Pc voll mit Viren und Trojaner
 

Hallo liebe community,

ich habe jetzt seit 2 Tagen große Probleme mit meinem Rechner.
Beim start startet die explorer.exe manchmal nicht und da ich auch eine systemwiederherstellung durchgeführt habe und vorher ein paar programme deinstalliert habe, habe ich auch nicht mehr die Möglichkeit die programme zu deinstallieren da ein teil der daten schon weg ist wie z.B. die unistall dateien.

Aber das ist eine andere geschichte.
Ich bekomme auch sehr oft meldungen von winantivirus2007 und habe auch so einige Viren gefunden, doch ich befürchte das auf meinem pc noch einige viren drauf sind, da der pc um einiges langsamer ist als noch letzte woche.

edit: noch etwas: ich kann auch keine windows updates mehr durchführen.(da ich windows auch neu installiert habe sind natürlich alle updates weg und das ist schon ganz schön doof)
Wenn ich die updates installieren will, dann steht am ende immer: Folgende updates wurden nicht installiert: ... da stehen dann also alle updates

Hier noch mein Hijack this log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:30, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\OneStepSearch\onestep.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\OneStepSearch\onestep.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\hipnahby.dll",sitypnow
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191091508145
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\ojmhjeok.exe (file missing)
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Programme\OneStepSearch\onestep.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 7555 bytes


Bitte helf mir

Danke im Voraus

mfg Kevvo

Ich bin [SYP] Battlecommander und werde dir so gut wie möglich helfen.

Gut dann beginnen wir mal.

Du hast also anscheinen Windows neu installiert, das hätte ich dir auch geraten!

Jetzt zu deinem HijackThis Logfile:
Ich bin zwar nicht gut im HijackThis Logfile auswerten, aber ich schreibe dir mal welche Einträge mir unbekannt (VIELLEICHT infeziert) sind.

Ist mir vollkommen unbekannt!

Ist höchstwahrscheinlich ein Virus (kann mich aber auch irren)!

Ist mir vollkommen unbekannt!

Ist mir vollkommen unbekannt!

Ist mir vollkommen unbekannt!

Du startest zu viele Programme beim Windows StartUp. Das ist zwar nichts gefährliches aber, das kann ein Grund sein warum dein Windows beim StartUp langsam ist!

Sonst habe ich nichts außergewöhnliches entdeckt!

Ich habe noch eine zusätliche Frage, hast du noch immer diese viele Viren oben?

Falls ja könntest du versuchen sie mit einer guten Anti Spyware und Anti Virus Software zu löschen, da es aber sehr viele sind wie du sagst wird dies nicht helfen, du müsstest sonst Windows deeinstallieren und neuinstallieren.

Wir kriegen dein Problem sicher in den Griff !

Hallo

@Battlecommander was soll der TO mit diesen Informationen anfangen
Und hast du in deinem Leben schon mal Google benutzt?

MFG

nochdigger da du dich so viel besser auskennst kannst gerne du Ihm helfen. Ich halte mich nun raus .... Mal sehen was passiert. :daumenhoc

C:\WINDOWS\system32\PnkBstrA.exe

"Der Prozess gehört zur Software PnkBstrA.exe der Firma Even Balance, Inc.

Charakteristik: Die Datei PnkBstrA.exe befindet sich im Ordner C:\Windows\System32. Die Dateigröße unter Windows XP ist 63040 bytes.
Die Datei ist von Verisign digital signiert. Es gibt kein Datei Impressum. Der Prozess hat kein sichtbares Fenster. Diese Datei ist von einer zentrale Signatur-Stelle signiert. Diese Datei ist keine Datei, die vom Windows System unbedingt benötigt wird. Die Anwendung lauscht oder sendet an einem Port um Daten ins LAN oder Internet zu senden. Deshalb bewerten wir diese Datei zu 51% als gefährlich.

Hinweis: Viren und andere schädliche Dateien können sich als PnkBstrA.exe tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei dem Prozess PnkBstrA.exe auf Ihrem PC um einen Schädling handelt. Möchten Sie die Sicherheit Ihres PCs überprüfen, so empfehlen wir Ihnen die Software Security Task Manager. "
(Quelle PnkBstrA.exe Windows Prozess - Was ist das?)

zu C:\WINDOWS\System32\PAStiSvc.exe hab ich nichts gefunden...

mit C:\WINDOWS\RTHDCPL.EXE kann ich leider auch nichts anfangen...

C:\WINDOWS\system32\nvsvc32.exe ist nichts böses, hab in nem anderen beitrag geschaut, da wurde gesagt dass der PC sauber ist, und dieser prozess ist auch dabei, ich denke nicht dass sich ein experte hier irrt. :)


Bei C:\WINDOWS\system32\gearsec.exe empfehle ich das mal bei virustotal.com hochzuladen.

ich hoffe ich konnt wenigstens ein wenig weiterhelfen

gruß :o

C:\WINDOWS\system32\gearsec.exe

Herzlichen Glückwunsch, der Kanditat hat hundert Punkte, und gewinnt:

-Eine quietschgelbe Gummiente
-Ein Neuaufstzen des Systems

Meop :teufel2:

GearSec.exe Windows Prozess - Was ist das?

Oder wo findet Ihr z.B. den Autostart Eintrag.

@ kevvo:

MWAV (eScan) - Free Antivirus

-> Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
Dauer des eScan: ca. 2-3 Stunden, je nach System!

Dann sehen wir weiter.

Gearsec ist net immer gefährlich, deswegen sag ich ja, hochladen! :o

Nabend allerseits,

Wer hat sowas behauptet?
Mir stellte sich nur die Frage, ob du dem TO helfen oder ihn verwirren möchtest, du hättest auch schreiben können ob es regnet schneit oder die Sonne scheint hängt ganz vom Wetter ab:balla:.
(Die arbeit mit Google hätte einiges erleichtert:rolleyes: )

Axo auf dem Sys scheint u.a. Vundo aktiv zu sein
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\hipnahby.dll",sitypnow
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\ojmhjeok.exe (file missing)

Was passiert? Denkst du der TO kommt nach der Nummer hier nochmal in dieses Board um sich "helfen" zu lassen:nixda:.

Unabhängig von der Datei, wenn es ne zweifelhafte Kiste ist sollte immer gegengeprüft werden, es gibt doch genug Onlinescanner.
Wenn das Onlineüberprüfen nicht hinhaut sollte man es angehen wie Bata es schon vorgeschlagen hat einfach mit einem vernünftigem Antivirenprogramm das System scannen.

Prost dann noch