Inetbrowser stürtz ab, Aufhänger nach booten,...
 

Guten Abend.
Ich habe das Gefühl, dass ich einen/mehrer Viren auf dem PC hab. Meine Probleme sehen wie folgt aus: Zum einen hängt sich mein Pc auf wenn ich ein Benutzerkonto auswählen will, nach dem hochfahren. Das andere Problem wäre, wenn ich z.B. in Google suche und dann auf einen Link klicke, er nicht diesen Link öffnet sondern eine völlig andere Seite. Außerdem stürzt der Browser bei manchen Seiten einfach ab. Hierfür habe ich immer firefox benutzt, da wenn ich den Internetexplorer öffne, sich mein ganzer pc aufhängt. Hoffe ihr könnt mir da weiterhelfen. Die Festplatte formatieren wäre für mich die letzte Möglichkeit. Achja und heute hab ich eine email von der ebay sicherheitsabteilung bekommen und darin stand, dass ohne meine erlaubnis von einem anderen pc auf mein konto zugegriffen wurde... Wie man merkt bin ich noch ganz neu und hab mir auch die goldenen Regeln durchgelesen und weiss jetzt nicht genau welche Logs ihr jetzt alles braucht..

mfg Keelo

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download v. Gmer, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!

• - also lade Dir Gmer herunter
  - entpacke es auf deinen Desktop und Starte gmer.exe<-hier "umbenannt.com".
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

4.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Also wegen dem gleich umbennen... kann ich auch erst die zip runterladen wenn ich die dann hab benenn ich sie um... oder muss es direkt vor download sein? wenn ja wie geht das :schmoll:

bevor Du "gmer.exe" speicherst, musst es machen:)

Hmm ich hab jetzt den gmer laufen lassen und dann wollt ich des eben kopieren aber dann hat sich mein pc wieder aufgehangen... :heulen:

so hier mal dieser gmer jetzt hats geklappt. Muss es leider aufteilen in 3 posts.

Teil 2
[code]IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 000853DA
IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00085375
IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00085343
IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 0008575A
IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00085A04
IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00085A04
IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 0008575A
IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00085A04
IAT C:\WINDOWS\system32\ctfmon.exe[352] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00085495
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00135495
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 001353DA
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00135375
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00135343
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 0013575A
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 0013575A
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[588] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00135495
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00405495
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 004053DA
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00405375
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00405343
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 0040575A
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00405A04
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00405A04
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 0040575A
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00405A04
IAT C:\WINDOWS\System32\svchost.exe[852] @ C:\WINDOWS\System32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00405495
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\Explorer.exe [USER32.dll!TranslateMessage] 08665A04
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 08665495
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 086653DA
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 08665375
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 08665343
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 0866575A
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 08665A04
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 08665A04
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 08665A04
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 0866575A
IAT C:\WINDOWS\Explorer.exe[988] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 08665495
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtQueryDirectoryFile] 00F55495
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00F55495
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 00F553DA
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00F55375
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00F55343
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 00F5575A
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00F55A04
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00F55A04
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 00F5575A
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00F55A04
IAT C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00F55495
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00E85495
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 00E853DA
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00E85375
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00E85343
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\LSASRV.dll [ntdll.dll!LdrLoadDll] 00E853DA
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00E85495
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\SAMSRV.dll [ntdll.dll!LdrLoadDll] 00E853DA
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\SAMSRV.dll [ntdll.dll!LdrGetProcedureAddress] 00E85375
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 00E8575A
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00E85A04
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00E85A04
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 00E8575A
IAT C:\WINDOWS\system32\lsass.exe[1124] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00E85A04
IAT C:\WINDOWS\system32\svchost.exe[1312] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00FA5343
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00F05495
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 00F053DA
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00F05375
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00F05343
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 00F0575A
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00F05A04
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00F05A04
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 00F0575A
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00F05A04
IAT C:\WINDOWS\system32\svchost.exe[1460] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00F05495
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00135495
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 001353DA
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00135375
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00135343
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 0013575A
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00135495
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 0013575A
IAT C:\WINDOWS\system32\PnkBstrA.exe[1524] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00405495
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 004053DA
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00405375
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00405343
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 0040575A
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00405A04
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00405A04
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 0040575A
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00405A04
IAT C:\WINDOWS\system32\svchost.exe[1592] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00405495
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00F55495
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 00F553DA
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00F55375
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00F55343
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 00F5575A
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00F55A04
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00F55A04
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 00F5575A
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00F55A04
IAT C:\WINDOWS\System32\svchost.exe[1616] @ C:\WINDOWS\System32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00F55495
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00CB5495
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 00CB53DA
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00CB5375
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00CB5343
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 00CB575A
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00CB5A04
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00CB5A04
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 00CB575A
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00CB5A04
IAT C:\WINDOWS\system32\svchost.exe[1660] @ C:\WINDOWS\system32\WS2HELP.dll [ntdll.dll!NtQueryDirectoryFile] 00CB5495
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 00135495
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 001353DA
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00135375
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateThread] 00135343
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetClipboardData] 0013575A
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!GetClipboardData] 0013575A
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!TranslateMessage] 00135A04
IAT C:\WINDOWS\system32\nvsvc32.exe[1724] @ C:\WINDOWS\system32\WS2HELP.dll

