virus Problem

[cstyler]

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:31: VIRUS ALERT!, on 10.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Genius\ioCentre\gTaskBar.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Genius\ioCentre\gMouseTask.exe
C:\Genius\ioCentre\gKbdTask.exe
C:\Genius\ioCentre\gAutoPan.exe
C:\Genius\ioCentre\gAutoScroll.exe
C:\Genius\ioCentre\gZoom.exe
C:\Genius\ioCentre\gMGlass.exe
C:\Genius\ioCentre\gIMMgm.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Genius\ioCentre\gDeskMgm.exe
C:\Genius\ioCentre\gTaskSwitch.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.e xe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wscript.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O3 - Toolbar: olnmraew - {C741C3AB-8689-4B5E-AE8A-B4A1C212C456} - C:\WINDOWS\olnmraew.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [Print Spool Service] C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\27129\2 7576.vbs
O4 - HKLM\..\Run: [ioCentre] C:\Genius\ioCentre\gTaskBar.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [680b11b6] rundll32.exe "C:\WINDOWS\system32\ioepcnwb.dll",b
O4 - HKLM\..\RunServices: [Print Spool Service] C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\27129\2 7576.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Trust Log] C:\DOKUME~1\cstyler\ANWEND~1\16acid\Bike Face.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.e xe
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA ~1\KASPER~1\KASPER~1\mzvkbd3.dll,wbsys.dll ixxzfb.dll
O21 - SSODL: qmafxprs - {125F03AF-6564-4EAF-A7A8-B0BF66F56CA8} - C:\WINDOWS\qmafxprs.dll
O21 - SSODL: lfstbwvd - {3777883E-1A52-4C85-98B4-B80CCE968764} - C:\WINDOWS\lfstbwvd.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6878 bytes

jetzt wollte ich fragen, wei ich machen kann, das alles normal ist,wenn ich zb start klicke,ist nur da ein icon was ich net klicken kann oder ich kann net alle programme klicken.bei der uhr steht auch virus alert.alles ist passiert als ich navicat crack bei google gescht habe und geladen, dannach hatte ich 113 viren udn mit kaspersy komme ich auch net weiter, somit bitte ich um hilfe, aja auf meinem desktop ist eine virus website, somit dnan ich nicht einstelungen, ich komme ja och nichtmal arbeitsplatz

EDIT:WEnn ich iwas mit hijackthis bearbeiten will, steht da das ist vom administrator verboten,obwohl ich admin bin und ich bentze win xp

[Jack's Wasted Life]

Unerfahrenen Benutzern würde ich in so einem Fall empfehlen, den Rechner neu aufzusetzen und das nächste Mal vorher zu überlegen, ob die Internetzseite, von der man Programme herunterladen möchte, vertrauenswürdig ist, und unabhängig davon, diese Programme nochmal auf Viren zu überprüfen, *bevor* man sie auf sein System loslässt.

Aus Fehlern lernt man.

[Wave14]

fragmentier deine ganzte festplatte vernünftig! und installier alles neu, ist das sicherste und beste
das einfachste ist wirklich neuzuinstallieren
du könntest vielleicht noch versuchen den trojaner zu löschen
versuchs mit ner trial von trojanhunter


einfach "Full Scan" und überall en häkchen

[cstyler]

windows neu zu installieren geht schlecht, weil der virus beim booten von windows wo man cds ladet die tastatur abschaltet, klartext:beim cd booten geht tastatur nicht, genauso beim abgesichertem modus

[DarkCronicLe]

Nur 3 Registry Einträge löschen.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm


Dann sollte alles wieder normal laufen.

//edit:

Was ist
O4 - HKCU\..\Run: [Trust Log] C:\DOKUME~1\cstyler\ANWEND~1\16acid\Bike Face.exe ?
Besser löschen.

[cstyler]

ja hat einer ein programm, was beim booten von cds bei pc start sofort alles formatiert, weil ich nichtmal windows starten kann...und besser ohne beim booten auf "um cd zu laden xyz kopf zu klicken" weil beim cd laden wird die tastatur ausgeschaltet.

@DarkCircle ich kann ja keien regis löschen, bzw bearbeiten ,wenn ich das versuche steht da"Die bearbeitung von regis wurde vom administrator verboten"

leider bin ich der admin

[DarkCronicLe]

DarkCronicLe wenn ich bitten darf

Starte den PC im abgesicherten Modus.
Während du startest in kurzen Abständen die F8 Taste drücken, somit wird nur das nötigste gestartet, und somit auch nicht die Viren.

[cstyler]

beim pc start kann ich ja keien knopfe auf der tastatur klicken, ich versuchs gleich ma...
stimmt es, das wenn man mit nem magneten über die festplatte geht, die formatiert wird udn alles gelöscht wird?

[Xekoeh]

Quote:

Originally Posted by cstyler

ja hat einer ein programm, was beim booten von cds bei pc start sofort alles formatiert, weil ich nichtmal windows starten kann...und besser ohne beim booten auf "um cd zu laden xyz kopf zu klicken" weil beim cd laden wird die tastatur ausgeschaltet.

@DarkCircle ich kann ja keien regis löschen, bzw bearbeiten ,wenn ich das versuche steht da"Die bearbeitung von regis wurde vom administrator verboten"

leider bin ich der admin

Festplatte ausstecken; Windows CD rein; Festplatte erst !NACH dem Start! anschliessen, (sollte automatisch von der CD booten); Festplatte komplett löschen; Abschalten. Festplatte wieder von Anfang an anstecken (wenn es ohne angesteckte Festplatte startet, kann man Windows nicht installieren). Also Pc starten, neu aufsetzen.

Wieso das Theater?

Wenn es keine Festplatte hat, sollte er automatisch von der CD booten, wenn die ganze Festplatte gelöscht ist auch.

[cstyler]

EDIT: kann geclost werde, hat geklappt...