Virus den ich nicht loswerde!!

[Saphier]

Hy alle zusammen, hoffe echt ihr könnt mir weiterhelfen.
Hab seit heute einen Virus auf meinem Stand-PC den ich noch nicht kenne.
Symptome:
Selbe Meldung wie bei Sasser (PC schaltet sich nach 60 Sek ab).
Bei mir tut er es aber nicht, bei 44 sec, bleibt es stehen wegen einer Fehlermeldung. Man kann dann Ja oder Nein klicken, um eine Software zu installieren die es angeblich entfernen soll, aber egal was du klickst man gelangt auf diese Seite.
Außerdem, was das schlimme ist, der Task Manager kann zwar geöffnet werden, doch nichts kann angeklickt werden, das selbe bei der Registry.
Versuche nun seit Stunden es wegzubekommen, Stinger und Windows Defender haben nichts geholfen und Anti-vir lässt sich nicht installieren.
PS: es hat meine Startpage umgestellt, und man kann sie nicht mehr ändern.
Bitte helft mir,
Bitte
Bye

[Fat_Mike]

..und wieso postest du das ganze nicht im sicherheitsforum?

schildere dort mal dein anliegen und poste direkt schonmal. zum einstieg ein hijackthis log.


gruss
fat.

[gipsy111]

Hi,

Arbeite dies ab!!

Download Hijackthis

http://www.merijn.org/files/hijackthis.zip

Entpacke in einen eigenen Ordner --> Doppelklick auf: "Hijackthis.exe" --> Haken setzen --> [Noone of the above Just start the Programm] --> Button [Scan] --> Nach dem Scan [Save Logfile] Speichere es --> Ein Editor öffnet sich: kopiere den Inhalt hierher ins Forum.

Kurzanleitung

http://virus-protect.org/hjtkurz.html

Cleanup

Nutze Cleanup wie beschrieben Hake auf jeden Fall an: Prefetch Ordner leeren:
http://virus-protect.org/cleanup.html

Arbeite das hier ab ==> Poste alle 4 Logs der letzten 3 Monate
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

[automatix]

Ich habs mal verschoben.

[Saphier]

Hy
Danke fürs verschieben, sorry, ist mein erstes mal hier, hab nicht gewusst das es ein Sicherheits-forum gibt.

Ok, das werde ich dann bald durchführen!
Und Danke das ihr so schnell geantwortet habt!

Habt ihr aber eine Ahnung was das für ein Virus sein könnte?

Hab überall im Netz gesucht, doch leider nichts gefunden.
Ok bis bald!

Bye und Danke nochmal!

[Nikita]

Man kann dann Ja oder Nein klicken, um eine Software zu installieren die es angeblich entfernen soll, aber egal was du klickst man gelangt auf diese Seite.

welche Seite ? welche Software ?
ein bisschen genauer und ein link von der seite, waere angebracht.
und poste alle logs, die weiter oben verlangt wurden.

[Saphier]

Hy
Meine neu Startpage hat keinen Namen "about:blank ", aber oben rechts auf der Site steht das sie von Windows Security Center ist
Ich werde jedoch auf die hier geschickt wenn ich etwas anklick:
http://antispywarebox.com/index3.php?aff=242&wd=C:\\WINDOWS


hier mal das HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 18:19:27, on 09.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

EDIT weggelöscht

[Saphier]

Hier nun das datafind.bat für je ca. letzten drei Monate

Datentr„ger in Laufwerk C: ist BOOT

EDIT weggelöscht

[Nikita]