teil3

teil4

HiJackThis Log:

filelist dings^^ auch aufgeteilt...

Teil 2

Teil3

Zu guter letzt noch das mit CCleaner.

hi

Meine Vermutung hat sich bestätigt, ausser dass dein Rechner mit Malware infiziert ist, zusätzlich sich ein Rootkit auch bei Dir eingenistet hat
Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung : die Neuinstallation des kompletten Systems
Falls du doch für die Systemreinigung entscheidest:

1.
Bevor wir weitermachen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!

2.
Wichtig!:
Sofort beim Download/speichern v. Avenger, musst Du die Installdatei also avenger.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

4.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
5.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
• [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

6.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

7.
poste erneut:
Trend Micro HijackThis-Logfile
filelist.bat - Nur den letzten sechs Monaten!

Ok, schonmal vielen vielen dank für die schnelle und professionelle Hilfe. Ich werd dann wohl doch ne komplette Neuaufsetzung machn... Meine letzte Frage zu dem Thema.. Wie schlimm ist denn diese art von virus? Muss es sofort umgehend behandelt werden oder kann ich noch ne woche oder so warten? Dann würd ich das nämlich gleich den typ machn lassen der mein pc auch zusammengebaut hat :)

hi

Ein Rootkit dient vor allem dazu, Objekte im System wie bösartige Dateien von Benutzern und Virenscannern zu verstecken . So können Angreifer ihren Schadcode aus dem Internet gezielt regelmäßig nachzuladen bis dein PC geht nach Einschalten sofort aus!
Du hast die Qual der Wahl, entweder ihn gar nicht einschalten, oder die von mir vorgeschlagenen Aktionen durchzuführen..bis dein Freund den Pc wieder auf die Beine bringt! Ansonsten den Rechner vom Netz trennen!

gruß
Coverflow

Ok, danke für die Antwort. Dann versuch ich es lieber mal gleich selbst ;)

Ehm... nach der Anleitung nach funktioniert das Neu aufsetzen nicht... Ich komm zwar zu dem blauen Bildschirm aber sobald er fertig geladen hat, also nohc bevor ich zum auswählen komm kommt ein schwartzer bildschirm und oben links im eck blinkt ein "_" und nichts geht mehr :'(

Ok ich probiers mal mit dem bereinigen.
Hier der Log von avenger

Den nächste Schritt kann ich schon wieder nicht machen >.> Ich kann die datei zwar noch runterladen, aber wenn ich doppelklicke um zu installieren passiert nichts ....

/edit: ältere version lässt sich installieren aber dann nicht öffnen

hi

1.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

2.
mache dann ab Punkt 4. weiter
3.
ansonsten übrige Logs posten

So nach einer Stunde kam dann dies heraus:

Frage hierzu: Bei dem Punkt [b], muss ich da wenn ich das eingebe direkt alles löschen oder nur das was in den ordner ist, die dann angezeigt werden?

hi

Ordner öffnen → Inhalt markieren→ und löschen...
wenn Du mit alles fertig bist, versuche mit Malwarebytes nochmal

also die unterordner kann ich bedenkenlos löschen?:schmoll:

die temporären Dateien befinden sich in dem Ordner "C:\WINDOWS\Temp".
Kannst Du ja alle Dateien und Ordner die sich im
"Temp"-Ordner befinden löschen. Aber nicht nicht die Ordner (Temp) selbst!

