Trojaner-Board - Hilfe!!! Wie bekomme ich den Virus los?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe!!! Wie bekomme ich den Virus los? (https://www.trojaner-board.de/6531-hilfe-bekomme-virus-los.html)

Hilfe!!! Wie bekomme ich den Virus los?

Hallo,
ich habe XP und IE 6. Seit kurzem verhält sich der IE komisch, meine Startseite ist eigentlich google, jetzt ist nach jedem Start http://yellow-pages.ws/ drin. Dann schließen sich einfach mal Fenster selbst, die rechte Maustaste reagiert auch ab und an nicht(auch in anderen Programmen nicht), und dann läuft mein PC fast ständig mit Lüfter. Hab mir das neue Update für IE 6 draufgespielt, dachte dann kannst Du auch gleich die Erweiterung IE 6 Pack1 installieren, die bricht aber ständig ab(das Sicherheitszertifikat wird von Windows nicht akzeptiert, obwohl von Windows direkt gedownloadet,komisch). Seitdem zeigt mir IE Scriptfehler bei Formularen an, wenn ich diese aktivieren will. Hab heute auch meinen AntiVir update und durchlaufen lassen, der bricht aber ständig mitten drin ab(ein Fehler ist auf getreten, das Programm wurde geschlossen). Zu guter letzt will ich jetzt eine Worddatei per Doppelklick öffnen, tut sich nichts, dann geht die rechte Maustaste mal wieder, steht da wo sonst Datei öffnen steht: Datei als .ace versenden. Vermute ich hab die Datei jetzt irgend jemanden versendet.

So nun könnt Ihr Euch denken, was ich für eine Wut im Bauch habe.

Würde mich freuen, wenn mir hier jemand helfen kann, habe leider nicht all so viel Ahnung mit PC und Programmieren.

Sofie

Da dich hier keiner Begrüßt tue ich es mal: Willkommen auf dem Board Sofie!
Um genaueres über dein System zu erfahren solltest du den Anweisungen auf dieser Page folgen. http://www.hijackthis.de/index.php
Zusätzlich kannst du dein Logfile unter "HijackThis Logs posten" zur Überprüfung reinsetzen.

Hi Sofie,

kannst Du Antivir im abgesicherten Modus durchlaufen lassen?

Abgesicherter Modus: http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Gruß :daumenhoc

Ich hab jetzt hijacking gemacht. Ist echt interessant was da so alles läuft. Wie muß ich nun weiter vorgehen um auch nichts falsches zu löschen? Löscht Hijack das selber, oder nur die Systemeinträge in der Registry? Hier der Link zu meiner Auswertung: http://www.hijackthis.de/logfiles/3f...24513e4bd.html

@Yopie
das werde ich jetzt gleich mal probieren

@Yopie

im abgesicherten Modus läft AntiVir, hat aber nichts gefunden, nur jede Menge Warnungen, das er Dateien nicht öffnen darf. :(

Mach mal dies: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues Log hier ins Forum!

@Christian

Super! :bussi: Es wurden ganze 6 Ungeziefer gefunden und entfernt.
In der Registry stehen sie aber noch drin, soll ich sie dort fixen wie das in der HijackThis Auswertung steht? Hier meine Auswertung nach dem escan: http://www.hijackthis.de/logfiles/4c...d57a69e07.html

Die neuste IE Version läßt sich trotzdem nicht installieren, kommt immer wieder zum Abbruch, da eine Komponente den Logotest nicht bestanden hat. Was mache ich da? Da kann ich mir ja jederzeit den Virus wieder einfangen?

Poste mal das gesamte Log hierrein, also ohne zu verlinken.
Dann kann man nämlich das kopieren, was du fixen musst. :blabla:

@Christian

Logfile of HijackThis v1.98.0
Scan saved at 13:23:00, on 29.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Compaq\EAB\EabServr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.yellow-pages.ws/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yellow-pages.ws/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yellow-pages.ws/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/...c02&lc=0407&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.yellow-pages.ws/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yellow-pages.ws/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [olehelp] C:\WINDOWS\System32\olehelp.exe
O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINDOWS\Windows Update Setup-Dateien\ie6setup.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://weba.directwebsearch.net/wins...searchie32.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {68459DB3-59C9-449D-815B-65F729385C16} (VoiceSecure Control) - http://www.mmtalk.com/mmtalk.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{583BEDA7-1229-4054-91ED-8BCF5D02C8F3}: NameServer = 192.168.0.1
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

Zitat:

Zitat von Sofie

Die neuste IE Version läßt sich trotzdem nicht installieren, kommt immer wieder zum Abbruch, da eine Komponente den Logotest nicht bestanden hat. Was mache ich da?

Schau mal in der MS-Knowledge-Base. Vielleicht hilft Dir http://support.microsoft.com/default...d=kb;DE;822798 weiter.

Und nun zum Log:
Fixen:
- alle R1-Einträge
- alle 01-Einträge
- O4 - HKCU\..\Run: [olehelp] C:\WINDOWS\System32\olehelp.exe
- O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINDOWS\Windows Update Setup-Dateien (das ist wahrscheinlich vom fehlgeschlagenen Update-Versuch übrig)

- O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://weba.di
- O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

Wenn alles wieder in Butter ist, rate ich Dir zudem zu einem Browserwechsel. Firefox ist sicherer und besser als der IE.

Gruß :daumenhoc
Yopie