Computerhilfen.de Logo
Forum
Tipps
News

Virus lässt sich nicht finden / entfernen !

 hi ,
 also ich hab ein Virus auf dem pc
 er lässt sich aber nicht entfernen ... von dem Anti-virus Programm
 "Avast"Home edetion nicht , sowie von Anti-Avira
 
 - ich kriege diverse mitteilungen unten im Imfobereich zb- steht da :  DAss ein trojaner auf meinem pc ist...
 oder Ein  Simbol  wo ich  wenn ich draufklicke von Seiten zugespamt werde ...

 ich hab schon ne Boot Druchsuchung gemacht mit Avast...
 ( aber die ging i-wie entwas "zu schnell" )
 
 Dass ganze fing damit an , dass ich ein Steuer-element runterladen wolle damit ich auf  youtube mal entlich wieder mal was anschauen konnte , automatisch hat der / wolle der nichts runterladen , also bin ich auf google , hab eine datei runtergeladen , installiert , plötzlich kamen die ganzen warnungen , seiten usw.

- Dass meiste problem ist , ich bin Call of duty 2 Spieler und kehre die ganze zeit vom spiel ins game zurück !

 Ich wollte  wieder eine Boot durchsuchung machen mit Avast aber keine ahnung wie das geht^^

 ... ich hoffe dass mir einer mit meinem problem helfen kann!  mfg 


  --achja , außer dem bin ich Auf programme , und hab mir  Den ordner von dem Steuerelement  rausgesucht und manuell gescanned, hat 6 dateien gelöscht , die anderen konnten nicht gelöscht werden.

« Letzte Änderung: 20.07.07, 19:52:59 von eLeXx »


Antworten zu Virus lässt sich nicht finden / entfernen !:

@eLeXx

Hier ein Lösungsvorschlag der sich in der Vergangenheit besten bewährt hat.
Arbeite die Anweisung unbedingt in der Reihenfolge und vollständig ab!

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

Benütze das Removaltool gegen Smitfraud und Co., in englischer Sprache.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Zur Kontrolle sollte noch eine Überprüfung mit einem kostenlosen Ewido Online-Scanner vorgenommen werden.
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)
Poste den Scanreport !

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Direkter Download link zum Tool
http://download.hijackthis.eu/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

die logfile  ist zu groß ,

in icq  kann ich sir dir schicken ( oder einen von euch )

 - 267-653-729


 ich habs ausgewertet und sieht ziehmlich übel aus !

« Letzte Änderung: 20.07.07, 21:50:50 von eLeXx »

 

Zitat
die logfile  ist zu groß ,
 

Dann Stück für Stück. Kein Problem wenns mehrere Beiträge werden. Sollte ja nicht schwer sein.

So sehen es mehr und Hilfe kommt schneller. ;)

@eLeXx
Sagte ich nicht ...

1. CCleaner
2. SmitFraudFix
3. Ewido + Scanreport posten!
4. und als letztes ein HijackThis
???

Nur in dieser Reihenfolge und nicht irgendwie oder irgendwas !

Als Erstes löscht du nun zunächst mal  Avast oder AntiVir,
nur eins von beiden darf installiert sein !

Nach dem Reboot folgt 1 bis 4 mit den Logfiles !

Na ja die ganzen Activex Acess Elemente deuten ziemlich Stark auf ZLOB hin.

Da dieser über Backdooreigenschaften verfügt, wäre in diesem Fall (wenn es tatsächlich ZLOB ist) nur eine Neuinstall , inklusive Formatierung das einzig Wahre.

Wenn dann so, nach dieser Anleitung.

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Bernd

ya aber es gibt keine logfile von  CCleaner , rede mal bitte sp dass ich dich auch richtig versthn kann , also die logfiles von
smit , ewido ( haben  die eine logfile ???! )  
und  Hujack this ( Die logfile passt alleine nicht rauf)

ich habe  Avast deinstalliert 

« Letzte Änderung: 20.07.07, 22:50:36 von eLeXx »

achja vom Hijack This  sind die folgenden daten infiziert/schadenshaft :


D:\Programme\Video ActiveX Access\iesmin.exe 
Fuzzy Algorithmusprüfung (1.61 / 5.00), Schädlich
 
   (  3x mal )


_________________________________________________________

O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - (no file)

  (  5xmal ( verschieden )

_________________________________________________________



O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

   (  4x mal  )

_________________________________________________________


O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - D:\Programme\Video ActiveX Access\iesbpl.dll

 ( 2x mal das gleiche toolbar

 

 

  Smit  Logfile !   :


