[Cryson]

hi ihr,
da ich mein pc mit meinem bruder teilen muss finden sich manchmal merkwürdige programme auf.
doch nun ist der pc verseucht!

-neben der uhr erscheinen tooltips die mir sagen das viren drauf sind. klick darauf öffnet den inet explo
-startseite vom inet explo lässt sich nciht ändern und ist eine virenseite
-pop ups erscheinen alle 10 min
-warnungsfenster erscheinen wo steht das der pc verseucht ist.

habe schon alles gemacht:
antivir
avast
hijackthis

hat alles nichts gebracht!
dann dachte ich mache ich mal ne systemwiederherstellung aber pustekuchen! die funktioniert schon garnet mehr. da steht nach dem neustart: Die Wiederherstellung war fehlerhaft! An ihrem Computer wurde nichts geändert!
Bitte helft mir!

(Nutze Windows XP MCE 2005 SP2 Ver. 5.1.2600)

[tobiasndw]

Formatieren und neuinstallieren
Deinem Bruder dann ein eingeschränktes Benutzerkonto verpassen

[NightTiger]

Poste erstmal das Logfile von Hijackthis..

Doch ich denke, dass es das beste wäre, wenn du deinen Computer neu aufsetzt, das heisst, Windows neu installierst (und Festplatte formatierst). Davor aber bitte Backup von den wichtigen Dateien machen

Edit: Und da war jemand schneller..

Dieser Beitrag wurde von NightTiger bearbeitet: 08. August 2006 - 16:25

[Cryson]

lol
mein bruder ist fast doppelt so alt wie ich
kennt sich aber kein bisschen mit pc's aus und würde mich volmeckern das er nichts mehr machen kann!

neuinstallierne will ich net unbedingt! dauert jahre wieder alle nötigen programme raufzubekommen (ist das richtig zusammen geschrieben? ab dem 1.8 haben wir ja ne neue rechtschreibung)

EDIT:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:26:53, on 08.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\AntiVir PersonalEdition Classic\sched.exe
H:\Programme\Alwil Software\Avast4\aswUpdSv.exe
H:\Programme\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\eHome\ehRecvr.exe
H:\WINDOWS\eHome\ehSched.exe
H:\Programme\Alwil Software\Avast4\ashMaiSv.exe
H:\WINDOWS\system32\wscntfy.exe
H:\Programme\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\system32\dllhost.exe
H:\Programme\IntCodec\pmsngr.exe
H:\WINDOWS\ehome\ehtray.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programme\Java\jre1.5.0_03\bin\jusched.exe
H:\Programme\[Regeln beachten!]s\[Regeln beachten!].exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programme\Saitek\Software\Profiler.exe
H:\Programme\IntCodec\pmmon.exe
H:\Programme\Saitek\Software\SaiSmart.exe
H:\Programme\iTunes\iTunesHelper.exe
H:\WINDOWS\eHome\ehmsas.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\Messenger\msmsgs.exe
H:\Programme\iPod\bin\iPodService.exe
H:\Programme\Opera\Opera.exe
H:\Programme\iTunes\iTunes.exe
H:\Programme\WinRAR\WinRAR.exe
H:\DOKUME~1\Cryson\LOKALE~1\Temp\Rar$EX00.437\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - H:\Programme\IntCodec\isaddon.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [[Regeln beachten!]s] "H:\Programme\[Regeln beachten!]s\[Regeln beachten!].exe" -lang 1033
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] H:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Profiler] H:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] H:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [iTunesHelper] "H:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/ru...cat-no-eula.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - H:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - H:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - H:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - H:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - H:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Dieser Beitrag wurde von Cryson bearbeitet: 08. August 2006 - 16:27

[NiteChylde]

##### Edit #####
Mist, wieder zu langsam... Ich sollte nicht gleichzeitig arbeiten und in Foren schreiben. ^^
##### /Edit #####

Hallo Cryson,

Du kannst online dein System auf verschiedenste Malware (Viren & Trojaner, Spyware, Adware etc) untersuchen lassen.

Gute Adressen sind zum Beispiel:

http://www.ewido.net/de/onlinescan/
http://de.trendmicro-europe.com/consumer/h...call_launch.php
http://www.pandasoftware.com/activescan/de...n_principal.htm
http://www.kaspersky...de/virusscanner

Weitere Seiten findest du leicht über die gängigen Suchmaschinen, wenn du nach Online Virenscanner oder Online Malware Check oder ähnliches suchst.

Lad dir auch mal Tools wie Spybot Search & Destroy, Lavasoft Ad-Aware oder von Microsoft das "Malicious Software Removal Tool" bzw. den Windows Defender herunter.

Und poste bitte mal dein HijackThis-Log, vielleicht entdeckt ja einer der Experten hier im Forum etwas im Log, das dir nicht aufgefallen ist.

##### Edit #####
Microsoft bietet übrigens für solche Fälle kostenlosen technischen Support an. Auf http://support.micro...tus/?ws=support findest du die Telefonnummer der Privatkundenbetreuung. Die Mitarbeiter dort sind noch nicht die Techniker selbst, überfall sie also nicht mit technischen Details. Sag ihnen einfach, das dein System mit Viren oder was auch immer verseucht ist und du Hilfe beim Reinigen des Systems benötigst.
##### /Edit #####

Gruß,
NiteChylde

Dieser Beitrag wurde von NiteChylde bearbeitet: 08. August 2006 - 16:57

[Cryson]

so habe jetzt durchlaufen lassen unzwar die onlöine scan von panda und spybot search and destroy!

spyware ist weg aber der tooltip oben rechts nicht!

startseite ect. des inet explo ist wiede rnormla

[NightTiger]

Hier die Auswertung deines HT-Logs... Schau ihn dir mal an..

[Cryson]

lol
bei meiner auswertung waren die 2 bösen sachen net da

[NightTiger]

Wann hast du diese Auswertung gemacht?

Mit einem neuen Logfile?

[Cryson]

nein mit dem da oben vor circa 10 minuten

EDIT;:
habe gefixt und starte mal neu

so 1 fehler ist noch

die pop ups sind noch net bekämpft

Dieser Beitrag wurde von Cryson bearbeitet: 08. August 2006 - 17:25

[Graumagier]

Soviel Schreibarbeit, obwohl die Lösung schon im zweiten Post von tobiasndw genannt wurde...

[Cryson]

Zitat

neuinstallierne will ich net unbedingt! dauert jahre wieder alle nötigen programme raufzubekommen

[Graumagier]

Tja, dann hättest du dich wohl im Voraus darum kümmern sollen, den Rechner ordentlich abzusichern. Im Ernst, das hatten wir doch schon alles.

[Stefan_der_held]

Es lebe das Backup heute als wir den PC fürn Kollegen zusammengestellt haben (PC-Spezialist) gleich True Immage mitbestellt... (der kannte das proggi garnet )

[Graumagier]

Der hat bis dato sicher mit dd gearbeitet