Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Pc Anfängerin! Bekomme die Viren nicht weg! (https://www.trojaner-board.de/66314-pc-anfaengerin-bekomme-viren-weg.html)

Pinar_82 12.12.2008 12:06
Pc Anfängerin! Bekomme die Viren nicht weg!
 
Hallo,

ich habe ein grosses Problem! Wie wahrscheinlich alle, die sich hier melden.
Auf meinem PC (Windows XP mit ServicePack2) sind Viren, aber ich habe wirklich überhaupt keine Ahnung wie ich sie wegbekomme. Mein PC Spinnt völlig z.B. Wenn ich den Task Manager aufmache, schreibt der in weniger als einer Sekunde irgendwelche Tasks die ich nicht genau lesen kann; aber ich erkenne immer system32. Und dann befor ich irgendetwas anderes machen kann fährt der PC von selbst runter.
Ich habe AntiVir Personal Edition, aber hat wohl nicht gewirkt oder?
Ich habe wie gesagt keine Erfahrung in solchen dingen und kann auch fast kein Englisch. Ich würde mich Irre Freuen, wenn mir jemand Schritt für Schritt erklären kann was ich machen soll.
Also ich habe ein wenig im Board nachgesehen und bemerkt das jeder Daten mit seinem Thema schickt, ich habe das Programm heruntergeladen und Instaliert.
Die Überprüfung habe ich auch ganz nach Anleitung gemacht und gekuckt ob ich "Privates" finde. Mir ist nichts aufgefallen. Ich hoffe ich hab alles wichtige gesagt und bedacht. Ich Hoffe auf baldige Antwort.
P.S.: System wiederherstellung hat nicht funktioniert.

Hier die Hijackhis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:36:17, on 12.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\CameraFixer.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\mirc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~2\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finde-deinen-freund.com/v2/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: KRAL_FM Toolbar - {eb36ab41-9a06-4dbe-9387-78c7d4438803} - C:\Programme\KRAL_FM\tbKRA0.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: KRAL_FM Toolbar - {eb36ab41-9a06-4dbe-9387-78c7d4438803} - C:\Programme\KRAL_FM\tbKRA0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: KRAL_FM Toolbar - {eb36ab41-9a06-4dbe-9387-78c7d4438803} - C:\Programme\KRAL_FM\tbKRA0.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [scvhost] mirc.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eyeBeam SIP Client] "C:\Programme\CounterPath\X-Lite\x-lite.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - DefaultPrefix: http://www.myhottersearchbox.com/not_found_de/?url=
O13 - WWW Prefix: http://www.myhottersearchbox.com/not_found_de/?url=
O16 - DPF: {049A470D-F818-4E34-B14D-E4E237DADCF8} (CPlayFirstFashionDasControl Object) - http://webgames.d.tmsrv.com/c=dda29d221ca26a2b043a5bb10ca88d37/aff=t_25oa_deca_wg/p/release/playfirst/wg_fashiondash/fashiondash/fashiondashweb.1.0.0.21.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://www.flatcast-data.com/data/objects/NpFv501.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7457 bytes

Franz1968 12.12.2008 13:06
Hallo,

kannst du dieser Anleitung folgen?
Außerdem suche Virustotal auf. Gib dort in das Eingabefeld den folgenden Pfad ein
Code:
C:\WINDOWS\system32\mirc.exe
und klicke "Senden". Poste im Anschluss hier alle Ergebnisse.

Pinar_82 12.12.2008 15:26
Hallo,

danke erstmal für die schnelle Antwort.

Hier erstmal das Ergebniss von Anti-Malware:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 2

12.12.2008 15:16:01
mbam-log-2008-12-12 (15-16-01).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 98907
Laufzeit: 51 minute(s), 54 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\WINDOWS\system32\mirc.exe (Backdoor.Bot) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mirc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D473BEB7-D5A3-4422-A437-E2E7A8800CB7}\RP76\A0029040.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\73rYVJpG.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\teleworld\Lokale Einstellungen\Temp\~tmpa.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\teleworld\Lokale Einstellungen\Temp\~tmpd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Das Programm hat 5 infizierte Dateien gefunden, die ich nach deiner Anweisung gelöscht habe.

Und hier das Ergebniss von Virustotal:


Die Datei wurde bereits analysiert:
MD5: b766003f431cad186bd115f5761592d1
First received: 2006.05.24 19:28:59 (CET)
Datum 2008.12.10 18:32:29 (CET) [+1D]
Ergebnisse 21/38



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - Win-Trojan/MircPack.1790464
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - IRC-Worm.Generic.4561
CAT-QuickHeal - - Backdoor.mIRC-based
ClamAV - - -
Comodo - - Application.Win32.RiskWare.mIRC.~BAAB
DrWeb - - -
eSafe - - Win32.mIRC-based
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Renamed_mIRC.gen!Eldorado
F-Secure - - Client-IRC.Win32.mIRC.603
Fortinet - - IRC/Client
GData - - IRC-Worm.Generic.4561
Ikarus - - IRC-Worm.Win32.Tedeto.a
K7AntiVirus - - Non-Virus:Client-IRC.Win32.mIRC.603
Kaspersky - - not-a-virus:Client-IRC.Win32.mIRC.603
McAfee - - potentially unwanted program IRC/Client
McAfee+Artemis - - potentially unwanted program IRC/Client
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - Bck/MIRCBased.BI
PCTools - - Backdoor.IRCBot
Prevx1 - - Malicious Software
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - mIRC based
Symantec - - -
TheHacker - - Aplicacion/Riskware.mIRC.6.03
TrendMicro - - -
VBA32 - - BackDoor.IRC.based
ViRobot - - Trojan.Win32.IRCFlood.1790465
VirusBuster - - -
weitere Informationen
MD5: b766003f431cad186bd115f5761592d1
SHA1: 33cdfe6f7fa6b321f9a51cc051c32ba924164b10
SHA256: 22bdb2606020b82349a629248b599b64235c91e8b450e355a245ef09ece57e1d
SHA512: d03cabf713c14a40588ec3d5d7c89be91a0bc2e7b472464ed058b2cce0afe58eaaf7386ce5e6297218b3e677e290625506760ad883412b7f94c3330aa9b9f834

Pinar_82 13.12.2008 17:14
Hallo,

und was soll ich jetzt machen? Ist alles ok mit meinem PC?

Franz1968 13.12.2008 17:57
Zitat:
Zitat von Pinar_82 (Beitrag 398515)
Ist alles ok mit meinem PC?
Nein, leider. Du hast eine Backdoor auf dem Rechner, der dadurch kompromittiert ist. Du solltest ihn neuaufsetzen, nach dieser Anleitung.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131