Schwarzer Bildschirmhintergrund, Verzweiflung: Wer kann helfen?
 

Wer kann helfen? Ich habe ein Dialer/Virus oder derartiges auf dem Compi und bekommen ihn nicht weg. Mit Adware, Spybot, Antivir, und Spyboucer habe ich jetzt rumgewerkelt und bin am Ende.
Der Virus zeigt sich an der Desktop-Oberfläche, der Bildschirmhintergrund wird schwarz (die Icons sind noch vorhanden) und meldet große Warnungen. Die genannten Programme bekommen das nicht weg. Mit HiJack This habe ich jetzt schon fast alles gelöscht. Wer kennt dieses Problem und kann helfen?
Gruß Panik :o

Ach ja, noch etwas: Norten Antivirus lässt sich nicht starten, aber auch nicht löschen und neu aufspielen, so als ob es geblockt wird?????
Panik

Bitte poste mal den Hijackths Logfile.
Was werden denn für Warnungen angezeigt?

Ich hoffe das ist ok so:
(die Probleme normaler Anwender!)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NWTRAY.EXE
C:\Programme\Roxio\GoBack\GBTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.1.1:3128;http=192.168.1.1:3128;https=192.168.1.1:3128;socks=192.168.1.1:1080
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\Virenschutz\YAW 3.5\yawguard.exe"
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O4 - Global Startup: SpyBouncer.lnk = C:\Programme\Bouncer\Bouncer.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe (file missing)

Danke für die Mühe
Gruß Panik :o

Bitte teile noch mit, welche Warnmeldung am Desktophintergrund angezeigt wird.

Zu Beginn stand dort in dem schwarzen Desktophintergrund ein Fenster mit "Warning, you´re in Danger ! .... Secure youreself right now ! Remove all spyware form your PC !" und da ist dann ein Link zum anklicken: "Removal instructions", der führt auf die Seite w**.topantispyware.com/overview.php.

Mittlerweile habe ich das Fenster entfernt, auch die Warnhinweise und habe nur noch einen weißen Hintergrund. Das ist aber auch nicht die Lösung.
Ich scanne nun schon Stunden lang, gerade mit Yaw 3.5 erhalte dort keine Meldung, jedoch bei AntiVir XP eine Trojanermeldung unter C/Dokumente/XXX/LOKALE/TEMP/AAWTMP/C1066.....Ja und wie schon mitgeteilt, Norten geht weder runter noch wieder neu rauf.
Danke
Gruß Panik

Nachtrag und zusätzliche Info: Adware hat gerade beim Scannen eine Meldung gemacht: Tracking IECacheEntry Datea Miner, was auch immer das bedeutet. Yaw ihat auch fertig gescannt und hat keine Meldung/Dialer entdeckt.

Muss leider weg, sehe aber später noch mal rein. Würde mich über weitere Infor freuen, da sie für mich super wirklich wichtig sind. Danke im voraus.
Panik

Muss leider weg, sehe aber später noch mal rein. Würde mich über weitere Infor freuen, da sie für mich super wirklich wichtig sind. Danke im voraus.
Panik

@ Panik

Wenn du zukünftig einen deiner Beiträge bearbeiten willst, dann verwende den 'Editieren' Button! Kein Grund zur Sorge, denn dieser temporäre Ordner wird von Ad-Aware angelegt.
Lösche einfach das infizierte Archiv. Unter Eigenschaften von Anzeige -> Desktop -> Desktop anpassen -> Web -> alle Haken entfernen bzw. den Eintrag Security löschen -> OK.

In deinem HJT Log-File fehlen die Systeminformationen, teile sie uns noch mit.
Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Hallo und guten Tag,
so den Bildschirm habe ich reinigen können (unter Einstellungen, Desktop, etc, wie beschrieben), vielen Dank.

Escan Antivirus habe ich wie geschrieben im abgesicherten Modus laufen lassen. Hier die Daten: Ich hoffe das Posten hat geklappt, bin ja leider nur eine wenig kompetenter Anwender. Sollte das nicht korrekt sein, bitte ich um Hilfe beim Posten:
Das Programm hat einen TR/Dailer.T.2 gefunden.
Hier die Daten:

Temporärer Pfad: %TEMP% -> C:\DOKUME~1\INGOTA~1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden


