SirGeorg

Hallo,

Da ich absolut keine Ahnung mehr von Technik und PC`s hab wende ich mich an euch. Ich hoffe ihr könnt mir helfen.

Ich hatte gestern von meinem Antivirenprogramm (Antivir) 3 Trojaner angezeigt bekommen. Seitdem stockt das Internet oft und ich habe bei Youtube etc. keinen Ladevorgang. Antivir und a-squared haben aber nichts gefunden.

Jetzt würde ich gern mein PC generalüberholen sprich:
Viren bekämpfen,Ad+Spyware entfernen und vllt. bissle Windowstuning.
Welche Programme sind dazu nötig?

Vielen Dank für eure Unterstützung
SirGeorg

ReinMan

Lade dir erstmal Spybot und Adaware runter. Die Updatest du erstmal und machst dann einen kompletten Scan. Dann lädst du dir noch Ewido runter und machst einen "Speicher-Scan" "Registry-Scan" und einen "kompletten System-Scan". Auch davor bitte Updaten.

http://www.chip.de/downloads/SpyBot-..._13001443.html

http://www.chip.de/downloads/Ad-awar..._13000824.html

http://www.computerbase.de/downloads...-spyware_free/

Klickst bei AVG unter den Link von "Benutzerhandbuch" auf Download.

Dann postest du uns mal ein Hijackthislogfile ins Forum damit wir grob Schädlinge ausschließen können. Die Exe-Datei benennst du um in "hsdf.exe". Do a system scan save a Logfile das LF postest du uns hier ins Forum.

http://www.chip.de/downloads/HijackT..._24575647.html

teodor

Und poste bitte mal die Namen der Trojaner.
Das könnte mir(/uns) helfen dir zu helfen

SirGeorg

Danke für die schnelle Hilfe.
Spybot ist schon drübergelaufen hatte 14 Funde die ich gelöscht habe.
Ad-Aware läuft gerade durch. Poste morgen die hijack files.
Gruß

SirGeorg

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:28, on 18.03.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.menslabel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {A9FC2090-5E4C-4656-9596-E41900FD2025} - C:\Windows\system32\KBDTH0d.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {3015DB92-158E-4b77-9020-85C8E311FBB5} - (no file)
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 6016 bytes


So der Virenscanner hat nichts mehr gefunden. Hier die Hijack auswertung.
Scheint ja soweit alles normal zu sein oder?

ReinMan

O2 - BHO: (no name) - {A9FC2090-5E4C-4656-9596-E41900FD2025} - C:\Windows\system32\KBDTH0d.dll (file missing)

O9 - Extra button: (no name) - {3015DB92-158E-4b77-9020-85C8E311FBB5} - (no file)

Die beiden Einträge markierst du und gehst auf "Fix check". Die wurden bereits deinstalliert oder verschoben/entfernt etc.

Was für Funde haben Adaware und Spybot ergeben ? poste uns mal deren Name anhand dessen können wir genaueres sagen eventuelle Vorgehensweisen etc etc.

Hast du mit Ewido nochmal gescannt ?

SirGeorg

Mhh kann ich dir nicht mehr sagen habe die Sachen einfach gelöscht :-)

Ewido hat nichts mehr gefunden.

Die Probleme mit youtube etc. haben sich jetzt aber geklärt, läuft wieder einwandfrei.

Soll ich zur Sicherheit nochmal alles aktualisieren und nochmal drüberlaufen lassen?

Humdinger

KBDTH0d.dll - könnte Vundo gewesen sein. Dann würde sich gewönhlich noch mehr finden lassen.

Daher prüfe mal mit ComboFix
http://virus-protect.org/artikel/tools/combofix.html
Report posten

teodor

@SirGeorg
ja, du solltest dein Computer neustarten und dan wieder einen Vierenscan durchführen, damit du sicher sein kannst, dass alles weg ist.
Falls wieder etwas auftauchen sollte, bitte ich dich die Namen zu posten.