Keine Desktop Symbole, kein Rechtsklick :(

[Proti]

Virenprogramm findet nurnoch minecraft, opera und in dem Darkorbit bot.
Alle sind ungefährlich....
Gelöscht ist das ding, und seid dem ist das ganze kaputt :/

5cfg7ecpx.exe oder so im ordner "Roaming"
Gelöscht und die neuschreiber exe auch....

Das Ding blockiert nur den infizirten Rechner, und geht auf Websites zurück.... also kann durch mich keine neue Infektion von dannen geführt werden.

Ergänzung (12. Januar 2012)

Wie kann ich den das Startmenü in einen neuen Benutzeraccount verfrachten?

Und ja: es geht bei dem anderen Admin acc... nur im Startmenü liegt eben nicht....

Dann einfachden kompletten ordner meines Benutzer kopieren, umbenenne, und dan einen gleich namigen Admin acc machen?

Das reicht nicht im Ansatz.
Arbeite dich so mal durch:
- Datensicherung (falls noch nicht gemacht)
- Combofix (http://virus-protect.org/artikel/tools/combofix.html)
- Hijackthis (Wenn du Erfahrung damit hast, gleich selber auswerten, ansonsten kannst dus mir auch hier reinkopieren)
- CCleaner installieren, Autostart kontrollieren (Einträge mit http://www.processlibrary.com/de/ abgleichen wenn nicht bekannt)
- Registry mit CCleaner säubern (macht man normalerweise nicht, bei Virenbefall würd ich persönlich aber die Registry auf jeden Fall säubern)
- Noch einmal Virenscan, allenfalls mit Avira-Boot-CD um sicherzugehen, dass kein Virus mitstartet und sich versteckt

Von Hand ein bisschen löschen und mit einem Virenscanner scannen, welcher den Virus vorher nicht erkannt/entfernt hat bringt wenig.
Bevor du diese Schritte nicht gemacht hast würde ich nichts weiter am Rechner selbst machen.

 

[Madman1209]

Hi,

setz den PC einfach neu auf und höre auf die Ratschläge hier. An sowas noch rumzupfuschen macht absolut keinen Sinn. Ist das System einmal (oder wie bei dir dauerhaft) kompromittiert setzt man neu auf. Punkt.

VG,
Mad

 

[Torior]

Habe nur 1 Festplatte, und die Exteren darf ich nicht anschließen...

CC cleaner hab ich gemacht schon lange vorher, Ist auch nichts mehr drinnen.... diese komische exe ist geblockt, wenn sie auftaucht, ansonsten instlaier ich mir mal winunlocker...

@Mad
Selbst eine windows neuauflage bringt ja nichts, müsste eigentlich formatieren, aber auf ca 40-60GB ausm internet wieder runter zuladen habe ich auch keine lust....

Desshalb.....



Was ist Hijackthis?
Kenn das aus der Warrock cheater szene....
Und wo kann ich das runterladen?

 

[SaxnPaule]

Da auf dem System sowieso noch nicht viel drauf sein kann, weil du es ja in den letzten 3 Wochen schon mehrfach neu aufgesetzt hast, mache es noch ein 4. Mal.

Alles andere ist nur Gefrickel und praedestiniert deinen PC zu einer Virenschleuder.

Such dir eine Anleitung wie man ein System RICHTIG aufsetzt und schalte dein Hirn ein, wenn du auf ominoesen Seiten surfst!

 

[Madman1209]

Hi,

wieso bringt eine "Neuauflage" (ich nehme an, du meinst neu Aufsetzen?) nichts? Und was musst du dafür nochmal runterladen? Verstehe ich gerade nicht.

VG,
Mad

 

[rainbow6261]

http://hijackthis.de/ überprüft welche Prozesse laufen und ordnet sie ein nach sicher / unsicher. Auch kann man dann bestimmte Sachen beheben.

 

[Torior]

Also:

Bei win7 kann man ja einfach überinstallieren, also amcht er von den Alten benutzerkonten ein Backup Windows.old

So, und da ich es bereits 3 mal überinstalliert habe bringt es nicht....


Kennt ihr den Facebook virus? Der sich selbst verschickt?
Ich dachte dieser Link wäre von dem Kind einer Bekannten, naja, war halt nen Trojaner, und nun hatte ich einen Virus drauf.

Was ich neu runterladen müsste?

BF:BC2
Cod:Blops
Skyrim

ect.ect

Alles was ich halt bei Steam liegen habe, und wieder gerne spielen würde....

 

[SaxnPaule]

Drueber installieren ist aber keine Neuinstallation!!!
Dann brauchst du dich auch nicht wundern, wenn es nicht besser wird.

 

[Madman1209]

Hi,

wie SaxnPaule sagt: DAS ist keine Neuinstallation von der hier schon 10 Posts oder mehr gesprochen wird!

RICHTIG plattmachen und komplett neu aufsetzen, das ist das einzige Vorgehen dass Sinn hat.

Naja, für deine Steam-Sachen wirst du wohl in den sauren Apfel beissen müssen. Ausser du kopierst die Steam-Daten und scannst diese an einem anderen PC, dann könntest du die evtl weiter verwenden.

VG,
Mad

 

[Torior]

Edit: Problem solved


Meint ihr mit überformatieren und allem?

 

[Madman1209]

Hi,

- Daten sichern
- an anderem, sauberen PC scannen
- Windows CD / DVD einlegen
- Partition komplett löschen / HDD formatieren
- Windows alles komplett neu machen lassen

VG,
Mad

 

[Torior]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:54:23, on 12.01.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\BitTorrent\BitTorrent.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe
C:\Program Files (x86)\Opera\opera.exe
C:\Program Files (x86)\Steam\Steam.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss&affID=8346&mntrId=e82a1b71000000000000001b1122ba6b
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O3 - Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe" -osboot
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files (x86)\BitTorrent\BitTorrent.exe" /MINIMIZED
O4 - HKCU\..\RunOnce: [RegistryDefrag Success Message] "C:\Program Files (x86)\TuneUp Utilities 2012\TUMessages.exe" /RegDefrag_Success
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8057 bytes

____--__________________-

Hijackthis erkennt regedit als schädlich oO

 

[Proti]

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

Hast du diesen Eintrag erstellt?

Rest scheint okay. Babylon ist dieses Übersetzungsprogramm soweit ich mich erinnere, den erkennt er immer als bösen Eintrag.

 

[Torior]

nein, Regedit startet sich immer automatisch mit, keine ahnung wieso...

 

[Benzer]

regedit im Autostart... wenns denn mal regedit ist... junge.. die Kiste ist versucht und du hast 3 Mal drüberinstalliert - was nichts bringt. Format C: und los gehts.

 

[Torior]

Scheint das echte zu sein... liegt zmd im system32 ordner

 

[Benzer]

Also in meinem System32 Ordner liegt keine regedit.exe... sondern eine regedt32.exe

Ich versteht nicht warum du hier noch rumdruckst.... backup, und neu die kiste - und diesmal wirklich neu.

 

[Torior]

ist sogar regedit32