C:\
info6_s.cab
ArchiveType: CAB (Microsoft)
--> Information.exe
[FUND!] Ist das Trojanische Pferd TR/Dialer.T.2
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AdobeAcrobatReader.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AdobeAcrobatReader1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AdobeAcrobatReader10.zip
bis 27.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AdobeAcrobatReader3.zip
ArchiveType: ZIP
bis 11.zip
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommonDialogs2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommonDialogs3.zip
ArchiveType: ZIP

etc. endlos viele Dateien mit dem Hinweis

HINWEIS! Das gesamte Archiv ist passwortgeschützt

bis
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WinZip7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information


C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Dienstag, 17. Mai 2005 11:29
Benötigte Zeit: 47:51 min


3078 Verzeichnisse wurden durchsucht
76389 Dateien wurden geprüft
11 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden

Ich hoffe, dass die Daten weiterhelfen,
Gruß Panik

So jetzt noch einmal, nachdem ich genau die escan Anleitung gelesen und hoffentlich befolgt habe.
Die Systemwiederherstellung ist noch abgeschaltet, ist hoffentlich ok.
Hier die Daten:


Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 19:43:24 2005 => System found infected with SideFind Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No Action Taken.
Tue May 17 19:43:24 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
Tue May 17 19:44:18 2005 => System found infected with Roings Spyware/Adware (objsafe.tlb)! Action taken: No Action Taken.
Tue May 17 19:44:30 2005 => System found infected with farmmext Spyware/Adware (farmmext.inf)! Action taken: No Action Taken.
Tue May 17 19:45:50 2005 => File C:\WINDOWS\System32\compml4a.exe infected by "Backdoor.Win32.PPdoor.x" Virus! Action Taken: No Action Taken.
Tue May 17 19:46:14 2005 => File C:\WINDOWS\System32\ggdkaaaa.exe infected by "Trojan-Dropper.Win32.Small.wv" Virus! Action Taken: No Action Taken.
Tue May 17 19:47:45 2005 => File C:\WINDOWS\System32\thun32.dll infected by "Trojan-Proxy.Win32.Small.bk" Virus! Action Taken: No Action Taken.
Tue May 17 19:47:57 2005 => File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Proxy.Win32.Small.bo" Virus! Action Taken: No Action Taken.
Tue May 17 19:57:20 2005 => File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t" Virus! Action Taken: No Action Taken.
Tue May 17 20:00:16 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue May 17 20:00:16 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0003445.EXE.VIR
Tue May 17 20:00:16 2005 => File C:\Programme\AVPersonal\INFECTED\A0003445.EXE.VIR infected by "Trojan.Win32.WebSearch.i" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:05 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\01A0579F.exe infected by "Email-Worm.Win32.Bagz.i" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:05 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\01AD7F90.EXE infected by "Trojan.Win32.WebSearch.i" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:05 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\034575CD.exe infected by "Trojan-Downloader.Win32.Stubby.c" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:05 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\03481FC9.exe infected by "Trojan-Downloader.Win32.Stubby.c" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:05 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\034C49C5.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:06 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\034C49C5.ocx infected by "Trojan-Clicker.Win32.Adpower.n" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:06 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\035547BB.tmp infected by "Trojan-Downloader.Win32.Small.aha" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:06 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0A2B67AD.exe infected by "Trojan-Downloader.Win32.Small.rd" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:07 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0A4C0B89.exe infected by "Trojan-Clicker.Win32.Small.cx" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:07 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\108467BB.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:07 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\109E379E.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:07 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\20991DDC.exe infected by "Trojan-Proxy.Win32.Sobit.e" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:07 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\22B507A1.tmp infected by "Trojan-Dropper.Win32.Small.oy" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:07 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2D9B45A9.tmp infected by "Trojan-Dropper.Win32.Small.vn" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\33D74AC7.exe infected by "Email-Worm.Win32.Bagz.h" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\36511C2B.exe infected by "Trojan-Downloader.Win32.Small.uv" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\369C67E0.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\36B063CB.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\384F4428.dll infected by "Trojan.Win32.TopAntiSpyware.i" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\394B31CA.exe infected by "Email-Worm.Win32.Bagz.i" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3D59532C.exe infected by "Trojan.Win32.TopAntiSpyware.i" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FB801DB.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\404F26CE.exe infected by "Trojan-Downloader.Win32.Small.aha" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:08 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\41677AB5.chm infected by "Trojan-Downloader.VBS.Psyme.x" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\42145942.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\42F95446.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\43A60588.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\48776799.exe infected by "Email-Worm.Win32.CWS.a" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4BDF62CC.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4C992188.