[huelfi]

Hallo,

ich hab seit gestern ein riesen Problem mit meinem Windows (SP mit SP2). Es werden keine Dienste mehr gestartet. Damit ist Windows nur noch sehr eingeschränkt nutzbar. Mein AV-Prog (AVG) kann z.B. keine Updates mehr laden. Generell können keine Programme mehr Installiert bzw. Deinstalliert werden usw.

Jetzt hab ich in der News von einem Trojaner gelesen (mit Skype). Ich hab zwar diese Mail nicht bekommen und auch nichts dergleichen geöffnet, jedoch hört sich das Verhalten meines Systems genauso an.

Ich hab AdAware durchlaufen lassen und AntiVir in der neuesten Version (das waren so zielmlich die einzigen die sich installieren ließen) und natürlich AVG Free.

Bitte helft mir, was kann ich noch tun? Welches Prog. kann den Virus/Trojaner oder was auch immer entfernen?

Danke
huelfi

[The Dog]

Mach mal bitte ein Hijackthislog und poste es hier.

Das Programm bekommst du hier!

Dieser Beitrag wurde von avnas bearbeitet: 19. Oktober 2005 - 15:21

[huelfi]

Danke, hab ich gleich gemacht. Hier ist das Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 16:24:54, on 19.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATITool\ATITool.exe
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Thunderbird\thunderbird.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Mareike_Christian\Eigene Dateien\My Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.co...earch_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O4 - Startup: Verknüpfung mit thunderbird.exe.lnk = C:\Programme\Thunderbird\thunderbird.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative....015/CTSUEng.cab
O16 - DPF: {60EFC337-15C2-4369-B2A0-3429B071D8B8} (Hewlett-Packard Printer Diagnostics) - http://ispe.sdc.hp.com/awebui/jsp/answerwe...SWebManager.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1118782094593
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1118782062093
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative....15014/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26BC016C-98A4-4D75-A63A-23B6DFF1C250}: NameServer = 10.0.0.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{26BC016C-98A4-4D75-A63A-23B6DFF1C250}: NameServer = 10.0.0.138
O17 - HKLM\System\CS2\Services\Tcpip\..\{26BC016C-98A4-4D75-A63A-23B6DFF1C250}: NameServer = 10.0.0.138
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[The Dog]

O17 - HKLM\System\CS2\Services\Tcpip\..\{26BC016C-98A4-4D75-A63A-23B6DFF1C250}: NameServer = 10.0.0.138

O17 - HKLM\System\CS1\Services\Tcpip\..\{26BC016C-98A4-4D75-A63A-23B6DFF1C250}: NameServer = 10.0.0.138

O17 - HKLM\System\CCS\Services\Tcpip\..\{26BC016C-98A4-4D75-A63A-23B6DFF1C250}: NameServer = 10.0.0.138

O16 - DPF: {60EFC337-15C2-4369-B2A0-3429B071D8B8} (Hewlett-Packard Printer Diagnostics) - http://ispe.sdc.hp.c...SWebManager.CAB

Kennst du diese Einträge, wenn nicht fix die mal.
Desweiteren ist mir aufgefallen das du zwei Antivirenprogramme am laufen hast. Das kann nicht gut gehen.
Deinstalliere eins davon!

Brauchst du diese ganzen Toolbars? Nein, dann auch weg damit. Du hast ziemlich viel Müll im Hintergrund laufen.

Dieser Beitrag wurde von avnas bearbeitet: 19. Oktober 2005 - 15:35

[huelfi]

Ich kann momentan keine Programme deinstallieren, deshalb die zwei AV-Progs.

Die 10.0.0.138 ist mein Router.

Die Toolbars hatte ich gar nicht installiert und auch noch nie gesehen. Ich fix mal die Toolbars und den eintrag von HP.

Melde mich nach nem Neustart wieder.


huelfi

[The Dog]

Alles klar, ansonsten versuch es mal im abgesicherten Modus.

[huelfi]

Bin wieder da.

Habe immer noch keine Dienste.
Was soll ich denn im abgesicherten Modus versuchen?

huelfi

[The Dog]

Im abgesicherten Modus müsstest du eigentlich das Virenproggi deinstalliert bekommen.
Ich denke das es daran liegt, da es o ein Problem mal bei einer Bekannten gab. Da habe ich auch das eine im abgesicherten Modus entfernt und danach lief alles wieder.

[huelfi]

Kann ich gern versuchen, hab das 2te (AntiVirPE) aber erst installiert, nachdem das Problem da war. Hab ich gemacht, da mein altes AVGFree sich ja nicht mehr aktualisieren konnte.

Meld mich gleich wieder.

huelfi

[The Dog]

Hm, sehr merkwürdig

[huelfi]

Schlechte Nachricht: Auch im Abgesichteten Modus hab ich keine Dienste (und könnte nicht deinstallieren)
Das Prob. bestand aber (wie gesagt) auch schon bevor ich 2 AV-Progs auf dem Rechner hatte.

Noch ne Idee?

huelfi

[flo]

Ich sehe das du Tune UP drauf hast, hast du damit vielleicht irgentwas verstellt?

[huelfi]

Nö, hab ich mir nur angeschaut (ist schon ein paar Tage her) und nur noch nicht wieder gelöscht.

[The Dog]

Hast du irgendwas installiert bevor das Problem auftrat?

[huelfi]

Ich bin mir nicht ganz sicher seit wann das Problem besteht.
Ich hab gestern morgen meine E-Mails gecheckt und bin der Meinung, das da noch alles in Ordnung war. Andererseits war ich da sehr in eile und E-Mails funktionieren ja auch. Bemerkt hab ich es dann gestern nachmittag nach der Arbeit.
Installiert habe ich eigentlich nichts davor.