virus Problem

10/10/2008 09:37 cstyler#1
Quote:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:31: VIRUS ALERT!, on 10.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Genius\ioCentre\gTaskBar.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Genius\ioCentre\gMouseTask.exe
C:\Genius\ioCentre\gKbdTask.exe
C:\Genius\ioCentre\gAutoPan.exe
C:\Genius\ioCentre\gAutoScroll.exe
C:\Genius\ioCentre\gZoom.exe
C:\Genius\ioCentre\gMGlass.exe
C:\Genius\ioCentre\gIMMgm.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Genius\ioCentre\gDeskMgm.exe
C:\Genius\ioCentre\gTaskSwitch.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.e xe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wscript.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Only registered and activated users can see links. Click Here To Register...]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O3 - Toolbar: olnmraew - {C741C3AB-8689-4B5E-AE8A-B4A1C212C456} - C:\WINDOWS\olnmraew.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [Print Spool Service] C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\27129\2 7576.vbs
O4 - HKLM\..\Run: [ioCentre] C:\Genius\ioCentre\gTaskBar.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [680b11b6] rundll32.exe "C:\WINDOWS\system32\ioepcnwb.dll",b
O4 - HKLM\..\RunServices: [Print Spool Service] C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\27129\2 7576.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Trust Log] C:\DOKUME~1\cstyler\ANWEND~1\16acid\Bike Face.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.e xe
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA ~1\KASPER~1\KASPER~1\mzvkbd3.dll,wbsys.dll ixxzfb.dll
O21 - SSODL: qmafxprs - {125F03AF-6564-4EAF-A7A8-B0BF66F56CA8} - C:\WINDOWS\qmafxprs.dll
O21 - SSODL: lfstbwvd - {3777883E-1A52-4C85-98B4-B80CCE968764} - C:\WINDOWS\lfstbwvd.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6878 bytes
jetzt wollte ich fragen, wei ich machen kann, das alles normal ist,wenn ich zb start klicke,ist nur da ein icon was ich net klicken kann oder ich kann net alle programme klicken.bei der uhr steht auch virus alert.alles ist passiert als ich navicat crack bei google gescht habe und geladen, dannach hatte ich 113 viren udn mit kaspersy komme ich auch net weiter, somit bitte ich um hilfe, aja auf meinem desktop ist eine virus website, somit dnan ich nicht einstelungen, ich komme ja och nichtmal arbeitsplatz

EDIT:WEnn ich iwas mit hijackthis bearbeiten will, steht da das ist vom administrator verboten,obwohl ich admin bin und ich bentze win xp
10/10/2008 10:43 Jack's Wasted Life#2
Unerfahrenen Benutzern würde ich in so einem Fall empfehlen, den Rechner neu aufzusetzen und das nächste Mal vorher zu überlegen, ob die Internetzseite, von der man Programme herunterladen möchte, vertrauenswürdig ist, und unabhängig davon, diese Programme nochmal auf Viren zu überprüfen, *bevor* man sie auf sein System loslässt.

Aus Fehlern lernt man.
10/10/2008 20:07 Wave14#3
fragmentier deine ganzte festplatte vernünftig! und installier alles neu, ist das sicherste und beste
das einfachste ist wirklich neuzuinstallieren
du könntest vielleicht noch versuchen den trojaner zu löschen
versuchs mit ner trial von trojanhunter
[Only registered and activated users can see links. Click Here To Register...]

einfach "Full Scan" und überall en häkchen
10/10/2008 20:14 cstyler#4
windows neu zu installieren geht schlecht, weil der virus beim booten von windows wo man cds ladet die tastatur abschaltet, klartext:beim cd booten geht tastatur nicht, genauso beim abgesichertem modus
10/11/2008 00:34 DarkCronicLe#5
Nur 3 Registry Einträge löschen.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Only registered and activated users can see links. Click Here To Register...]

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm


Dann sollte alles wieder normal laufen.

//edit:

Was ist
O4 - HKCU\..\Run: [Trust Log] C:\DOKUME~1\cstyler\ANWEND~1\16acid\Bike Face.exe ?
Besser löschen.
10/11/2008 17:51 cstyler#6
ja hat einer ein programm, was beim booten von cds bei pc start sofort alles formatiert, weil ich nichtmal windows starten kann...und besser ohne beim booten auf "um cd zu laden xyz kopf zu klicken" weil beim cd laden wird die tastatur ausgeschaltet.

@DarkCircle ich kann ja keien regis löschen, bzw bearbeiten ,wenn ich das versuche steht da"Die bearbeitung von regis wurde vom administrator verboten"

leider bin ich der admin
10/11/2008 19:34 DarkCronicLe#7
DarkCronicLe wenn ich bitten darf ;)

Starte den PC im abgesicherten Modus.
Während du startest in kurzen Abständen die F8 Taste drücken, somit wird nur das nötigste gestartet, und somit auch nicht die Viren.
10/11/2008 21:37 cstyler#8
beim pc start kann ich ja keien knopfe auf der tastatur klicken, ich versuchs gleich ma...
stimmt es, das wenn man mit nem magneten über die festplatte geht, die formatiert wird udn alles gelöscht wird?
10/11/2008 22:41 Xekoeh#9
Quote:
Originally Posted by cstyler View Post
ja hat einer ein programm, was beim booten von cds bei pc start sofort alles formatiert, weil ich nichtmal windows starten kann...und besser ohne beim booten auf "um cd zu laden xyz kopf zu klicken" weil beim cd laden wird die tastatur ausgeschaltet.

@DarkCircle ich kann ja keien regis löschen, bzw bearbeiten ,wenn ich das versuche steht da"Die bearbeitung von regis wurde vom administrator verboten"

leider bin ich der admin
Festplatte ausstecken; Windows CD rein; Festplatte erst !NACH dem Start! anschliessen, (sollte automatisch von der CD booten); Festplatte komplett löschen; Abschalten. Festplatte wieder von Anfang an anstecken (wenn es ohne angesteckte Festplatte startet, kann man Windows nicht installieren). Also Pc starten, neu aufsetzen.

Wieso das Theater?

Wenn es keine Festplatte hat, sollte er automatisch von der CD booten, wenn die ganze Festplatte gelöscht ist auch.
10/12/2008 10:19 cstyler#10
EDIT: kann geclost werde, hat geklappt...