|
Nach Formatierung Virus immer noch da. Bitte um Hilfe Hallo zusammen, erstmal Infos zu meinem PC. BS: Windows XP prof. SP2 Motherboard: Asus A7n8x-e deluxe GK: Radeon x1650 PRO FP: 2 Partitionen, eine für Windows, eine für den Rest der Daten Connc.: hinter einen Router, FW war damals aus. Also, vorweg muss ich gestehen, dass ich, als ich mir den Virus erstmals eingefangen habe, keine FW an und nur SP1 installiert hatte.:daumenhoc Lediglich Spybot S&D war installiert. Es hatten sich immer wieder Fenster des Internetexplorers geöffnet, obwohl ich den gar nicht benutze, mit dem Namen Virusremover 2008. Es waren *.tmp Prozesse im Taskmanager. Spybot warnte dauernd vor Reg. Änderungen, die ich eigentlich immer verneinte. Irgendwann kam es zu einem Bluescreen und nach erneutem Hochfahren wurde die Explorer.exe nicht mehr gefunden, Die Ordneransichtwar verändert (versteckte Dateien und die Endungen wurden nicht mehr angezeigt). Nachdem ich die Windowspartition neu formatierte Windows SP2 installierte, lief kurz alles normal. Als ich dann Netframework 2.0 installierte (für das CCC, GK Software) und gleichzeitig ein Antivirusprogramm (eScan) und damit das System scannte, wurden viele mir jedoch bekannte *.exe als Virus angezeigt. Nach dem Scan wollte ich den Rechner neustarten und nach Benutzeranmeldung folgte eine sofortige Abmeldung. Dieses Problem konnte ich mit einer BootCD und erneuern der userinit.exe beheben. Wieder in Windows drin musste ich feststellen, dass die Spybot.exe nicht mehr da war und nach kurzer Zeit folgte dass gleiche Problem mit der Explorer.exe wie oben beschrieben. Nach nochmaliger Formatierung und Neuinstallierung von WinXP SP2 & AV AntiVir wurde ebenfalls auch die AntiVir.exe gelöscht und das Programm konnte nicht mehr richtig gestartet werden. Kurze Zeit konnte ich nicht auf die Softwareliste, Systemeinstellungen etc. zugreifen, dass geht jetzt aber wieder. AntiVr lässt sich auch nicht deintallierren, Meldung: Setup.exe wurde geändert, dies könnte ein Virus verursacht haben. Beim Neustart kann Daemontools nicht mehr ausgeführt werden. Installation von AVG Anti-Virus und Scan fand eine Datei in System32\dllcache\ und es folgte ein Bluescreen. :taenzer:. Nach hochfahren habe ich jetzt seit 10 Minuten keine Probs, aber die kommen bestimmt gleich wieder. Nach erneuten Scan mit AVG habe ich mehrere Bedrohung in "system volume information\_restore" Ordner gefunden (Win32/Heur). Kennt einer den Virus, und kann ich den Beheben ohne die Dateipartition zu formatieren. Muss ich vor der Formatierung was mit den Bootsektor (hier endet mein PC-wissen) machen. Für Hilfe wäre ich sehr dankbar. Hier meine aktuelle Hijack-Log Logfile of HijackThis v1.99.1 Scan saved at 12:48:47, on 12.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\system32\sstray.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AVG\AVG8\avgui.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\Programme\AVG\AVG8\avgscanx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\WINDOWS\system32\rundll32.exe D:\Desktop\Neuer Ordner (3)\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://wxw.google.de/ O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe -autorun O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{77F6771C-7730-40D3-9DB0-0F5410FC8693}: NameServer = 192.168.xxx O17 - HKLM\System\CS1\Services\Tcpip\..\{77F6771C-7730-40D3-9DB0-0F5410FC8693}: NameServer = 192.168.xxx O17 - HKLM\System\CS2\Services\Tcpip\..\{77F6771C-7730-40D3-9DB0-0F5410FC8693}: NameServer = 192.168.xxx O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe Gruß jet-ti |