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Files to delete:
C:\WINDOWS\system32\lrf.dat
C:\WINDOWS\system32\bridge.dll
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\wstart.dll
C:\WINDOWS\system32\thlwin32.dll
C:\WINDOWS\system32\qjrkvy.exe
C:\WINDOWS\system32\winflash.dll
C:\WINDOWS\system32\adobepnl.dll
C:\WINDOWS\system32\udpmod.dll
C:\WINDOWS\system32\questmod.dll
C:\WINDOWS\system32\jao.dll
C:\WINDOWS\system32\runsrv32.exe
C:\WINDOWS\system32\txfdb32.dll
C:\WINDOWS\system32\runsrv32.dll
C:\WINDOWS\system32\tcpservice2.exe
C:\WINDOWS\system32\dailytoolbar.dll
C:\WINDOWS\system32\alxres.dll
C:\WINDOWS\system32\users32.exe
C:\WINDOWS\system32\rradghqv.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\gtqhdfrt.exe
C:\WINDOWS\spacer.gif
C:\WINDOWS\x.gif
C:\WINDOWS\win_logo.gif
C:\WINDOWS\warning_icon.gif
C:\WINDOWS\warning-bar-ico.gif
C:\WINDOWS\v.gif
C:\WINDOWS\ts_header.gif
C:\WINDOWS\ts.gif
C:\WINDOWS\star_small.gif
C:\WINDOWS\star_gray_small.gif
C:\WINDOWS\star_gray.gif
C:\WINDOWS\star.gif
C:\WINDOWS\spyware-detected.gif
C:\WINDOWS\spacer.gif'
C:\WINDOWS\sep_vert.gif
C:\WINDOWS\sep_hor.gif
C:\WINDOWS\security_center_caption.gif
C:\WINDOWS\security-center-logo.gif
C:\WINDOWS\security-center-bg.gif
C:\WINDOWS\scan_btn.gif
C:\WINDOWS\rf_header.gif
C:\WINDOWS\rf.gif
C:\WINDOWS\main_back.gif
C:\WINDOWS\infected.gif
C:\WINDOWS\header_4.gif
C:\WINDOWS\header_3.gif
C:\WINDOWS\header_2.gif
C:\WINDOWS\header_1.gif
C:\WINDOWS\footer_back.jpg
C:\WINDOWS\footer_back.gif
C:\WINDOWS\features.gif
C:\WINDOWS\download_box.gif
C:\WINDOWS\close-bar.gif
C:\WINDOWS\button_freescan.gif
C:\WINDOWS\button_buynow.gif
C:\WINDOWS\box_3.gif
C:\WINDOWS\box_2.gif
C:\WINDOWS\box_1.gif
C:\WINDOWS\bg.gif
C:\WINDOWS\as_header.gif
C:\WINDOWS\as.gif
C:\WINDOWS\about_spyware_bottom.gif
C:\WINDOWS\about_spyware_bg.gif
C:\WINDOWS\dlmax.dll
C:\WINDOWS\Pynix.dll
C:\WINDOWS\BTGrab.dll
C:\WINDOWS\ZServ.dll
C:\WINDOWS\alxtb1.dll
C:\WINDOWS\alxie328.dll
C:\WINDOWS\alexaie.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

---------------------

poste den scanreport vom Avenger
und noch mal die 4 logs von datfindbat

--------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {1BFFA9AA-665D-661F-EBD2-4BD9A03ED9FF} - C:\DOKUME~1\Ikic\ANWEND~1\SOFTWA~1\Clock bike.exe (file missing)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Dokumente und Einstellungen\Ikic\Desktop\Allgemein\ivana\MsgPlus.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [2 Amok Drv Inside] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\surf live 2 amok\RealCake.exe
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Dokumente und Einstellungen\Ikic\Desktop\Allgemein\ivana\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Army shim] C:\DOKUME~1\Ikic\ANWEND~1\1COPYB~1\BendPoke.exe
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe"
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... xmk996YYAT
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocach ... 0.0.15.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites ... nstall.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_d ... tallDE.cab
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll

PC neustarten

++
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

++
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

[Saphier]

Hier die echo:

EDIT weggelöscht

[Nikita]

look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

[Saphier]

Der Avenger hatte ein Problem nach dem neustarten und das File war leer!

[Saphier]

Hy

Habs nochmal versucht und diesmal ging es

hier der Avenger Report:

EDIT weggelöscht

[Saphier]

Hier der Look Report:

EDIT weggelöscht

[Saphier]

Hy, danke nochmal, wenn das alles war,
ob er weg ist werde ich wohl nach dem erneuten neustarten und aufrufen des Explorers oder Firefoxes herausfinden.

Wollte nur fragen was für Anti-Viren Software du mir raten würdest, da ja diese versagt hat !!!

Hatte früher Avast 4Home , war super, aber auf diesem PC hats nur mist gebaut und hätte ihn fast gekillt. War schlimmer als ein Virus, seitdem verwende ich Avast auch nicht beim Notebook.

Ok BYE, schöne Grüße aus Wien.