Hallo!

Ich habe folgende(s) Problem(e) :

Ich habe mich hier über die Lösung eines Viruses informiert, wollte nun euren Lösungsweg einschlagen. . . leider ging dies nicht, da ich trotz Systemworks 2005 und ständigem LiveUpdate mehrere Viren auf meinen PC erkannt habe! Einer von ihnen hindert mich daran Dateien runterzuladen (SPBBCSvc.exe), wenn ich dann jedoch einige Dateien runterladen kann so kann ich diese leider nicht installieren! Mein Norton erkennt diese Dateien und Prozesse leider nicht als Viren und behebt sie somit auch nicht, ich habe es ausserdem schon mit einem SystemScan im Abgesicherten Modus versucht . . .leider schlug auch dieser Versuch fehl.


Nun kann ich euch leider keine LogfilesPosten . . . da ich nicht weiß wie man diese erstellt! Aber ich kann euch zumindest vorerst die Namen der Prozesse geben die, wie ich vermute, meinen Computer belasten! Ich hoffe auch so kann mir schonmal geholfen werden (oder mir erklärt jmd was das mit den Logfiles auf sich hat).

Nun denn :

-ccEvtMgr.exe
-SPBBCSvc.exe
-SNDSrvc.exe
-ccSetMgr.exe
-spoolsv.exe
-symlcsvc.exe


Ich bitte euch inständig um Hilfe ! Ihr seid meine letzte Rettung . . .ich habe mich selber schon um Lösungen bemüht komme nun leider, vllt auf Grund von Mangel an Kompetenz, nicht weiter!


DANKE SCHONMAL IM VORRAUS!

Lookin forward to hearing from you

jabo

Hier nun mein Logfile (nach "einigem" Stöbern habe ich nun endlich gerafft was fürn Logfile *gg*)


----------------------------



Logfile of HijackThis v1.98.2
Scan saved at 00:08:09, on 15.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ISTsvc\istsvc.exe
D:\Programme\Steam\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gamers.IRC\mirc.exe
D:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\WebDownloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11316
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=11316
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://win-eto.com/hp.htm?id=11316
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\YZCKRI~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [Steam] D:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Cheating-Death Client.lnk = C:\Programme\Cheating-Death\cdeath.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... bcf4a5afcb
b90dcf34dad1f7e20e580a8628a9310ebdbc79ff97ebe1e10940b1a7ee84d6b88713ffc0
7adc36a6c198daa84af66cad27b7bddb:0bcd3b08a0018c359992be6d71d48cd1
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O20 - AppInit_DLLs: ec8s99m9xjk2.dll

------------------------------------------------------------------

Hallo@jabo

Start<Ausfuehren-->cmd
Windows-Start - Ausführen - sysedit.exe eingeben - OK klicken

der MS-DOS Editor oeffnet sich

suche die system.ini und dann einen Eintrag:

system.ini: UserInit=Userinit.exe,TGBRFV_

<loesche diese Zeile rechts von run

# Click File > Save.
# Click File > Exit.

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11316
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=11316
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://win-eto.com/hp.htm?id=11316
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\YZCKRI~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... f4a5afcbb9
0dcf34dad1f7e20e580a8628a9310ebdbc79ff97ebe1e10940b1a7ee84d6b88713ffc07ad
c36a6c198daa84af66cad27b7bddb:0bcd3b08a0018c359992be6d71d48cd1
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O20 - AppInit_DLLs: ec8s99m9xjk2.dll

NEUSTARTEN

#oeffne das HijackThis:

HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\System32\YZCKRI~1.DLL
PC neustarten

Start<Ausfuehren-->cmd
kopiere in das DOS-Fenster:

attrib -h %systemroot%\system32\ec8s99m9xjk2.dll & ren %systemroot%\SYSTEM32\ec8s99m9xjk2.dll Badfile.bad

<enter<

HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\System32\ec8s99m9xjk2.dll
PC neustarten

#mit dem HijackThis loescht du:
<C:\Programme\SideFind\sidefind.dll
<C:\Programme\ISTsvc\istsvc.exe
<C:\Programme\ISTbar\istbar.dll
<C:\WINDOWS\System32\msaps.dll
<C:\Windows\system32\TGBRFV_5.dll
<C:\Windows\system32\TGBRFV_.exe
< C:\WINDOWS\Downloaded Program Files\WinAdToolsX.dll

Suche und loesche:
<file1.exe
<wintbl32.exe

#Windows\Downloaded Programm Files löschen...das sind die 016-Eintraege im HijackThis...un da gibt es viele Trojaner....
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es .

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporäre Internet-Dateien<Dateien löschen

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten
zusammen mit dem neuen Log vom HijackThis (stelle vorher eine neue Startseite unter "Internetoption2 ein.

mfg
Nikita