Hilfe Virus im Notebook

    • juvasacho
      juvasacho
      Bronze
      Dabei seit: 05.08.2007 Beiträge: 66
      hallo leute, habe irgendwie einen virus im notebook. habe es mit Avira AntiVir versucht und es in quarantäne gesteckt. der virus (trojaner) taucht bei jedem öffnen vom explorer/mozilla immer wieder auf. möchte ihn entfernen ohne das ich windows xp löschen muss. 1. bin ich ein "null checker" auf diesem gebiet. 2. bin in asien und hier gibt es kein deutsches windows xp. bitte, bitte, kann mir jemand einen tip geben oder helfen? möchte diesen bandwurm unbedingt von meinem notebook entfernen. ich bedanke mich schon mal im voraus. =)
  • 5 Antworten
    • Petathebest
      Petathebest
      Bronze
      Dabei seit: 22.02.2006 Beiträge: 2.634
      Lade dir mal Kaspersky Internet Security runter. Gibts als Demo für 30 Tage mit uneingeschränkter Nutzung:

      http://www.kaspersky.com/de/trials

      Wenn es damit nicht klappt, weiss ich leider auch nichts mehr ausser neu installieren.

      Grüße

      Peta
    • zahralinski
      zahralinski
      Bronze
      Dabei seit: 10.11.2007 Beiträge: 520
      Oder mal Hijackthis runterladen und den Logfile hier posten.

      Und der Name des Virus wäre auch noch nett.
    • juvasacho
      juvasacho
      Bronze
      Dabei seit: 05.08.2007 Beiträge: 66
      hier mein hijack logfile:

      die viren: TR/Dldr.Small.JS1, TR/Rootkit.Gen

      hoffe du kannst was damit anfangen und mir weiterhelfen. danke.


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 2:38:54 PM, on 01/25/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16574)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
      C:\Programme\Synaptics\SynTP\SynTPLpr.exe
      C:\Programme\Synaptics\SynTP\SynTPEnh.exe
      C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
      C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
      C:\Programme\QuickTime\qttask.exe
      C:\Programme\iTunes\iTunesHelper.exe
      C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
      C:\WINDOWS\system32\dla\tfswctrl.exe
      C:\WINDOWS\VM305_STI.EXE
      C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Programme\Skype\Phone\Skype.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Programme\iPod\bin\iPodService.exe
      C:\Programme\Windows Media Player\WMPNSCFG.exe
      C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
      C:\Programme\HPQ\SHARED\HPQWMI.exe
      C:\Programme\Logitech\SetPoint\SetPoint.exe
      C:\Programme\Privoxy\privoxy.exe
      C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
      C:\Programme\PC Connectivity Solution\ServiceLayer.exe
      C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
      C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
      C:\Programme\Internet Explorer\iexplore.exe
      C:\Programme\Mozilla Firefox\firefox.exe
      C:\Programme\MSN Messenger\msnmsgr.exe
      C:\Programme\MSN Messenger\usnsvc.exe
      C:\Programme\Nokia\Nokia PC Suite 6\OneTouchAccess.exe
      C:\Programme\Internet Explorer\iexplore.exe
      C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
      C:\Programme\BitComet\BitComet.exe
      C:\Programme\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.sso.bluewin.ch/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
      R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1DEB4EB3-8D98-424C-BB42-F9198784DD37} - C:\WINDOWS\system32\kbdlt132.dll (file missing)
      O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll
      O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Camfrog Toolbar - {AF2A1C5A-1AED-4E92-8BA8-D708EB79537E} - C:\Programme\Camfrog\CamfrogBar\CamfrogBar1.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Camfrog Toolbar - {AF2A1C5A-1AED-4E92-8BA8-D708EB79537E} - C:\Programme\Camfrog\CamfrogBar\CamfrogBar1.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
      O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
      O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
      O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
      O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
      O4 - HKLM\..\Run: [smssLevel4] C:\Program Files\Windows Media Player\Skins\WindowsMediaSkin\Data\Level4\smss.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
      O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
      O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
      O4 - HKLM\..\Run: [csrssLevel4] C:\Windows\System\Level4\csrss.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
      O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [WinSysW] C:\WINDOWS\853957L.exe
      O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
      O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
      O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: BTTray.lnk = ?
      O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
      O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
      O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
      O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
      O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
      O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
      O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
      O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181635835046
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1181635768671
      O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
      O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{2588FA3E-BC27-4A2D-8725-B35F93D0D3BA}: NameServer = 85.255.116.60,85.255.112.203
      O17 - HKLM\System\CCS\Services\Tcpip\..\{49DADEBD-0623-4D5F-A8EB-2F4DF0F48363}: NameServer = 85.255.116.60,85.255.112.203
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4C72836D-710C-4950-B935-2A91C20CBC42}: NameServer = 85.255.116.60,85.255.112.203
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4CE172A6-10FC-4149-9E0B-E0E5F05A9878}: NameServer = 85.255.116.60,85.255.112.203
      O17 - HKLM\System\CCS\Services\Tcpip\..\{7927707B-55BD-4E2D-96A3-BBCAB6E8756C}: NameServer = 85.255.116.60,85.255.112.203
      O17 - HKLM\System\CCS\Services\Tcpip\..\{8E587A16-FA2F-4792-A790-ECEC8F89B5ED}: NameServer = 85.255.116.60,85.255.112.203
      O17 - HKLM\System\CCS\Services\Tcpip\..\{8ED63DF7-0110-4423-9BBC-7AC6AA5D8902}: NameServer = 203.144.207.49,203.144.207.29
      O17 - HKLM\System\CCS\Services\Tcpip\..\{CBCE6DF2-311E-49D4-91FF-98113A132099}: NameServer = 192.168.165.1 203.155.33.2
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.60 85.255.112.203
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.60 85.255.112.203
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.60 85.255.112.203
      O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
      O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