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4D014A9A.exe infected by "Trojan-Clicker.Win32.Small.cx" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\50733729.dll infected by "Trojan-Proxy.Win32.Small.bk" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:10 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\50C17D63.tmp infected by "Trojan-Dropper.Win32.Agent.hj" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:10 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\572C762D.chm infected by "Trojan-Downloader.VBS.Psyme.x" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:10 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5A4D208A.tmp infected by "Backdoor.Win32.Agent.ka" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:10 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5FA658A8.exe infected by "Backdoor.Win32.Agent.ka" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:10 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\636650D1.exe infected by "Trojan-Downloader.Win32.IstBar.ij" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:11 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\64CF0D1B.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:11 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\65C611EA.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:11 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\65C93BE6.exe infected by "Trojan-Downloader.Win32.Small.uv" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:11 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\65CC65E3.exe infected by "Trojan-Downloader.Win32.Small.uv" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:11 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\65DD37D1.exe infected by "Trojan-Downloader.Win32.Small.uv" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:11 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6985488F.exe infected by "Email-Worm.Win32.Bagz.h" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:12 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\78FA3576.exe infected by "Trojan-Downloader.Win32.Small.rd" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:12 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\79CF5E8C.exe infected by "Trojan-Clicker.Win32.Small.cx" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:12 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7CC24B25.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus! Action Taken: No Action Taken.
Tue May 17 20:06:12 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7D6E38CD.exe infected by "Trojan-Downloader.Win32.Delf.dd" Virus! Action Taken: No Action Taken.
Tue May 17 20:37:25 2005 => File C:\WINDOWS\system32\compml4a.exe infected by "Backdoor.Win32.PPdoor.x" Virus! Action Taken: No Action Taken.
Tue May 17 20:41:25 2005 => File C:\WINDOWS\system32\ggdkaaaa.exe infected by "Trojan-Dropper.Win32.Small.wv" Virus! Action Taken: No Action Taken.
Tue May 17 20:43:47 2005 => File C:\WINDOWS\system32\thun32.dll infected by "Trojan-Proxy.Win32.Small.bk" Virus! Action Taken: No Action Taken.
Tue May 17 20:44:13 2005 => File C:\WINDOWS\system32\wldr.dll infected by "Trojan-Proxy.Win32.Small.bo" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:12 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 19:52:31 2005 => File C:\Dokumente und Einstellungen\Ingo Taurat\Desktop\backups\backup-20050224-174046-572.dll tagged as "not-a-virus:AdWare.BHO.Ihbo.gen". Action Taken: No Action Taken.
Tue May 17 20:06:05 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\03424BD0.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Tue May 17 20:06:06 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\03521DBE.exe tagged as "not-a-virus:AdWare.ToolBar.SideFind.a". Action Taken: No Action Taken.
Tue May 17 20:06:06 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\03521DBE.ocx tagged as "not-a-virus:Porn-Downloader.Win32.Holistyc.a". Action Taken: No Action Taken.
Tue May 17 20:06:06 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\035971B7.dll tagged as "not-a-virus:AdWare.ToolBar.YourSiteBar.c". Action Taken: No Action Taken.
Tue May 17 20:06:06 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\06392115.dll tagged as "not-a-virus:AdWare.WinAD.af". Action Taken: No Action Taken.
Tue May 17 20:06:06 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\063C4B11.exe tagged as "not-a-virus:AdWare.WinAD.af". Action Taken: No Action Taken.
Tue May 17 20:06:07 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\29E624DA.dll tagged as "not-a-virus:AdWare.WinAD.af". Action Taken: No Action Taken.
Tue May 17 20:06:09 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4CA31F7D.dll tagged as "not-a-virus:AdWare.WinAD.af". Action Taken: No Action Taken.
Tue May 17 20:06:10 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\58C5343C.exe tagged as "not-a-virus:AdWare.WinAD.af". Action Taken: No Action Taken.
Tue May 17 20:06:12 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6EF60CD0.exe tagged as "not-a-virus:Porn-Dialer.Win32.Holistyc.gen". Action Taken: No Action Taken.
Tue May 17 20:12:52 2005 => File C:\System Volume Information\_restore{32353A05-11A9-40F3-984A-D73A75C0C9C3}(2)\RP15\A0000743.dll tagged as "not-a-virus:AdWare.ToolBar.BHO.j". Action Taken: No Action Taken.
Tue May 17 20:12:54 2005 => File C:\System Volume Information\_restore{32353A05-11A9-40F3-984A-D73A75C0C9C3}(2)\RP15\A0000755.dll tagged as "not-a-virus:AdWare.ToolBar.BHO.j". Action Taken: No Action Taken.
Tue May 17 20:12:54 2005 => File C:\System Volume Information\_restore{32353A05-11A9-40F3-984A-D73A75C0C9C3}(2)\RP15\A0000756.dll tagged as "not-a-virus:AdWare.ToolBar.BHO.j". Action Taken: No Action Taken.
Tue May 17 20:12:54 2005 => File C:\System Volume Information\_restore{32353A05-11A9-40F3-984A-D73A75C0C9C3}(2)\RP15\A0000757.dll tagged as "not-a-virus:AdWare.ToolBar.BHO.j". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 20:51:12 2005 => Total Virus(es) Found: 81
Tue May 17 20:51:13 2005 => Total Errors: 705
Tue May 17 20:51:13 2005 => Time Elapsed: 01:08:35
Tue May 17 20:51:12 2005 => Total Objects Scanned: 55215
Tue May 17 19:41:43 2005 => Virus Database Date: 2005/05/17
Tue May 17 20:51:13 2005 => Virus Database Date: 2005/05/17
Tue May 17 21:09:05 2005 => Virus Database Date: 2005/05/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Also wohl einiges an Viren dabei.

