Hilfe Internet Blockiert! Virus! Es Geht um 900 Gb

[Zapfal]

Mein Betriebsystem Gibts seit 2000. Ich habe ca 900gb an daten gesammelt. Bisher lief alles Virenfrei. Heute Morgen kam der Shock:
Win32.Web.Hancer. Bitte um Hilfe. Es geht um 900 Gb. Den betroffenen Pc habe ich sofort vom Internet entfernt. Ich schreibe euch jetzt von meinem Laptop aus. Ich scanne mit der Aktuellsten version von Kaspersky anti virus Personal.

Bedanke mich im voraus für jede Hilfe.

mfg. Zapfal

Logfile of HijackThis v1.99.1
Scan saved at 16:25:13, on 06.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\CTHELPER.EXE
D:\Programme\D-Tools\daemon.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
E:\Programme\QuickTime\qttask.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\TechniSat DVB\bin\Server4PC.exe
D:\Programme\Virtual CD v5\System\VC5Tray.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
D:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Flo\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "D:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Server4PC.lnk = D:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {7B41B7AC-3496-4C13-A70F-DE6B60A6A8A8} (MGAME manager Class) - http://www.legendofares.com/download/mg ... rv1001.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe


Kaspersky: der Eintrag Widerholt sich ca. 100 mal einmal Groß und dann wieder mal Klein geschrieben.

C:\WINDOWS\webhdll.dll;ist das potentiell gefährliche Programm not-a-virus:AdWare.Win32.WebHancer;06.07.2006 16:35:37
C:\WINDOWS\webhdll.dll;in das Backup verschoben;06.07.2006 16:09:38
C:\WINDOWS\webhdll.dll;Löschen nicht möglich, Objekt wurde gesperrt;06.07.2006 16:35:37
C:\WINDOWS\WEBHDLL.DLL;Löschen nicht möglich, Objekt wurde gesperrt;06.07.2006 15:58:52

[Zapfal]

Bekomme eine schöööne 1 min Shutdown meldung.

Hmm formatieren und 900 Gb verlieren?

Jetzt wirds ernst.

HILFEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE!

[gipsy111]

Hi,

arbeite dies ab!!

1.
stelle den CleanUp genauso ein, wie hier angegeben: (+ PC neustarten)
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

[Zapfal]

Habe keine Chance. Bekomme die 1 min Shutdown Meldung Direkt nach dem anmelden. Der Virus steht oben

Ist Jetzt schon alles verloren?

[Yourhighness]

Das muss was anderes sein. Webhancer ist spyware und das sieht eher nach was ernsterem aus. Wie konntest Du das HJT Log erstellen, wenn auf einmal nichts mehr geht? hast Du schon mal versucht im Abg. Modus zu gehen? und willst Du mir erzaehlen du hast alles auf einer partition? o.O das ist sehr leichtsinnig.

[gipsy111]

Es ist der W32.Blaster.Worm.

Um den Shutdown zu verhindern probiere mal

Start --> Ausführen --> shutdown -a eingeben --> ok drücken

Das hält wahrscheinlich für ein paar Minuten an, deshalb nutze die Zeit und lass Cleanup durchlaufen und die 4 Textdateien von datfindbat hier hinein kopieren

Ich hoffe du hast Glück

[gipsy111]

Mache das auch noch:

1. http://www.bsi.de/av/texte/wiederher_xp.htm

2. http://www.bsi.de/av/vb/blaster.htm#Tool

Erst bei deinem Laptop durchlesen und die Tools downloaden, danach bei deinem Rechner ausprobieren!!

[Nikita]

1,
bringe auf den Rechner:

WinsockFix
http://www.iup.edu/house/resnet/winfix.shtm
Einfach die Datei downloaden, ausführen, auf FIX klicken, PC neu booten und schon läuft alles wieder

2.
dann poste die 4 Logs von datfindbat
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

[gipsy111]

Das dies so einfach geht, naja

Beim nächsten Mal weiß ich es!!

Man lernt nie aus!!

[Zapfal]

1. Problem ich habe keine taskleiste

2. Problem das ist nicht das fenster vom blaster worm. (Ein winziges fenster nur mit zb. 00:59 sonst steht nix drin)

3. Das Fenster kommt direkt nach dem anmelden.

4. Abgesicherter Modus geht nicht. (Pc bootet neu beim laden vom abgesicherten modus)

Ich habs dann so gelöst:

Meine Wichtigen Daten von einem Datensicherungsdienst sichern lassen. (teuer aber was soll ich sonst machen)

Formatiert(alle 8 Partitionen)

Morgen muss ich wieder hin zur Datenübertragung.

Ich möchte mich aber bei euch herzlich bedanken für eure Bemühungen. Ich hätte nicht gedacht, dass es so viele hilfsbereite Menschen gibt.

[Nikita]

der webhancer ist nun wirklich kein Grund zum Formatieren... aber du musst es wissen..
Gruss

[Hydan]

Wenn du keine Tastkleiste hast:
Windowstaste + E -> ab innen Explorer. Dann nach deinem Windows/System23/ Ordner suchen -> cmd.exe ausführen -> shutdown -a eingeben.
Das sollte erstmal den Pc vorm runterfahren abhalten. Danach würde ich die Liste von Nikita oder Gipsy abarbeiten.


Eine Frage hätte ich da noch: warum verlierst du wenn du formatierst 900Gb daten? o_O Was hastn du für ne Festplatte bzw Partition?


Edit: ARG, zu Spät. Das kommt davon wenn man sich den ganzen Thread nicht durchliest.

[Zapfal]

@Hydan: Ich habe einen Raid Mit 1 Tb 4 mal 250gb

@Nikita: ich weiß dass der Webhancer allein kein grund ist er verursacht sicher nicht allein die ganzen Probleme die ich gehabt habe.

Das Thema kann nun geschlossen werden.