Kriege nen Virus nicht weg

    • TheFlying
      TheFlying
      Bronze
      Dabei seit: 24.03.2006 Beiträge: 241
      Hallo,

      folgendes Problem:
      Ich hab vor kurzem meine Vorinstallierte McAffee Sicherheitssoftware deinstalliert und statt dessen was kostenloses drauf gemacht weil das Abo abgelaufen war. Nun scheint es so, dass die Software irgendwie nen Popup blocker hatte, oder aber ich den Virus neu eingefangen habe. Jedenfalls öffnet sich jetzt immer wenn ich ne Seite öffne eine werbeseite, sowohöl beim IE als auch bei Mozilla. Wenn ich zB auf ps.de gehe öffnet sich ne pokerseite, manchmal handyscout oder antivirensoftware.

      Ich habe bereits Kaspersky online scanner durchlaufen lassen, SuperAntispyware und Hijackthis. Hijackthislog hefte ich mal dran.

      Bitte um Hilfe. Danke im Vorraus.

      Logfile of HijackThis v1.99.1
      Scan saved at 5:37:56 PM, on 3/11/2008
      Platform: Unknown Windows (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16609)

      Running processes:
      C:\Windows\system32\Dwm.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\Explorer.EXE
      C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
      C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Windows\RtHDVCpl.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Windows\System32\rundll32.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\Intel\Intel Media Share Software\Viivmonitor.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\Grisoft\AVG7\avgcc.exe
      C:\Windows\ehome\ehtray.exe
      C:\Users\Admin\AppData\Local\ntcsy.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
      C:\Windows\ehome\ehmsas.exe
      C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
      C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
      C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
      C:\Program Files\Internet Explorer\ieuser.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Windows\system32\Macromed\Flash\FlashUtil9d.exe
      C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Users\Admin\Desktop\Programme\HijackThis.exe
      C:\Windows\system32\DllHost.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\http://www.samsungcomputer.com
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O1 - Hosts: ::1 localhost
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
      O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [ViivMonitor] C:\Program Files\Intel\Intel Media Share Software\ViivMonitor.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
      O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
      O4 - HKCU\..\Run: [ntcsy] c:\users\admin\appdata\local\ntcsy.exe ntcsy
      O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
      O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: BTTray.lnk = ?
      O4 - Global Startup: VPN Client.lnk = ?
      O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Party Gaming\PartyPoker\RunApp.exe
      O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Party Gaming\PartyPoker\RunApp.exe
      O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
      O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
      O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
      O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
      O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
      O11 - Options group: [INTERNATIONAL] International*
      O13 - Gopher Prefix:
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
      O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
      O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
      O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
      O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
      O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe
      O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Intel® Media Share Synch Service (IMSSync) - Intel® Corporation - C:\Program Files\Intel\Intel Media Share Software\IMSSync.exe
      O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
      O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
      O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
      O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
  • 20 Antworten
    • rsmk
      rsmk
      Bronze
      Dabei seit: 28.01.2005 Beiträge: 622
      installier mal ad-aware, lass dein sys damit checken, dann dürfte alles wieder funzen!
    • Flambee1
      Flambee1
      Bronze
      Dabei seit: 06.09.2006 Beiträge: 930
      Im gleichen Atemzug kannst dann auch noch "Spybot Search & Destroy" erwähnen. Was der eine nicht sieht, sieht meist der andere.
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      ...den wirste wahrscheinlich nur mit (zuvor genannten) Tools im abgesicherten Modus "killen" können.
    • TheFlying
      TheFlying
      Bronze
      Dabei seit: 24.03.2006 Beiträge: 241
      Ad-aware findet immer so 14 sachen, dann lass ich die löschen und nochmal scannen und dann sind sie wieder da. Abgesicherter Modus hilft da?
      Genaue Anleitung was wann wie zu tun ist, könnte mir damit jemand helfen?
      Ich versuche jetzt mal Search and destroy
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von TheFlying
      Ad-aware findet immer so 14 sachen, dann lass ich die löschen und nochmal scannen und dann sind sie wieder da. Abgesicherter Modus hilft da?
      Genaue Anleitung was wann wie zu tun ist, könnte mir damit jemand helfen?
      Ich versuche jetzt mal Search and destroy
      yo...manche Sachen bekommste nur in diesem Modus weg.

      Beide Tools entfernen jedoch nur Spyware...falls es ein Virus oder Wurm ist:

      Mit Virenscanner (z.B. AntiVir) im "abgesicherten Modus" scannen.
      (nicht vergessen, den Virenscanner vorher updaten)
    • puckstoppa
      puckstoppa
      Bronze
      Dabei seit: 13.03.2007 Beiträge: 651
      wenn alles nix hilft neu installen und nicht mehr soviel auf den pornoseiten rumgammeln. da wirst du infiziert, so oder so :D
    • TheFlying
      TheFlying
      Bronze
      Dabei seit: 24.03.2006 Beiträge: 241
      Ok, hab beide Tools durchlaufen lassen und diverse Virenscanner. Die finden auch hier und da mal was, aber das Problem bleibt bestehen. Ich weiß nicht mehr was ich jetzt noch machen soll, jemand noch ne Idee?
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Mein Bruder hat mittlerweile das gleiche Problem....es pop´t eine Seite von einem Virenscanner auf.

      Habe ebenfalls diverse Tools drüber laufen lassen - jedoch bekommt man das "Ding" nicht weg.

      Ich habe im Moment keine Idee mehr, was man noch tun könnte.