Wer kann mit jetzt weiterhelfen?

Danke und Gruß von Panik :(

Hallo,

sichere die Dialer je nach Verbindungsart bitte auf Diskette-> Dialer-Hinweis

Dann setzt du bitte dein System neu auf, da es in keinster Weise mehr vertrauenswürdig ist. Halte dich dabei an diese Anleitung.


Gruß Haui

Du scheinst den zu haben:
http://www.viruslist.com/de/viruses/...?virusid=81076
Der ist noch relativ neu.
Da es ein Backdoor ist, hätte ich zu meinem PC kein absolutes Vertrauen mehr. Ich würde dann doch nach Cidres anleitung vorgehen:
http://www.trojaner-board.de/showthread.php?t=12154

Vielen Dank für die netten aber deprimierenden Antworten.
Frage: Gehen dabei alle bisherigen Daten verloren? D.H wird alles noch einmal bei 0 begonnen, oder gibt es eine Alternative?
Danke, Gruß Panik

Wenn du deine Festplatte formatierst, werden alle Dateien darauf gelöscht. Du kannst nicht ausführbare Dateien jedoch relativ gefahrlos sichern. Vor dem Zurüchspielen trotzdem mit einen Virenscanner (z.B. eScan) checken.

Na dann muss ich wohl da ran, hift ja nichts. Vielen Dank, Gruß Panik

Liebe Experten, ich benötige jetzt noch einmal Hilfe:
Jetzt habe ich das System neu aufgespielt.
Anschließend habe nocheinmal alles gecheckt. Mit Norten Antivirus (keine Meldung), Spybot (keine Meldung), adware (keine Meldung) und im abgesicherten Modus jetzt (bei deaktivierter Systemerneuerung (richtig?) mit eScan (Fehlermeldung!) und Hijack This.
Es wäre sehr nett, wenn Ihr mal rübersehen könntet, und eine Rückmeldung geben könnt, ob noch etwas im Argen liegt. Bevor ich die weiteren Programme wieder aufspiele.
Vielen Dank, hier die Meldungen:

eScan Daten :
Funde für "infected"
Thu May 19 08:03:29 2005 => Total Disinfected Files: 0
Thu May 19 09:08:52 2005 => Total Disinfected Files: 0

Funde für "tagged"
Statistiken:
Thu May 19 08:03:29 2005 => Total Virus(es) Found: 1
Thu May 19 09:08:52 2005 => Total Virus(es) Found: 1
Thu May 19 08:03:30 2005 => Total Errors: 15
Thu May 19 09:08:52 2005 => Total Errors: 15
Thu May 19 08:03:30 2005 => Time Elapsed: 00:15:22
Thu May 19 09:08:52 2005 => Time Elapsed: 00:37:01
Thu May 19 08:03:29 2005 => Total Objects Scanned: 22483
Thu May 19 09:08:52 2005 => Total Objects Scanned: 38216
Thu May 19 07:47:16 2005 => Virus Database Date: 2005/05/16
Thu May 19 08:03:30 2005 => Virus Database Date: 2005/05/16
Thu May 19 08:03:52 2005 => Virus Database Date: 2005/05/16
Thu May 19 08:19:46 2005 => Virus Database Date: 2005/05/16
Thu May 19 08:31:13 2005 => Virus Database Date: 2005/05/19
Thu May 19 09:08:52 2005 => Virus Database Date: 2005/05/19
Thu May 19 09:22:42 2005 => Virus Database Date: 2005/05/19

aus der mwav.log
[General]
EngineType=1

[Welchia]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","",""
DeleteFile1=%winsysdir%\wins\svchost.exe
DeleteFile2=%winsysdir%\wins\Dllhost.exe