Perfekt Malewarebytes funktioniert jetzt auch und ich lass gerade scan durchlaufen. Ich wüsst nich was ich ohne dich tun würde :)

so, hab jetzt das ergebnis von der malewarbytes:

So bin nu fertig, jetzt noch zum letzten punkt.
Hier nochmal die HiJackThis Log:

Hier noch die Filelist: Teil1

Hier Teil2

hi

für eine gründliche Reinigung werden noch einige Schritte nötig:

1.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne Gmer (Falls noch nicht getan hast)
- C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
3.
Führe dann einen FullSystem Scan mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner (Sicherheitseinstellungen wie unter Punkt 3.)
Speichere und Poste bitte das Logfile

4.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

kann den avenger backup nich finden... hab nur auf dem desktop noch einen backups ORDNER soll ich den löschen? Achja.. und ich benutz Firefox..

kannst Avenger ja löschen
wegen Kaspersky nutze bitte den IE

Ok, dann hab ich wohl den avenger schon gelöscht :D und jo ich lass jetzt mal die beiden scanns laufen mit inet explorer :)

:headbang: jetzt haben sich die 2 scans aufgehängt und ich konnt auch so am pc nichts mehr machn... ergo: ich musste resetknopf drücken. Ich lass morgen bzw. heute die scans einzeln durchlaufen und hoffe dann mal, dass es funktioniert. Wenn es hilft:
Bei Kasper war ich bei 93% und er hat 3 Viren und 5 infizierte objekte gefunden.
Bei ESET war ich bei 99% und er hat 1 Infektion gefunden.

Und jetzt geh ich erst mal schlafen..

Guten Morgen!

das Darf ja wohl nicht wahr sein!...wieso hast Du beide Scanner gleichzeitig scannen lassen?http://www.world-of-smilies.com/wos_...ghtingzapA.gif

1. Lass zuerst mal den Kaspersky
2. wenn er fertig, starte dein System neu auf
3. danach Nod32/Eset laufen lassen

Ja, das werd ich jetzt auch machen... Ich dachte, dass ich dann endlich fertig werd und jetzt nich nochmal anfangen muss mit dem zweiten scan (siehe uhrzeit meines posts) Nun gut was will man machen...

So, der Kasper is jetzt durch... Teil1:

Teil 2

so und das kam dann noch bei dem eset raus:

Muss ich da jetzt noch was löschen oder nich?... Weil bei dem Kasper die sachen ja nur aufgespürt und nich gelöscht wurden und kann ich jetzt schon wieder dauerhaft online bleiben?

mfg Keelo

hi

1.
Die Funde kannst ja per Hand löschen. Ansonsten im Allgemeinen:
Potentiell gefährliche Anwendungen (Riskware): Solche Programme verfügen nicht über schädliche Funktionen, können aber unter bestimmten Umständen von Angreifern als Hilfskomponenten eines schädlichen Programms verwendet werden, weil sie Schwachstellen und Fehler enthalten. Unter bestimmten Umständen entsteht durch das Vorhandensein solcher Programme auf dem Computer ein Sicherheitsrisiko für Ihre Daten. Zu dieser Kategorie zählen beispielsweise bestimmte Dienstprogramme zur entfernten Administration, Programme zum automatischen Umschalten der Tastaturbelegung, IRC-Clients, FTP-Server, unterschiedliche Dienstprogramme zum Erstellen oder zum Verstecken von Prozessen.

2.
Falls noch die folgende Programme vorhanden sind, bitte deinstallieren :
SUPERAntiSpyware
Malwarebytes' Anti-Malware

3.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
- Downloade Dr. Web CureIt! Anleitung findest du unter folgendem Link: → *klick*

4.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
- um gründlich zu sein, kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern
- wie verhält sich den dein System?

hi
Ehm.. naja ich kapier diese riesige Logfile nicht ganz und weiss nicht wo sich die dateien genau befinden... :schmoll: Das mit Dr. Web CureIt mach ich später da ich jetzt Fahrschule hab. Zu meinem System: Es läuft alles wie geschmiert! :taenzer: hat also auf jeden Fall geholfen.

OK, dann mache erstmal weiter mit : 2-3-4..dann sehen wir weiter

Hm... ich komm nicht in den abgesicherten Modus. Wenn ich das Auswähle kommt ein bluescreen -__- Kann man mit dem System so wie es jetzt ist, die nächste 5-6 Tage normal und online arbeiten? Denn bis dahin wird ein pc-fachmann kommen, der mir mein system ganz neu aufsetzt, da es ja bei mir einen Fehler gab...

Ja, soweit waren wir schon.
Hier nun ein Vorschlag (wenn das System formatiert wird eigentlich nicht mehr nötig):
ein "Reparatur-Installation" durchzuführen. Die von der Setup-CD angeboten wird. Dabei wird das System neu installiert, aber die gespeicherten Dateien wie Fotos oder Texte bleiben erhalten. Danach alle Updates erneut eingespielt werden müssen. (Durchführen der Neuinstallation von Windows XP/ Methode 2.)

Okay, ich danke dir vielmals, du hast was gut bei mir :heilig::daumenhoc