      --> evtl. Win-CD rein und über die Reparaturkonsole Windows installieren (Repartur-Modus !);
      --> je nachdem, das System zu einem früheren Zeitpunkt wiederherstellen lassen (Systemwiederherstellung), wenn nicht soviel betroffen ist.

      Nu bin ich mit meinem Latein am Ende.
    • HHwahr
      HHwahr
      Black
      Dabei seit: 22.04.2007 Beiträge: 216
      Mach die Kiste platt, ansonsten wird das eine seehr komplizierte und nicht viel versprechende Sache.
    • biloba
      biloba
      Bronze
      Dabei seit: 25.12.2007 Beiträge: 38
      Hallo,

      bleibt das Problem bestehen, wenn Du das OS im abgesicherten Modus startest?

      Was ich auch noch versuchen würde: Kill mal immer jeweils einen der laufenden Prozesse die Dir seltsam vorkommen und schaue, ob danach das Problem weiterhin besteht.

      Und noch was: Schon mal nach eventuellen Rootkits gescannt?

      Btw: Wie heisst diese neue "kostenlose" Antvirensoftware?

      Gruss
    • TheFlying
      TheFlying
      Bronze
      Dabei seit: 24.03.2006 Beiträge: 241
      Hab AVG Guard genommen, hab aber auhc noch Super Antivirus durchlaufen lassen und kapersky antvirus online scanner. Was ist OS?

      €: Plattmachen kann ich das immo nicht, brauche den Rechner die nächsten Tage. Weiß jemand nen popup blocker, damit ich übergangsweise erstmal dran arbeiten kann?
      Als McAffee noch drauf war amen zumindest keine popups. Aber das is ja wie gesagt bgelaufen...
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von biloba
      Hallo,

      a. bleibt das Problem bestehen, wenn Du das OS im abgesicherten Modus startest?

      b. Was ich auch noch versuchen würde: Kill mal immer jeweils einen der laufenden Prozesse die Dir seltsam vorkommen und schaue, ob danach das Problem weiterhin besteht.

      c. Und noch was: Schon mal nach eventuellen Rootkits gescannt?

      d. Btw: Wie heisst diese neue "kostenlose" Antvirensoftware?

      Gruss
      zu a: yupp.....bekommste auch nicht in diesem Modus raus, weil die Tools keine Infektion anzeigen.

      zu b: ...alles schon getan.

      zu c: ...ebenfalls durchgeführt

      zu d: es kommt ein pop-up "Ihr System ist gefährdet....kostenlose Überprüfung"...(oder s.ä.) in einem grau hinterlegtem Fenster; schließt man es - pop die website auf.
      (sry...ich kanns an meinem rechner im mom nicht nachvollziehen)

      Keine Ahnung WO und WIE sich das "Ding" eingenistet hat -- ich geh davon aus, das KEIN VIRUS ist.
    • Indy1701e
      Indy1701e
      Bronze
      Dabei seit: 16.07.2007 Beiträge: 40.336
      Lade dir mal MWAV runter und lass das mal durchlaufen. Kann zwar leider nichts fixen, aber zumindest findet der was, wenn es was geben sollte.

      Die Logfile sieht bei dir normal aus.
    • mojave
      mojave
      Bronze
      Dabei seit: 16.02.2006 Beiträge: 549
      format c:
    • biloba
      biloba
      Bronze
      Dabei seit: 25.12.2007 Beiträge: 38
      Hi Zweery,

      tja, Ferndiagnosen sind immer echt kompliziert. Deswegen kann ich mich nur dem was hier schon gepostet wurde anschließen:

      Alle wichtigen Daten, Einstellungen etc. sichern und ein frisches OS aufspielen.

      Ist zwar mit viel Arbeit verbunden, aber wohl der beste Weg.

      Btw: Eventuell würde ich noch versuchen, Näheres übers "googlen" herauszufinden. Ich habe vorhin Seiten gefunden, bei denen User über ähnliches berichtet haben.

      Grüsse
    • Brainplug
      Brainplug
      Bronze
      Dabei seit: 13.06.2006 Beiträge: 159
      Falls auch das Cleanen im angesicherten Modus nichts gebracht hat, evtl. mal das gute Knoppicillin mit der extra Tux-Formel einwerfen. (Knoppicillin ist eine bootfaehige Linux-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall)

      Gibts z.B. hier:
      http://linux.rz.ruhr-uni-bochum.de/

      Einfach das Iso-Image brennen und von CD booten. Rechner sollte dabei am Netz hängen, da aktuelle Virendefinitionen nachgeladen werden. Wünsche viel Erfolg.
    • Alecexx
      Alecexx
      Bronze
      Dabei seit: 31.05.2007 Beiträge: 818
      machne vieren sind im Autosicherungsordner gespeichert sodass du sie löshen kannst, so oft wie du willlst, die kommen immer wieder!

      man muss unter Arbeitsplatz eigneschaften die autsicherung ausmachen für C: ect... dann neustarten vierenscaner laufen lassen am besten im abgesicherten modus... dann wieder neustarten und Autosicherung wieder aktivieren...
    • soneji
      soneji
      Bronze
      Dabei seit: 22.01.2006 Beiträge: 6.928
      format c: macht imo die wenigste arbeit dateien kann man ja meißtens noch sichern
    • TheFlying
      TheFlying
      Bronze
      Dabei seit: 24.03.2006 Beiträge: 241
      Ok, hab formatiert. Kann mir einer ne gute Firewall mit Antivirensoftware empfehlen? Möglichst Nutzerfreundlich und unaufdringlich und natürlich kostenlos ;-)
    • 1
    • 2