Hallo!

An viele meiner Beiträge wird ein Link oder eine Werbung einer Seite namens myscreensavers gehangen. Bin auf solch einen Link gegangen, nachdem ich dachte, jemand wollte eine interessante Seite vorstellen. WIe krieg ich das weg?

mache das:

1.
Anleitung + Download HijackTHis:
http://virus-protect.org/hjtkurz.html

ich fürchte, dein PC ist schwer verseucht...

Einfach nur runterladen und dann was machen? Wie kann ich das jetzt löschen bzw. was darf ich löschen?

Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 7:16:19 PM, on 4/23/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\programme\softwin\bitdefender8\bdnagent.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1168769658\ee\AOLSoftware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\ESTsoft\ALZip\ALZip.exe
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\_AZTMP2_\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1168769658\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EA Link\Core.exe" -silent
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\SPEEDD~1\nopdb.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Ich hoffe dies ist jetzt kein Doppelpost, aber eine Antwort wäre nett.

Na wenn keiner Lust dann antworte ich mal: Mach folgendes in dieser Reihenfolge:

avenger anwenden:
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Files to delete:
C:\WINDOWS\system32\ntos.exe
c:\windows\system32\spywinclean.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
nach dem neustart wird ein Log vom avenger erscheinen - poste es hier

C:\avenger\backup.zip --> direkt löschen , Papierkorb leeren

dann

öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" -- PC neustarten


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

nun

CCleaner ausführen:
http://www.paules-pc-infothek.de/ppf2/v ... php?t=1138

AVG Antispyware anwenden:
http://www.paules-pc-infothek.de/ppf2/v ... php?t=1142
Funde löschen, Report posten

nun eine neuen Hijackthislog erstellen und posten

Humdinger hat geschrieben:Na wenn keiner Lust dann antworte ich mal: Mach folgendes in dieser Reihenfolge:

avenger anwenden:
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Files to delete:
C:\WINDOWS\system32\ntos.exe
c:\windows\system32\spywinclean.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
nach dem neustart wird ein Log vom avenger erscheinen - poste es hier

C:\avenger\backup.zip --> direkt löschen , Papierkorb leeren

dann

öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" -- PC neustarten


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

nun

CCleaner ausführen:
http://www.paules-pc-infothek.de/ppf2/v ... php?t=1138

AVG Antispyware anwenden:
http://www.paules-pc-infothek.de/ppf2/v ... php?t=1142
Funde löschen, Report posten

nun eine neuen Hijackthislog erstellen und posten

DANKE!!!

Werde ich am Wochenende machen.

Irgendwie steige ich Avenger nicht durch. Was muss ich machen um es normal laufen zu lassen, da gibt es ja mehrere Möglichkeiten.

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

Wenn ich die grüne Ampel drücke, dann kommt eine Fehlermeldung

...verify that path name is valid and file exists...

Welchen File meint er? Muss ich bei Load Script from FIle irgendwas enstellen.

*push*

Hallo,

hast du jetzt den Avenger durchgeführt, wenn nicht, dann hier nochmals zur Erklärung

1. Input script manually (anhaken)
2. die "Lupe" rechts anklicken
3. kopiere rein:

Files to delete:
C:\WINDOWS\system32\ntos.exe
C:\windows\system32\spywinclean.exe

4. Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC neu gestartet

Hallo,

wenn Avenger nicht funktioniert, müssen wir wohl nach meiner Methode vorgehen...

1.: Lade dir LSPFix herunter und drucke die Anleitung am besten aus (oder merke dir den Vorgang).
http://www.trojaner-board.de/38201-anle ... yware.html
Du wirst das Programm anschließend benötigen, da deine Itnernetverbindung nicht richtig funktioniert.

2.: Starte Windows im abgesicherten Modus und lösche die folgenden Dateien:

Code: Alles auswählen

C:\WINDOWS\system32\ntos.exe

c:\windows\system32\spywinclean.exe

Starte HijackThis erneut und wähle die folgenden Einträge durch Anhaken aus:

Code: Alles auswählen

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Klicke dann auf Fix checked, um diese zu entfernen.

3.: Starte Windows neu und führe LSPFix gemäß Anleitung aus.

4.: Erstelle ein neues Logfile, das du in diesem Thread postest.

Ich habe bei Avenger jetzt die Lupe gedrückt, es kommt allerdings ein leeres Logfile.
Wenn ich jetzt die grüne Ampel auswähle, welche der Kästen muss markiert sein?;

Load Script from File
Load Script from URL
Input Script Manually

TBG hat geschrieben:Ich habe bei Avenger jetzt die Lupe gedrückt, es kommt allerdings ein leeres Logfile.
Wenn ich jetzt die grüne Ampel auswähle, welche der Kästen muss markiert sein?;

Load Script from File
Load Script from URL
Input Script Manually

Genau das ist die Datei, die nicht gefunden wird, warum machst du es nicht so wie oben beschrieben?

BlueScreen-Bertrand hat geschrieben:[...] wenn Avenger nicht funktioniert, ...