[Ripeprz]

Hallo,
ich habe ein großes Problem und zwar habe ich mir irgendwie ein Virus eingefangen und bekomme Ihn nicht weg.

Ich hab es schon Mit Ad Adware, Spybot und Antivir versucht, ohne Erfolg.
Antivir findet Ihn, aber sobald ich auf irgendeine Auswahl wie löshcen oder in Wuarantäne stellen klickt verschwindet meine Taskleiste für einen Moment und kommt dann wieder.
Nach ca. 4 Min kommt die selbe Meldung wieder.

Der Virus taucht auch nur auf wenn man in Internet geht.

Ist laut antivir ein Trojaisches Pferd TR/Yatagan.dll gefunden hat er die unter C:\DOKUME~1\MEIN BENUTER NAME~1\LOKALE~1\Temp\ac8zt2\nsduo.dll

Wie bekomme ich das scheiss ding weg?

Bitte HELFT MIR

[Urne]

Windows CD einlegen -> Festplatte formatieren -> Windows neu installieren ist die sicherste Methode. Vorher könntest Du versuchen die Temporären Dateien zu löschen. Ich glaub aber, dass der sich ständig von woanders da reinschreibt.

[Hate-Love]

Ja muss urne zustimmen, format C: wird wohl das beste sein. An sonsten versuchs mal im abgesichertem modus ob dus löschen kannst.

[Ripeprz]

hallo,
ich kann den Virus aber nicht sehen, bzw. die Datei.
Wie kann ich die Datei sichtbar machen wo der Virus drinsteckt?

[Urne]

Das wird wohl ein Prozess sein, der bei Dir läuft. Also Hijackthis Logfile machen und mal posten. Vielleicht findet man ihn so.

[Ripeprz]

Hier die Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:39, on 08.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
D:\Programme\Longhorn Inspirat\ObjectDock\ObjectDock.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\dtsrvc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\OneStepSearch\onestep.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\OneStepSearch\onestep.exe
D:\Programme\RegCleaner\RegCleanr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Mein nutzer\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = url = url.com: Search with Many
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = url.com: Search with Many
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ENERGY
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [Zone Labs Client] "d:\PROGRAMME\ZONEALARM\ZLCLIENT.EXE"
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "D:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
-startup_folder
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\Longhorn Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\DAPEXTIE.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - RES://E:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\PROGRAMME\ICQLITE\ICQLITE.EXE
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\PROGRAMME\ICQLITE\ICQLITE.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.url.com
O15 - Trusted Zone: *.alice-dsl.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 62.109.123.6 213.191.92.87
O21 - SSODL: msmhost - {7886E2E1-041E-4BBB-8532-6D0EC8B1ECA9} - C:\WINDOWS\msmhost.dll
O21 - SSODL: msmdev - {883927C9-48D0-44D4-BC6E-25B87306E35D} - C:\WINDOWS\msmdev.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - G:\server\Apache\Apache.exe (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\dtsrvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IRCPlus - Unknown owner - H:\spiele\Cheating-Death\IRCPlus.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
O23 - Service: MySql - Unknown owner - D:/Programme/foxserver/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Programme\OneStepSearch\onestep.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 1: Anfy SNOW - E:\PROGRAMME\ANFYTEAM\APPLET\ANSNOW\PREVIEW.HTML

--
End of file - 8960 bytes

Dieser Beitrag wurde von Ripeprz bearbeitet: 08. September 2007 - 16:54

[Krieger 44]

Hallo kann Dir leider dabei nicht helfen,da ich selber nicht der Computerexperte bin.Das erste was mir allerdings zu deinem Problem aufgefallen ist, war die Frage auf welcher Seite hat er sich den denn eingefangen?Kannst Du mir b.z.w. uns das evt. mitteilen,so ist gewährleistet das sich nicht noch mehr User diesen Gaul aufn PC laden.Danke!

[CmYk]

Hast ja sehr viel Mist auf dem Rechner.
Formatieren und Informieren: LESEN

[Ripeprz]

Warum habe ich mist auf meinem Rechner

[h.murphy]

ist seine Sache was er auf dem Rechner hat!

Nein mal ehrlich Du wirst es leider nicht schaffen alle Dateien von dem Virus zu löschen. Neuinstallation oder Backup zuruck spielen ist Deine einzige Chance

[Ripeprz]

Hallo,
wenn ich also mein System neu aufsetzen möchte wie mach ich das am besten?

Ich meine Festplatte patetioniert, spich in C,D,E

Auf C war nur windows und auf D Programme.
Muss ich alles formatieren oder reicht das wenn ich nur C formatiere? Würden dann noch die Programme von D laufen?

Meint Ihr das der Virus sich auch in die Programme auf D eingeschlichen hat?

[Urne]

Das allermeiste auf D wirst Du eh neu installieren müssen, wenn C formatiert wird und Windows neu installiert wird, wegen dann fehlenden Registryeinträgen der Programme.
Auf jeden Fall solltest Du nach der Installation von Windows Laufwerk D mit einem aktuellen Virenscanner absuchen, ob sich dort was eingeschlichen hat. Und zwar bevor Du dort irgendwelche Dateien öffnest, oder ausführst.

[Ripeprz]

Wie formatiere ich am besten, habe ich noch nie gemacht?

[Urne]

Windows CD einlegen und davon booten. Einfache Anleitung