virus wen ich auf die Festplatte zugreife
 

Hallo habe ein Problem mit dem pc und zwar wen ich Den ordner Festplatte öffnen will zeigt er mir jedes mal eine virus warnund tmp*** also immer eine tmp und eine zahl oder 2 buchstaben immer unterschiedlich.
Desweiteren bekomm ich dauernt Werbung selbst wen ich den Firefox oder Internet explorrer nur öffne.
Ich habe einiges hier im forum Gelesen und versucht und habe auch ein hijackthis log gemacht und endekt das da eine ip ist mit Ukraeine und hab in der Netzwergugebung gesehn das meine DNS immer automatik umgeändert wird, Ich habe den pc zurückgesetzt und wiederherstellungspunkte gelöcht, mit ad aware ein komplett scan gemacht alle spywre gelöcht , mit avira komplett scan gemacht alle viren gelöcht ,seit dem ist das mit der DNS nicht mehr.Bin mir aber nicht sicher ob das wirklich weg ist.
Nur noch das problem mit der Festplatte.
Ich hoffe ihr könnt mir helfen ich were sehr Dankbar
Ich will so gut wie möglich auf ein Windows neu aufspielen verszichten da ich das schon satt habe schon zu oft gemacht:)
Ich sag mal danke im Voraus

Hier der HiJackThis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:18:37, on 26.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AlienGUIse\wbload.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Watch.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\Neuer Ordner\This.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\Ad-Watch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17EEEA3E-B58B-4FE8-8467-119AD692872C}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{17EEEA3E-B58B-4FE8-8467-119AD692872C}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: NVDESK32.DLL,wbsys.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component 0: (no name) - h**p://img1.megavideo.com/8/9/f794a89f718b938aa3e2d5712bc6e6.jpg

--
End of file - 7209 bytes

Gruß Kolle

Hallo,

hast du folgende Datei?
C:\resycled\boot.com

Btw. führe folgendes Tool aus:

Random's System Information Tool

• Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
• Starte RSIT mit einem Doppelklick.
• Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
• Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
• Poste den Inhalt der beiden Logfiles in [code]-Tags:

hallo danke für die antword
also die datei C:\resycled\boot.com hab ich ist aber ein veteckter ordner.
so zu dem Rsit kommt ein error meldung error: Parsing Funktion Call.

Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Note:
Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt
Lass es zu das ComboFix ge-updatet wird
Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

seit ich das combofix gemacht hab kommt kein virus mehr wen ich auf die festplatte klicke
so hier die combofix.txt
sie ist zu lang habe sie in 2 helfte machen müssen

@Argus

Platz bitte nicht einfach in fremde Threads ein um deinen Senf hinzuzugeben :pfui:

Besonders wenn es unangekündigt ist.

mfg

CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (file missing)
klicke: Fix checked

Benutze CCleaner
http://www.trojaner-board.de/51464-anleitung-ccleaner.html

Systemwiederherstellung (de)aktivieren

Entschuldige,wirds nicht mehr machen :heulen:

@Argus

Ist nicht böse gemeint, du kannst dich schon einmischen, wenn du was hinzufügen möchtest, aber angekündigt bitte ;)

BTT

@TO

Hast du schon Flash Disinfector laufen lassen?

so habe das jetzt alles gemacht.
da sind ein paar sachen anders und zwar
mein anti virus und anti spyware gehen nicht automtig an,
und im C:/ ordner sind 3 dateien
1.cmldr
2.boot.bak
3.Combofix.txt
kann ich die löschen?

Ist von der Wiederherstellungskonsole.
Backup der boot.ini
Das von dir gepostete Combofix Logfile. Das kannst du löschen.

ok habe die
Combofix.txt gelöscht

Ist mein pc jetzt Clean also frei von viren oder muss ich noch was machen?

Bitte noch einen Onlinescan:

Kaspersky-Onlinescanner:


(Dieser Scanner entfernt die Funde nicht, aber gibt einen guten Überblick über evtl. noch vorhandene Infektionen)
Überprüfe Dein komplettes System mit dem Kaspersky-Onlinescanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Antivirenprogramm, Firewall, Script-Blocking, etc.) abstellen. Java muss aktiv und aktuell sein (Aktuell Java6 Update10). Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein (Bebilderte Anleitung von sundavis => Klick).

• Öffne den Browser und surfe Kaspersky-Onlinescanner an (Bei NoScript => Seite erlauben).
• Akzeptiere die Datenschutzerklärungen.
• Installiere die ggf. nötigen AktiveX-Steuerelemente.
• Update der Signaturen installieren lassen => Weiter
• Scan-Einstellungen => Standard wählen => OK
• Den Link "Arbeitsplatz" anklicken.
• Der Scan beginnt nun automatisch.
• Untersuchung wurde abgeschlossen => Protokoll speichern als...
• Dateityp auf .txt umstellen und auf dem Desktop als Kaspersky.txt abspeichern.
• Poste dann dessen Inhalt in Deine nächste Antwort.

