Hilfe, ich habe einen Virus auf meinem PC, brauche Hilfe

[shmerlin]

Hi Leute

ich habe ein massives Problem:

wahrscheinlich ein Virus, blockiert Internetseiten wie die von Symantec und ich kann keine Updates machen. Norton erkennt ihn nicht (wie jedes andere Virus auch *grummel*).
Im Tempordner findet sich eine Datei die sich nicht mehr löschen lässt sie heißt: Perflib_Perfdata_6e0
Es kommt immer die Fehlermeldung: Datei wird von einem anderen Programm verwendet und kann nicht gelöscht werden.

In der Registry fand ich einen Autostartverweis auf eine Datei Namens Software.exe, ich habe die Datei gelöscht.

Ich habe mir mal HijackThis heruntergeladen, hier sind die Ergebnisse:

Logfile of HijackThis v1.99.0
Scan saved at 20:12:58, on 17.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\RedLine\Taskbar.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
E:\programme\valve\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\redline\gameutil.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\SIMONU~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\SIMONU~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\SIMONU~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\SIMONU~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\SIMONU~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\SIMONU~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent
O4 - Global Startup: gameutil.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O15 - Trusted IP range: (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093088445609
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B0E076E-6E9F-4E83-B5E6-AB753ED8E257}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B0E076E-6E9F-4E83-B5E6-AB753ED8E257}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Ich hoffe, dass mir jemand helfen kann.

Mfg shmerlin

 

[The Prophet]

www.hijackthis.de
log auswerten, makierte Einträge per Hand vom System entfernen und neustarten.

 

[hal9000]

hier nachsehen: http://hijackthis.de/logfiles/485a409857c8e7e7f6309508db8df1f9.html, das ist deine auswertung. alles war rot ist, solltest du dir genauestens ansehen. dazu gibt es die programme adaware, spybot und stinger, die alle aml darüber laufen sollten. vorher die systemwiederherstellung (über eigenschaften arbeitsplatz erreichbar) deaktivieren. ach ja, und kuck mal in deine hosts-datei. c: windows - system32 - drivers - etc. da sollte nur das drinstehen:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

ansonsten empfehle ich noch Anti-Dialer Hosts Datei von www.dialerdomains.tk

 

[ragnar1986]

Die Perflib_Perfdata_6e0 ist auf jeden Fall in Ordnung. Hat irgendwas mit dem System Monitor zu tun...

 

[Brigitta]

...Running processes:

C:\Programme\Internet Explorer\iexplore.exe...

Ja, und den Prozess vor dem Fixen schließen!

 

[shmerlin]

Danke Leute für eure Hilfe,
der Tipp mit der Auswertungsseite war echt super, aber ich komme nicht mehr auf die Symantec-seite und kann auch kein Update mehr machen, ich habe schon versucht die hosts-Datei zu ändern, aber die lässt sich nicht mehr ändern, er behauptet er findet den Pfad nicht.
Habt ihr ne Ahnung was ich machen soll ?

 

[R2D2]

Lasse hier mal nen Onlinescan durchführen.


http://de.trendmicro-europe.com/consumer/products/housecall_launch.php

Oder Norten deinstallieren und danch wieder Installieren vielleicht fehlt irgend eine Datei.

[Edith]

so ises manchmal gonzo71

 

[Gonzo71]

versuch mal ob du hier raufkomst: http://de.trendmicro-europe.com/enterprise/products/housecall_launch.php

[Edith]
hehe, um sekunden zu spät

 

[Brigitta]

Du kannst doch die Host-Datei mit einem Editor öffnen und ändern.

 

[hal9000]

die hosts mit dem editor öffnen. eventuellen schreibschutz entfernen. ging bisher bei allen, die ich bearbeitet habe.

 

[Giantursus]

http://www.neuber.com/taskmanager/

das Tool kann auf jeden Fall Prozesse beenden die der Windows Taskmanager nicht beenden kann.
das hilft soweit schonmal weiter

 

[shmerlin]

Okay, ich hab das mit der Hostdatei hingekriegt,
aber eine Frage habe ich noch bei mir steht beim Inetexplorer unten rechts immer "Vertrauenswürdige Seite" und ich hab keine Ahnung warum. Hat jemand ne Ahnung was ich machen soll damit das wieder "Normal" (was ist schon normal) funzt ?

Mfg Shmerlin

 

[hal9000]

das ist eine einstellung vom IE. dort kann man verschiedenen seiten verschiedenen zonen zuordnen. eine zone sind die vertrauenswürdigen seiten. IE - extras - internetoptionen - sicherheit. dort kannst du kucken, was dort eingetragen ist. und auch ändern

 

[shmerlin]

Ja, aber da stehen keine Seiten. Ich hab keine Ahnung warum das nicht richtig funzt

Mfg shmerlin