SmitFraudFix v2.205

Scan done at 21:36:15,67, 20.07.2007
Run from D:\Dokumente und Einstellungen\Kadir der pimp\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\CTSvcCDA.EXE
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\System32\PAStiSvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\Mixer.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\WINDOWS\ISW\alice\signup\AliceCnn.exe
D:\Programme\Xfire\Xfire.exe
D:\Programme\Video ActiveX Access\iesmin.exe
D:\Programme\Video ActiveX Access\iesmn.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Programme\CCleaner\ccleaner.exe
D:\Programme\Video ActiveX Access\iesmin.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Kadir der pimp


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Kadir der pimp\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

D:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
D:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOKUME~1\KADIRD~1\FAVORI~1

D:\DOKUME~1\KADIRD~1\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» D:\Programme

D:\Programme\Perfect Codec\ FOUND !
D:\Programme\Video ActiveX Access\ FOUND !
D:\Programme\VirusProtectPro 3.4\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{ab340860-fd81-4a65-b345-82eb77a66b5e}"="featherweed"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{cea2e5cd-e849-427b-80f0-59298caef1c4}"="convalescently"

[HKEY_CLASSES_ROOT\CLSID\{cea2e5cd-e849-427b-80f0-59298caef1c4}\InProcServer32]
@="D:\WINDOWS\system32\cqsfk.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{cea2e5cd-e849-427b-80f0-59298caef1c4}\InProcServer32]
@="D:\WINDOWS\system32\cqsfk.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.191.92.84
DNS Server Search Order: 213.191.74.12

Description: SiS 900-basierte PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2B2D1523-5784-48F2-962C-EDE8140D924F}: NameServer=213.191.92.84 213.191.74.12
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8B57576A-00FB-4EBD-9868-DBF921552372}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2B2D1523-5784-48F2-962C-EDE8140D924F}: NameServer=213.191.92.84 213.191.74.12
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8B57576A-00FB-4EBD-9868-DBF921552372}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8B57576A-00FB-4EBD-9868-DBF921552372}: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

 

Ja hallo  ich wööllt  etz gerne einmal wissen wie ich diese Programme erfolgreich lösche ! :'( :'(

@eLeXx
Hast du beim SmitfraudFix nur Menüpunkt 1 ausgeführt?
Wiederhole die Aktion mit der Funktion 1 und 2.
Siehe auch diese Anleitung dazu:
http://virus-protect.org/artikel/tools/smitfrautfix.html

Bitte poste den Report.

ja habe ich , ich habe es gescannt vor 1std.
hab den bericht ya auch da oben hingeschrieben 

Da liegt wohl ein Kommunikations Problem vor  ::)

Wir sind gerade beim SmitfraudFix Tool und nur da - Richtig!

Das du beim dem SmitfraudFix Tool die Option 1 angewendet hast sieht man.
Hast du aber im Anschluss auch den PC im abgesicherten  Modus gebootet,
SmitfraudFix erneut ausgeführt und die Option 2 "Clean" gewählt?

   

ich sage mal so , den thread könnt ihr löschen , mein account auch dass ist doch keine richtige hifle hier :  und ps :  die meisten probleme hab ich schon selber in der zeit gelöst!

Moin  :)

ich misch mich mal kurz ein  ;)


Na ja die ganzen Activex Acess Elemente deuten ziemlich Stark auf ZLOB hin.
Hast Du eine PN bekommen, oder wo erkennst Du das !?

  ich hab schon ne Boot Druchsuchung gemacht mit Avast...
 ( aber die ging i-wie entwas "zu schnell" ).

 Ich wollte  wieder eine Boot durchsuchung machen mit Avast aber keine ahnung wie das geht^^
Probleme mit deinem Kurzzeit-Gedächtnis ?

rede mal bitte sp dass ich dich auch richtig versthn kann
schreib mal bitte  so, daß man dich auch richtig  verstehen kann ():-)

dass ist doch keine richtige hifle hier
was erwartest Du !? Einmal mit den Augen zwinkern, und die Welt ist in Ordnung  ??? Wenn Du nicht richtig mitarbeitest, kann Dir auch nicht geholfen werden  ;)

ps : die meisten probleme hab ich schon selber in der zeit gelöst!
Würde gern mal wissen, wie Du das geschafft hast  ::) (oder glaubst, geschafft zu haben  8) ) und wenn Du es sowieso besser weißt, weshalb fragst Du dann !?

Dokumente und Einstellungen\ Kadir der pimp\Desktop
Wer`s glaubt  ::) passt aber teilweise zu deinem Verhalten / deinen Antworten  :-\ (ya = ja  ::) )




 

« Internetverbindung kurzeitig gestörtMeldung : Mailclient Thunderbird 2.0.0.5 bringt Sicherheitskorrekturen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!