Deinstallation:
Den Scanner brauchst Du nicht deinstallieren, denn er legt die kompletten Daten hier ab
=> C:\Dokumente und Einstellungen\%Benutzername%\Lokale Einstellungen\Temp\jkos-%Benutzername%
Den Ordner kannst Du entweder manuell leeren oder mit dem CCleaner.

ich versteh die seite nicht da ist alles auf englich und ich kan kein englich^^

Schau dir die bebilderte Anleitung an, Bilder interpertieren kannst du, oder? :rolleyes:

achso da ist eine bilder anleitung^^
ei dan mach ich das mal

Ok, ich warte. :rolleyes:

sry must aber leider noch bilse länger warte weil mein pc seit gestern dauernt abstürzt also 3 mal insgesamt und kommt ein blauer screen mit ner meldung und wen ich hochfahre steht Operating System not found
in dem blue screen steht noch Kernel_Stack_Ihpase_Error.
Also ich muss erst schauen was das ist ich komme nicht zum scanne.
gru? kolle

Deaktiviere den Automatischen Neustart und notiere dir den nächsten Bluescreen komplett und poste ihn anschließend.

hab es deaktiviert kommt kein bluescreen

Dann mach das, was den Bluescreen vermutlich verursacht hat.

ok ich glaub es war schon 2 mal als ich den kaspersky scan gemacht habe ich scan nochmal sobald was kommt poste ich alles hier

Okay,
vergiss nicht die STOP-Parameter beim Bluescreen mitzunotieren. ;)

welche Stop Parameter also ich schreib alles von der seite ab oder mache ein bild.
zu laspersky aus irgenteinem grund geht die seite nicht mehr es kommt diese meldung Please enable Java and JavaScript in your Web browser.
ich habe aber java gerade eben also heute mittag java neuinstaliert.

Edit:
wen du wilst könne wir auch über icq schreiben

Du musst Java aktivieren bzw. zulassen.
Mit welchem Browser surfst du die Seite an?

mit Firefox ich mach mal mit internet explorrer da geht es

Beim Internet Explorer musst du das ActiveX Element zulassen, wie es in der Anleitung steht. ;)

ich weis mit internet explorer geht es ja ^^
achso de blue screen war erst 2 mal nicht 3 und das war immer nur wen ich diesen kasperski scan gemacht habe

Wenn er wieder kommt, den einfach notieren und posten, sodass man evtl. die Ursache dafür ausfindig machen kann. ;)

ok wird bilsle dauern der braucht lang:)

So also der scann hat funktioniert es hat komplett gescannt ohne absturz
gut ich hab diesmal mit IE gescann letztens war es ja mit Firefox.
hier der log
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, November 29, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Friday, November 28, 2008 20:44:08
Records in database: 1424329
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
E:\

Scan statistics:
Files scanned: 136590
Threat name: 2
Infected objects: 2
Suspicious objects: 0
Duration of the scan: 03:51:12


File name / Threat name / Threats count
C:\Dokumente und Einstellungen\Kollegah\Desktop\°\ProRat_v1.9\ProRat.exe Infected: Backdoor.Win32.Prorat.19 1
C:\Dokumente und Einstellungen\Kollegah\Desktop\°\Viele fenster.bat Infected: Trojan.BAT.Flood.c 1

The selected area was scanned.

Sieht wunderschön aus.
Hier deine nächste Freizeitbeschäftigung:

http://www.trojaner-board.de/51262-a...sicherung.html

mfg

omg^^ warum muss ich den neu machen.
Ist da irgentwie was auf dem pc das nicht mehr weg geht.
Also es gab immoment keine Probleme mehr.

Warum?
Weil du einen sehr unauffälligen ProRAT Backdoorserver am Laufen hast, deswegen.

Falls jetzt kommt, das teste ich mit einem Kumpel, kann ich dir gleich sagen, dass ca. 80% aller ProRAT Clienten verseucht sind, sodass nicht nur dein "Kumpel" Zugriff auf deinen Rechner hat.

mfg

dieser prorat server hab ich in einem ordner von mir der heist ° und der server hab ich nicht gestartet oder sonst was gemacht hab den gelöcht

Du hast den Server erstellt, dass heißt, du hast den Client benutzt und der ist imo infiziert. ;)

nein das ist nit der server das ist der client selber