      --
      End of file - 12802 bytes
    • zahralinski
      zahralinski
      Bronze
      Dabei seit: 10.11.2007 Beiträge: 520
      Runterladen und nach den Anleitungen ausführen, in der Reihenfolge
      wie ich es hier gepostet habe!

      Vorher Antivir beenden.

      1.) http://virus-protect.org/cleanup.html

      2.) http://virus-protect.org/artikel/tools/combofix.html

      3.) http://virus-protect.org/artikel/tools/smitfrautfix.html

      4.) http://virus-protect.org/host.html

      Danach am besten Antivir deinstallieren und von kaspersky.de dir den Antivirus ziehen, installieren und drüber laufen lassen. Sind glaube ich 30 Tage frei.


      Danach nochmal den Hijackthis-Logfile posten
    • PsyMaster
      PsyMaster
      Bronze
      Dabei seit: 28.02.2006 Beiträge: 2.219
      Original von Petathebest
      Lade dir mal Kaspersky Internet Security runter. Gibts als Demo für 30 Tage mit uneingeschränkter Nutzung:

      http://www.kaspersky.com/de/trials

      Wenn es damit nicht klappt, weiss ich leider auch nichts mehr ausser neu installieren.

      Grüße

      Peta
      kaspersky? omg ... NOT.

      antivir ist schon ok, was auch abgeht ist nod32. kannst du zb auf computerbild.de runterladen.

      dl von nod32, internetverb. kappen. antivir restlos (!) deinstallieren, dann nod32 ruff und zack ... wenn du den troj. gefunden hast und das vir. prog den nicht löschen kann, dann den pfad anschauen und manuell löschen. lassen sich einige der dateien nicht scannen, weil sie locked sind, dann unlock (tool) googeln, downloaden und auf die datei anwenden. dann geht sie auf.

      viel glück. das kann ganz schön sucken . hatte vor kurzem auch meinen fun mit der sch....

      psy