Der Scan ist jetzt fertig. neben dem Win32/Heur wurde noch der SHeur2.ONF gefunden und noch ein paar andere Sachen. Ich nehme an, dass der Virus immer *.exe dateien befallen hat. diese habe ich jetzt gelöscht. Soll ich Windows nochmal neu aufsetzten oder es so wie es ist laufen lassen? Gruß jet-ti Hier ist das ergebnis von AVG: "Scan ""Bestimmte Dateien/Ordner scannen"" wurde beendet." "Infektionen";"9";"7";"2" "Spyware";"4";"4";"0" "Warnungen";"14" "Informationen";"4" "Für den Scanvorgang ausgewählte Ordner:";"A:\;C:\;D:\;" "Start des Scans:";"Donnerstag, 12. Februar 2009, 12:15:47" "Scan beendet:";"Donnerstag, 12. Februar 2009, 14:58:59 (2 Stunde(n) 43 Minute(n) 11 Sekunde(n))" "Gesamtanzahl gescannter Objekte:";"313993" "Benutzer, der den Scan gestartet hat:";"xxx" "Infektionen" "Datei";"Infektion";"Ergebnis" "C:\System Volume Information\_restore{3AD62153-8206-4E0E-9005-CCF8E99AAA80}\RP6\A0000975.exe";"Virus gefunden: Win32/Heur";"In Virenquarantäne verschoben" "C:\System Volume Information\_restore{3AD62153-8206-4E0E-9005-CCF8E99AAA80}\RP6\A0001039.exe";"Virus gefunden: Win32/Heur";"In Virenquarantäne verschoben" "D:\Desktop\winlfghfghognn.exe";"Trojaner: SHeur2.ONF";"In Virenquarantäne verschoben" "D:\Gepacktes\Virtual CD v7.0.0, Deutsch.rar";"Trojaner: Generic8.BUF";"Infiziert" "D:\Gepacktes\Virtual CD v7.0.0, Deutsch.rar:\Keygen.exe";"Trojaner: Generic8.BUF";"Infiziert" "D:\Programme\Adobe\Premiere Pro 1.5\Plug-ins\Common\AAF\AAFx.exe";"Virus gefunden: Win32/Heur";"In Virenquarantäne verschoben" "D:\Programme\Adobe\Premiere Pro 1.5\Plug-ins\Common\AAF\python.exe";"Virus gefunden: Win32/Heur";"In Virenquarantäne verschoben" "D:\Programme\WS_FTP Pro\ftpscrpt.exe";"Virus gefunden: Win32/Heur";"In Virenquarantäne verschoben" "D:\Programme\WS_FTP Pro\wsftppro.exe";"Virus gefunden: Win32/Heur";"In Virenquarantäne verschoben" "Warnungen" "Datei";"Infektion";"Ergebnis" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite";"Tracking cookie.Ivwbox gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\bs.serving-sys.com.5bf1f00f";"Tracking cookie.Serving-sys gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\doubleclick.net.bf396750";"Tracking cookie.Doubleclick gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\fastclick.net.57e8da10";"Tracking cookie.Fastclick gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\fastclick.net.8a6435e9";"Tracking cookie.Fastclick gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\fastclick.net.fac3d6f0";"Tracking cookie.Fastclick gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\ivwbox.de.41d82fe2";"Tracking cookie.Ivwbox gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\serving-sys.com.255d6f2f";"Tracking cookie.Serving-sys gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\serving-sys.com.400f83f";"Tracking cookie.Serving-sys gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\serving-sys.com.4b416ef8";"Tracking cookie.Serving-sys gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\serving-sys.com.606c3d3b";"Tracking cookie.Serving-sys gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\serving-sys.com.6a1cf9e8";"Tracking cookie.Serving-sys gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\serving-sys.com.c9034af6";"Tracking cookie.Serving-sys gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\0o7468ur.default\cookies.sqlite:\tribalfusion.com.dcc03271";"Tracking cookie.Tribalfusion gefunden";"Potentiell gefährliches Objekt" "C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\Cookies\xxx@doubleclick[1].txt";"Tracking cookie.Doubleclick gefunden";"In Virenquarantäne verschoben" "C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\Cookies\xxx@doubleclick[1].txt:\doubleclick.net.bf396750";"Tracking cookie.Doubleclick gefunden";"In Virenquarantäne verschoben" |
Hi, ich hab denselben Virus erst gestern von meinem Rechner gefegt. Musst wirklich ALLE .exe Dateien auf deiner/deinen Festplatte(n) löschen und dann Windows neu installieren, da Windows ja selbst genug .exe Dateien hat. ;) Ich selbst musste insgesamt 4 Mal Windows neu installieren um mein Rechner endlich wieder clean zu bekommen, da immer noch irgendwo ne .exe war. Das Virenprogramm findet da auch beim scannen nix, erst wenn man die ausführt, abba da hat der Virus sich dann wieder schon weiterverteilt. |
Hallo :hallo: Ich würde sagen du befolgst diese Anleitung. Lad dir alls erstes ccleaner und antimalware bytes runter. Hier die Links: http://www.trojaner-board.de/51464-anleitung-ccleaner.html http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html |
Hallo Code: D:\Gepacktes\Virtual CD v7.0.0, Deutsch.rar:\Keygen.exe"Keygens,Hacks,Cracks sind immer verseucht und dazu auch illegal Von mir,hier keine Hilfe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:02 Uhr. |
Copyright ©2000-2024, Trojaner-Board