !!!

Das von Mrs. help ´gepostetes log ist nicht meins !!! :heulen: von wegen 12 böse einträge.. und ich habe kein win 98 !*seuftz... jaja... :blabla:

Da war wohl ein missverständniss...

Adios.. ;-)

War wirklich ein Missverständnis!
Dein Logfile beinhaltete 2 (siehe Zitat) böse Einträge.
Tur mir echt leid,hier ist deine Auswertung.
Sorry nochmal
Mrs.helpless

@*christian* tut mir leid, aber da musste ich doch antworten. War letztes Logfile meinerseits. Versprochen.

Du kannst doch antworten.
Ich finde es jedoch nicht geschickt, auf autom. Auswertungen zu verweisen. :daumenhoc

*g*@Mrs: macht ja nichts..kann mal passieren :D

Jedoch sind die 2 bösen einträge garnicht böse. das ist ein programm das ich mir runtergeladen habe. es wird wahrscheinlich als böse angezeigt weil es dateien aufzeichnet wie z.B Wieviele mausklicks ich schon hatte.. wieviele tastatureingaben usw.. ;)

@DoS
wechsle in den abgesicherten modus und fixe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
lösche anschließend manuell
C:\Programme\Messenger Plus! 3\MsgPlus.exe

dieses programm kenne ich nicht.
neu starten

zu winsocks kuckst du hier

chaosman