Billy Talent

Ich hab mir ausversehen einen Virus heruntergeladen.

Danach habe ich natürlich rTrust Antivirus rüberlaufen lassen und er fand 2 infizirte Dateien. Die konnten nicht behoben werden, also habe ich sie einfach gelöscht. Sie kamen auch nicht wieder.

Allerdings hinterließ der Virus Fehler:

1. Firefox startet nicht mehr, eine Sanduhr ist für 2-3 Sekunden zu sehen, aber Firefox lässt sich nicht blicken, auch im Taskmanager ist er nicht zu sehen.

2. Der Desktophintergrund "Your Computer is in Danger" lässt sich nicht entfernen.

3. Der Pc startet normal, bis zum Desktop; dort wird mein alter Hintergrund angezeigt, aber keine Taskleiste und auch keine Symbole, erst wenn ich irgendwo hinklicke (der Zeiger ist zu sehen und lässt sich bewegen) lädt er die Symbole.

Der Virus hieß, oder heißt vielleicht immer noch:

Win32/Malum.DBJU

Danke....

Leonixx

Aloha,

Hijackthis Logfile posten. Lade dir Malewarebytes (link in meiner Signatur), ausführen, komplett scannen, alles löschen was gefunden wird, Report posten.

HJT Anleitung

Gruss Leonixx

Billy Talent

Ich habe Hijackthis auf meinen Stick gespeichert auf den Computer gemacht, wo das Problem vorliegt und dann wollte ich es installieren.
Doch er zeigt mir jetzt etwas neues an: Das Programm spool.exe hat ein Problem festgestellt und muss beendet werden, das meistens mehrmals hintereinander.
Wer weiß, wie ich diese Datei von meinem System löschen kann?

spool.exe Erklärung

Billy Talent

Ok, ich hab´s jetzt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29:07, on 07.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\spoolsv.exe
F:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.medion.de/
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\cftmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148462577078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1148462677343
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

--
End of file - 5206 bytes

Humdinger

Du hast einen Backdoor der über einen IRC Channel kommuniziert. Malware nach lädt und dich ausspioniert. Du bist Teil eines Botnetzwerks. Das System ist kompromittiert.
http://oschad.de/wiki/index.php/Kompromittierung

Du mußt formatieren (langsam mit ntfs) und das System neu aufsetzen.

XP neu
http://www.windows-tweaks.info/html/...tallation.html

Zusammenstellung: Wie mache ich meinen PC sicher?
http://www.paules-pc-infothek.de/ppf...opic.php?t=872

Verwende in Zukunft zusätzlich immer die Freeware Sandboxie
http://www.paules-pc-infothek.de/ppf...pic.php?t=1136
Ändere alle wichtigen Passwörter

Billy Talent

Ich probier´s.

Gibt es auch noch andre Varianten?

Leonixx

Aloha,

gebe Humdinger recht, setze das System neu auf. Du bist Teil eines Botnetzwerkes.

Botnet

Dein System ist bereits übernommen.

Gruss Leonixx

Billy Talent

Mein Computer läuft nach der Formatierung wieder virenfrei, Danke.