kaliope

Ich hab seit kurzem Breitband-Internet und es ist in den ersten Wochen auch einwandfrei gelaufen. Doch dann hat es mein Freund offenbar irgendwie geschafft, versehentlich ein Programm herunterzuladen. Dieses läuft jetzt immer nach dem starten des Computers. Ich poste hier mal, was in dem Fenster steht:

Überschrift: C:\WINDOWS\System32\cmd.exe

C:\Dokumente und Einstellungen\xxx>c:
C:\Dokumente und Einstellungen\xxx>cd...
C:\Dokumente und Einstellungen>cd...
C:\>cd...
C:\>sysrun.exe knb.exe conf

(Mit XXX hab ich den Benutzernamen vschlüsselt.) Leider kann ich mit diesen Befehlen gar nichts anfangen. Aber ich hab mir mal die Eigenschaften der Programme herausgesucht:

sysrun.exe wird als HideRun Application - hidden application launcer bezeichnet. Zu knb.exe gibt es in den Eigenschaften leider keine nähere Erläuterung.

Seit 24. März wird wie gesagt immer nach dem Start dieses Programm ausgeführt. Ich bilde mir ein, dass dadurch etliche Fehler hervorgerufen werden, zB:
- Internetverbindung in der Systemsteuerung/Netzwerkverbindungen gelöscht
- Einwahl ins Internet blockiert
- Tastatur auf Englisch umgestellt
- Schnellstartleiste war ausgeschaltet
- Kurzum: Das ganze System läuft sehr instabil und überrascht mich täglich mit neuen Fehlermeldungen

Ich muss vielleicht noch dazusagen, dass ich auch vor Erscheinen des Systemfensters bereits Probleme mit PopUps hatte. Vor allem werde ich immer aufgefordert, Programme wie Syscontroller und MalawareAlarm zu installieren (was ich jedoch nie gemacht habe), aber auch jede Menge Werbe-PopUps erscheinen regelmäßig.

Naja, wie auch immer: Heute habe ich mir Antivir downgeloadet. (Ja, ich weiß - zu spät... *drop*) Download und Installation liefen ohne Probleme. Nach dem Neustart des Computers erhielt ich jedoch folgende Fehlermeldung:

The application module

c:\programme\avira\antivir personaledition classic\avacenter.exe

cannot be found or has been modified or destroyed. The AVCENTER.EXE cannot be started. Please check your installation!

Tja, und nun bin ich ratlos. Für mich als Laie sieht es so aus, als würde der Virus die Installation und Ausführung des Virusprogrammes verhindern. Aber ohne Virusprogramm bekomme ich den Virus wahrscheinlich nicht los. Ein Teufelskreis. Weiß von euch jemand Rat? Vielen Dank schon mal für eure Hilfe!

Leonixx

Aloha,

poste uns ein Hijackthis Logfile, damit wir sehen können was auf deinem System los ist.

HJT Anleitung

Gruss Leonixx 8)

violentviper

Hi !
Deaktiviere die Systemspeicherpunkt Einstellung . Dannach dein AntiVir updaten. Dannach starteste im abgesicherten Modus windows und machst einen vollständigen Virenscan .

mfg
violentviper

kaliope

So, hier der hijackthis-file:

Logfile of HijackThis v1.99.1
Scan saved at 19:10:08, on 02.04.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\System\MSASP32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\antiv.exe
C:\WINDOWS\System32\dllcache\windmns.exe
C:\Programme\aon\aonMessageCenter\aonMessageCenter .exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\dllcache\wintcps.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wumger.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Alfons\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\MsWorks\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\jinbhij.exe
O4 - HKLM\..\Run: [Microsoft Anivirus Monitor Process] antiv.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [1aonmessagecenter] C:\Programme\aon\aonMessageCenter\aonMessageCenter .exe
O4 - HKLM\..\Run: [Microsoft Windows Update] c:\run32.bat
O4 - HKLM\..\Run: [{51-10-0D-D6-DW}] c:\windows\system32\rwwnw64d.exe DWram
O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\atgban.dll" DllStart
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu.exe
O4 - HKLM\..\Run: [g]eeV\mWhjlnspB] C:\WINDOWS\System32\tcntskdn.exe DWram
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\xuzzrsrks.exe
O4 - HKLM\..\Run: [Windows Ndis Device] Wincfg.exe
O4 - HKLM\..\Run: [WinXPService] C:\WINDOWS\System32\Filereg.exe
O4 - HKLM\..\Run: [Manage Tunnel Win32 Services] wumger.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [41351079] rundll32.exe "C:\WINDOWS\System32\fmokvvek.dll",b
O4 - HKLM\..\Run: [BM420623e5] Rundll32.exe "C:\WINDOWS\System32\qsdtfinf.dll",s
O4 - HKLM\..\RunServices: [Microsoft Anivirus Monitor Process] antiv.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [Windows Ndis Device] Wincfg.exe
O4 - HKLM\..\RunServices: [Manage Tunnel Win32 Services] wumger.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Manage Tunnel Win32 Services] wumger.exe
O4 - HKCU\..\RunServices: [Manage Tunnel Win32 Services] wumger.exe
O4 - Startup: Ereigniserinnerung.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE
O4 - Startup: DW_Start.lnk = C:\WINDOWS\SYSTEM32\rwwnw64d.exe
O4 - Startup: Deewoo.lnk = C:\WINDOWS\SYSTEM32\tcntskdn.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/pla.../installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C0B6CFF-0BFE-4A18-A1FD-3570EE61211C}: NameServer = 195.3.96.67 195.3.96.68
O19 - User stylesheet: C:\Dokumente und Einstellungen\Alfons\Eigene Dateien\Neopets\Werbungsblocker.css
O23 - Service: Advance Service Process - Unknown owner - C:\Programme\Gemeinsame Dateien\System\MSASP32.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft Windows DNS Manager - Unknown owner - C:\WINDOWS\System32\dllcache\windmns.exe
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe

Ich hoffe, ich habe alles richtig gemacht.

julchri

Hallo,

eigentlich bin ich dagegen, immer gleich neu zu installieren.
In Deinem Fall würde ich es tun.
Du hast eine Menge schädlicher Sachen drauf. Und wenn Du nicht mal mehr ein Antivirenprogramm installieren kannst, würde ich gleich alles säubern.

kaliope

Das heißt also, Computer ganz neu aufsetzen, oder? So was in der Richtung hab ich mir schon gedacht... *seufz* Sonst gibt es keine andere Möglichkeit?

julchri

Warte mal, was die anderen sagen, aber ich würde es tun.

kaliope

Okay! Vielen Dank erstmal! Auch wenn es keine so guten Nachrichten sind. Aber ich bin ja selber schuld - hätte meinen Freund nicht an den PC lassen sollen. *g*

Ich mach mir dann schon mal Gedanken darüber, wie ich am besten meine Dateien sichere...

Ostseesand

Hi,

uiiiiiii das ist mal ein logfile.
da rumzuwerkeln ist sinnlos.
erstens ist das SP2 nicht drauf, was nach einer entseuchung dringend wäre.
zweitens sind einige schädlinge bei, die das system unter-tunnelt haben.

auch mein rat wäre NEU-NEU-NEU mit dem SP2 dann im anschluss installieren.

kaliope

SP2 - Was ist denn das? *Laie bin*

Na dann werde ich mich morgen mal um die Sicherung meiner persönlichen Dateien kümmern. Zum neu Aufsetzen werde ich mir dann wohl einen Experten holen müssen.

Habt ihr Tipps, welche Dateien ich noch unbedingt sichern muss, außer den Ordner Eigene Dateien natürlich. Ich weiß, gehört zwar jetzt nicht wirklich in dieses Forum, aber vielleicht habt ihr trotzdem Rat.

Und natürlich noch: Vielen Dank euch. Ihr habt mir wirklich sehr geholfen. Man findet im Internet nicht immer so kompetente Auskunft.