[LovGate]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","",""
Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","",""
Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","",""
DeleteFile1=%winsysdir%\NetServices.exe
DeleteFile2=%winsysdir%\RAVMOND.EXE
DeleteFile3=%winsysdir%\RAVMOND.EXE
DeleteFile4=%winsysdir%\WinGate.exe
DeleteFile5=%winsysdir%\WinDriver.exe
DeleteFile6=%winsysdir%\WinHelp.exe
DeleteFile7=%winsysdir%\winrpc.exe
DeleteFile8=%winsysdir%\ily.dll
DeleteFile9=%winsysdir%\task.dll
DeleteFile10=%winsysdir%\reg.dll
DeleteFile11=%winsysdir%\1.dll
DeleteFile12=%winsysdir%\win32vxd.dll
DeleteFile13=%winsysdir%\kernel66.dll
DeleteFile14=%winsysdir%\kernel66.dll
DeleteFile15=%winsysdir%\iky668.dll
DeleteFile16=%winsysdir%\reg678.dll
DeleteFile17=%winsysdir%\task688.dll
DeleteFile18=%winsysdir%\111.dll

[CodeRed]
DeleteFile1=%inetpub%\scripts\root.exe
DeleteFile2=%PF%\common~1\system\MSADC\root.exe
DeleteFile3=%SYSTEMDIR%explorer.exe
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D

[OpaServ]
DeleteFile1=%SYSTEMDIR%\Tmp.ini
; this is Opaserv.M
DeleteFile2=%SYSTEMDIR%\MSLICENF.COM
DeleteFile3=%SYSTEMDIR%\BOOT.EXE
BAT1=Autoexec.bat,MSLICENF
BAT2=Autoexec.bat,BOOT.EXE

[Sobig.e]
DeleteFile1=%winsysdir%\cgtask.exe
DeleteFile2=%winsysdir%\mmtask.exe

[Winupie]
DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll

[Swen]
DeleteFile1=%winsysdir%\SWEN*.DAT

[JS.Fortnight]
DeleteFile1=%PF%\sign.htm
DeleteFile2=%PF%\sign.html

[Novarg]
DeleteFile1=%winsysdir%\shimgapi.dll

[Pagabot]
Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"",""

[Parite.b]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"",""

[Parite.a]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"",""

[Adware.SeekSeek]
Reg1=HKEY_CURRENT_USER\Console,UUID,"",""
Reg2=HKEY_CURRENT_USER\Console,lp,"",""


Und hier noch die HiJackThis Daten:

Logfile of HijackThis v1.99.1
Scan saved at 09:32:34, on 19.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Anti Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Anti Virus\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Anti Virus\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Anti Virus\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ANIWZCSService] C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programme\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116447453102
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Anti Virus\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Anti Virus\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Anti Virus\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

So ich hoffe, dass alles ok ist. Danke für die Mühe und Antwort.

Noch ein paar Fragen:
Welche Windows-updates sind unerlässlich?
Welche Programme außer
Norten anti Virus,
adware,
spybot,
escan
HiJack This
sind noch wichtig regelmäßig einzusetzen?
Womit blocke ich Dialer?
Und ist der Regcleaner (wo bekomme ich ihne) wichtig?

Ich weiß, eine Menge Fragen, aber jetzt wo ich ein gebrandmarktes Kind bin ...
Vielen Dank :party:

Um alle Einstellmöglichkeiten wieder herzustellen bzw. zu aktivieren, lade den Editor und kopiere folgenden Code innerhalb der Striche ein:
-------------------------------------------------------------------------------------------------------------------------------------
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"WallpaperStyle"=-
"Wallpaper"=-
"NoDispBackgroundPage"=-
"NoDispAppearancePage"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"NoActiveDesktop"=-
"NoSaveSettings"=-
"ClassicShell"=-
"NoThemesTab"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
-------------------------------------------------------------------------
Speicher die Datei wie folgt auf den Desktop:

Speichern unter:

Dateityp: Alle Dateien (*.*)
Dateiname: fix.reg

Auf dem Desktop die Datei starten (Muss jetzt eine Registrierungsdatei sein).

Dann Neustart

Viel Erfolg

Sorry,
mit der Übertragung schein es wohl zu hapern,

der Code wurde aus der Word-Datei nicht richtig kopiert, auch mit der
Übertragung als solche scheint es nicht richtig zu klappen.

Also zum zweiten Mal mein Hinweis:

Es darf kein Blank zwischen "CurrentVersion" sein.

Bitte 3 x korrigieren.