chrilo

Hallo

Mein Ausgangsproblem habe ich hier bereits beschrieben:

PC friert ein / läuft schleppend

Ich kann kaum noch Programme öffnen geschweige denn installieren da mein Pc dann meist sofort
einfriert.

Doch wie kann ich jetzt meinen PC scannen und die Schädlinge entfernen?
Oder komm ich um eine Installation nich herum?

Leonixx

Hi,

für einen ersten Eindruck von deinem System, solltest du versuchen ein Hijackthis Logfile zu erstellen. Wechsel in den abgesicherten Modus mit Netzwerktreibern, lade dir das Programm runter, installieren und Rechner wieder normal starten. Dann wie in der Anleitung ausführen. Poste anschließend das Ergebnis ist. Dann sehen wir weiter.

HijackThis - Die echte Anleitung

chrilo

Wie komme ich in den von dir beschriebenen Modus?

Leonixx

Achso, also, Rechner starten, dann beim starten immer F8 drücken. Dann siehst du verschiedene Auswahlmöglichkeiten. Hier wählst du abgesicherter Modus mit Netzwerktreiber aus. Nicht erschrecken. Es startet eine Reihe von Zahlen etc. und du wirst nochmal gefragt ob du im abgesicherten Modus starten willst. Das mit OK bestätigen. Die Desktopoberfläche sieht auch anders aus, weil eine geringe Auflösung gewählt ist.

In diesem Modus werden nur die notwendigsten Dienste und Treiber geladen. Überlicherweise sind hier noch keine Schadprogramme mitgestartet.

chrilo

So bitteschön, hoffe du kannst was finden

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:47, on 18.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\progr amme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {91cdf8be-4178-9959-dba4-0bea27c00584} - {48500c72-aeb0-4abd-9599-8714eb8fdc19} - C:\WINDOWS\system32\nvrjvs.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\8k011nc4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805. 4472\swg.dll
O2 - BHO: (no name) - {cefd386f-adca-4241-922f-18c5b5e859ab} - C:\WINDOWS\system32\fetutupi.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCpl] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [ Tools] "C:\Programme\ Tools\.exe" -lang 1033
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zefegetovu] Rundll32.exe "C:\WINDOWS\system32\kawenola.dll",s
O4 - HKLM\..\Run: [CPM07d25da1] Rundll32.exe "c:\windows\system32\zotizewi.dll",a
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [04e16e3d] rundll32.exe "C:\WINDOWS\system32\nabukeyu.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [zefegetovu] Rundll32.exe "C:\WINDOWS\system32\kawenola.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EC4C9E3-EC6A-11CF-8E3B-444553540000} (WaveTab Control) - file://N:\setup\RiffLick.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\nehafote.dll nvrjvs.dll c:\windows\system32\zotizewi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zotizewi.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zotizewi.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O DiskImage - Unknown owner - C:\Programme\OO Software\DiskImage\oodiag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe

--
End of file - 8240 bytes

Leonixx

Auf den ersten Blick sieht das nach einer stärkeren Infizierung aus.

Nächster Schritt. Diese Dateien überprüfen. Zunächst mußt du die vesteckten Ordner und Dateien sichtbar machen. Öffne den Explorer, Extras, Ordneroptionen, Ansicht. Hier Haken raus bei "geschütze Systemdateien ausblenden", Haken rein bei "alle vesteckten und Ornder anzeigen".

Jetzt wieder in den abgesicherten Modus mit Netzwerktreibern wechseln. Dann Webseite www.virustotal.com im Browser eingeben. Dann auf Durchsuchen klicken. Dann auf Laufwerk C\Windows...... die Datei suchen und hochladen. Dann auswerten. Du musst jede Datei einzeln hochladen und auswerten. Danach alle Ergebnisse hier posten.

C:\WINDOWS\system32\nvrjvs.dll
C:\WINDOWS\system32\8k011nc4.dll
C:\WINDOWS\system32\fetutupi.dll
C:\Programme\ Tools\.exe" -lang 1033
C:\WINDOWS\system32\kawenola.dll
c:\windows\system32\zotizewi.dll
C:\WINDOWS\system32\nabukeyu.dll

chrilo

OK welche Informationen brauchst du?

Alleine bei der ersten dateien sind schon über 10 Fehlermeldungen mit Troj abkürzungen

chrilo

Ich kann mich kaum im Internet bewegen.
Wenn ich veruche die Datei zu speichern friert der PC meist ein

Was soll ich dir genau durchgeben? Vll kann ich was rausschreiben.

chrilo

Hier sind die infos über die erste datei

a-squared 4.0.0.101 2009.03.18 Trojan.Win32.Conhook!IK AhnLab-V3 5.0.0.2 2009.03.18 - AntiVir 7.9.0.120 2009.03.18 TR/Vundo.Gen Authentium 5.1.2.4 2009.03.18 - Avast 4.8.1335.0 2009.03.18 Win32:Adware-gen AVG 8.0.0.237 2009.03.18 Generic13.BUH BitDefender 7.2 2009.03.18 Gen:Trojan.Heur.P7028D79797 CAT-QuickHeal 10.00 2009.03.18 AdWare.SuperJuan.kyf (Not a Virus) ClamAV 0.94.1 2009.03.18 - Comodo 1066 2009.03.18 - DrWeb 4.44.0.09170 2009.03.18 Trojan.Juan.84 eSafe 7.0.17.0 2009.03.18 Suspicious File eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.18 - F-Secure 8.0.14470.0 2009.03.18 - Fortinet 3.117.0.0 2009.03.18 - GData 19 2009.03.18 Gen:Trojan.Heur.P7028D79797 Ikarus T3.1.1.48.0 2009.03.18 Trojan.Win32.Conhook K7AntiVirus 7.10.674 2009.03.17 - Kaspersky 7.0.0.125 2009.03.18 - McAfee 5557 2009.03.18 Vundo.gen.ab McAfee+Artemis 5557 2009.03.18 Vundo.gen.ab McAfee-GW-Edition 6.7.6 2009.03.18 Trojan.Vundo.Gen Microsoft 1.4502 2009.03.18 - NOD32 3946 2009.03.18 Win32/Adware.Virtumonde.NEM Norman 6.00.06 2009.03.18 W32/Virtumonde.ASEV nProtect 2009.1.8.0 2009.03.18 - Panda 10.0.0.10 2009.03.18 - PCTools 4.4.2.0 2009.03.18 - Prevx1 V2 2009.03.18 High Risk Fraudulent Security Program Rising 21.21.22.00 2009.03.18 Trojan.Win32.VUNDO.cnw Sophos 4.39.0 2009.03.18 Troj/Virtum-Gen Sunbelt 3.2.1858.2 2009.03.18 VIPRE.Suspicious Symantec 1.4.4.12 2009.03.18 Packed.Generic.214 TheHacker 6.3.3.0.283 2009.03.16 - TrendMicro 8.700.0.1004 2009.03.18 Possible_Vundo-9 VBA32 3.12.10.1 2009.03.17 AdWare.Win32.SuperJuan.kyf ViRobot 2009.3.18.1654 2009.03.18 - VirusBuster 4.6.5.0 2009.03.18 Trojan.Vundo.Gen!Pac.29

Leonixx

Ok, das ist schonmal Vundo. Bitte auch die Auswertung der anderen Dateien posten, damit ich den Grad der Infizierung beurteilen kann und ob eine Desinfizierung überhaupt möglich ist.