Bootsektor infiziert

na erstmal ein HJThis Logfile erstellen und hier reinstellen.

HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
oder
http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html

Hallo,
überprüfe deinen PC zur Sicherheit auch mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner Panda ActiveScan  vorgenommen werden.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

 

HJLogfile
Logfile of HijackThis v1.99.1
Scan saved at 17:23:56, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Apoint\HidFind.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\DOKUME~1\Philipp\LOKALE~1\Temp\~e5.0001
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Grisoft\AVG Free\avgcc.exe
C:\Programme\Grisoft\AVG Free\avgw.exe
C:\Dokumente und Einstellungen\Philipp\Desktop\ccsetup137.exe
C:\DOKUME~1\Philipp\LOKALE~1\Temp\Rar$EX02.766\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Freebie Notes] "C:\Programme\Power Soft\Freebie Notes\FreebieNotes.exe"
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

Drei Virenscanner auf dem System installiert,
das sind zwei zuviel, also deinstallieren!

Was sagen F-Secure und Panda?
Bitte die Protokolle posten!

kein programm hat was gefunden! ich denke es es wurde schon gelöscht!!!

danke für die hilfe!!!!

Hallo,

 

ich denke es es wurde schon gelöscht!!!

C:\WINDOWS\Explorer.EXE

C:\Programme\Internet Explorer\IEXPLORE.EXE
 

und wie bekomm ich den dann wieder weg?

Hallo,
wegbekommen,wie das die teils bornierten Möchtegern-ich lösche-alles-Angeber dir vorschlagen werden,oder so das du mit absoluter Sicherheit der Cheffe auf der Kiste alleine bist ?
Wenn alleiniger Cheffe dann dem folgen > http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Wenn du an den Fricklern und "ich experimentiere am Liebsten mit anderen Leuten ihren Compis"-Experten intressiert bist,warte einfach etwas ab....
Sie werden demnächst um die Ecke kommen und dir die abenteuerlichsten Tools und Scanner und dies und das vorschlagen......
Sir Reklov

@ Sir Reklov
Ich wusste gar nicht das dein PC und Millionen andere infiziert sind?

Zitat:
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

Dies sind zwei Kerngesunde Dateien !
Keine Malware !

Wenn der Anwender deswegen seinen PC neu aufsetzt wird er nicht glücklich mit deinen Tipp. Die beiden Original MS Dateien werden sich genau an dieser Stelle wieder befinden.

Der PC von xp-ler ist nach dem jetzigen Stand Clean !!!
Er ist zwar nicht Top Zustand aber zu mindestens Gesund.
 
Und dies geht zuweit ...

Hallo,
wegbekommen,wie das die teils bornierten Möchtegern-ich lösche-alles-Angeber dir vorschlagen werden,oder so das du mit absoluter Sicherheit der Cheffe auf der Kiste alleine bist ?
Wenn alleiniger Cheffe dann dem folgen > http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Wenn du an den Fricklern und "ich experimentiere am Liebsten mit anderen Leuten ihren Compis"-Experten intressiert bist,warte einfach etwas ab....
Sie werden demnächst um die Ecke kommen und dir die abenteuerlichsten Tools und Scanner und dies und das vorschlagen......
Sir Reklov

Hallo,
den unteren Teil habe ich nicht auf dich persönlich bezogen....

Ich wette darauf das in der Datei eine "Swizzor" Variante steckt.......
Eine Weiterentwicklung   des ehemaligen Popup-Bringers..
Sir Reklov

Worauf begründet sich dein Verdacht ?
Bei mir ist Explorer.EXE auch 2x da.

 

Hallo,

daran :http://www.sophos.de/security/analyses/w32chodej.html

auf Grund dem hier...

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
 

Habe gerade mit Kasp. Onl. Scan mal gescannt ... OHAUEHAUEHA !!
Und Norton merkt das nicht ..... trotz aktueller  Virendef. !!
Hat zwar den ZLOB gelöscht , aber die SYS-WDH. "übersehen" !?

C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP161\A0032489.exe/stream/data0006   Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bje   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP161\A0032489.exe/stream   Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bje   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP161\A0032489.exe   NSIS: infiziert - 2   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP161\A0032489.exe   UPX: infiziert - 2   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP161\A0032489.exe   PE_Patch.UPX: infiziert - 2   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP162\A0032491.exe/stream/data0006   Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bje   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP162\A0032491.exe/stream   Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bje   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP162\A0032491.exe   NSIS: infiziert - 2   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP162\A0032491.exe   UPX: infiziert - 2   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP162\A0032491.exe   PE_Patch.UPX: infiziert - 2   übersprungen
C:\System Volume Information\_restore{52E76D00-7B29-4884-8436-E665263F9FBF}\RP162\A0032491.exe   CryptFF: infiziert - 2   übersprungen

Na , habe gleich saubergemacht dort ...
Danke für den Sophos - Tipp
Carsten

PS : Das ist übriggeblieben an Unklarheit ..... Wie sucht man sows bloss....
[?] - O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} -
[?] - O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} -
[?] - O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} -

 

Hallo,
O16 Einträge bezeichnen ActiveX-Objekte (auch bekannt als Downloaded Program Files)daher DPF.....

Hast du Spybot Search & Destroy laufen ?
In dem erweiterten Modus kannst du unter Werkzeuge das wunderbar nachsehen und gegebenenfalls auch löschen.Wenn du das jeweilige Aktive X Objekt anklickst,siehst du auch woher es stammt.Die Erklärungen dort sind auch gut.....
Sir Reklov

PS. Das dir noch sowas passiert.....

2 x in 2 Jahren falsch getippt ... bin allerdings immer noch als Admin unterwegs. 
Habe es nicht geschafft , als "eingeschränkter User" anständig ins INET zu kommen.
Da war wohl schon zuviel auf dem Lap verhunzt .   
JA , Spybot ist drauf und Java-Console usw. 

In dem erweiterten Modus kannst du .... Wo wie was ? Brainstop hat zugeschlagen  ???

Hallo,
du weißt noch was meine Krankenschwester immer sagt...?
Hilf den älteren Herren,du könntest auch mal alt und tattrig werden.....

http://www.giza-web.de/html/spybot-sd-einstellungen-faq.html
Sir Reklov

WAR schon nahe dran ..... in Spybot