[SammelThread] Viren, Würmer & Trojaner

[slay24]

[Virus?] Ich weiß nich was ich hab aber ich brauch hilfe!

Also ich hab antivir laufen lassen. Der findet nach jedem reboot neues und im Taskmanger sind viele komische Sachen, die mach ich zwar zu aber die kommen wieder und ausem autostart rausnehmen geht auch nicht.

Hab mir ma dieses hjhack oder so geholt hier is die log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
F:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [USBHWDRV] c:\sst4.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [kalvsys] C:\WINDOWS\system32\kalvdii32.exe
O4 - HKLM\..\Run: [NvCplScan] msc32.exe
O4 - HKLM\..\Run: [NDIS Adapter] ndis.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\Run: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [mswkork Service] msework.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKLM\..\RunServices: [Notepad] notepad.exe
O4 - HKLM\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKLM\..\RunServices: [] iexpl0res.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKLM\..\RunServices: [Windows Media Player] msa.exe
O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe
O4 - HKLM\..\RunServices: [Microsofot x386 System Monitor] system32.exe
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKLM\..\RunServices: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKLM\..\RunOnce: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunOnce: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\RunServices: [MSN Messenger] mlbhcjm.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKCU\..\RunServices: [] iexpl0res.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKCU\..\RunOnce: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\RunOnce: [NDIS Adapter] ndis.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C48E1BEF-BE7E-483C-89CB-D1DBE0D23476}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF76D3CC-D6CF-41DA-ACBC-296BA38FDFA3}: NameServer = 217.237.151.33 217.237.149.225
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe

 

[Amischos]

Re: Ich weiß nich was ich hab aber ich brauch hilfe!

Also für mich sieht das nach Adware aus .. besonders dieses ZETA.exe , koennte auch ein Trojaner sein.

Wie ich sehe hast du auch ADAware drauf, haste da mal updatet ?

lad dir mal http://download.nai.com/products/mcafee-avert/stinger.exe runter

McAfee AVERT Stinger V2.4.6

und lass den mal scannen ...

sowie Adaware neuste Version (vorher alte version deinstallieren und ggf. verzeichniss von hand löschen)

http://fileforum.betanews.com/detail/965718306/1

auch updaten dann und full system scan machen.

zeta.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.

Also das ist dann mal wohl Adware.

Wie gesagt scann mal alles durch.

 

[slay24]

Re: Ich weiß nich was ich hab aber ich brauch hilfe!

klar is alles aufem neusten satnd und adaware findet bei jedem search was neues und antivir nach jedem reboot ich werd der sache nich her

 

[Amischos]

Re: Ich weiß nich was ich hab aber ich brauch hilfe!

klar is alles aufem neusten satnd und adaware findet bei jedem search was neues und antivir nach jedem reboot ich werd der sache nich her

Teste mal mit AV Stinger der sollte das dann eigentlich removen falls es ein Trojaner ist.

ansonsten mal mit Spybot scannen (auch hier wieder updaten dann nach install)

ftp://ftp.freenet.de/pub/filepilot/windows/security/spybot/spybotsd13.exe


mal noch ne frage, was findet Adaware denn ?

 

[slay24]

Re: Ich weiß nich was ich hab aber ich brauch hilfe!

hab grad alles durchlaufen lassen antivir is gleich fertig aber es öffnet sich ständig der iexplorer und versucht mir billiges vigar a zu verkaufen ich glaub ich habs nich geschaft

 

[Amischos]

Re: [Virus?] Ich weiß nich was ich hab aber ich brauch hilfe!

also dieses SMSSS.exe ist nen wurm (nicht verwechseln mit dem windows-service smss.exe)

http://www.vsantivirus.com/gaobot-fn.htm


wie gesagt scann mal mit AVERT Stinger und Spybot ...

 

[Sensus]

Re: [Virus?] Ich weiß nich was ich hab aber ich brauch hilfe!

@slay24,
na erst mal noch schöne Feiertage.So und wenn du deine Log-Datei mal auswerten lässt auf
www.hijackthis.de
dann wird dir aber auch schon gesagt wie du zu verfahren hast(hab sie mal spasseshalber eingefügt).Da gibt es auf jeden Fall mehr als genug zum Fixen.Und alles was du nicht wegbekommst solltest du per Hand im abgesicherten Modus löschen.Übrigens gibt es unter Spybot -Einstellungen-Downloads-Webaktualisierung den Punkt -verfügbare Betaversionen mit anzeigen,Häkchen rein und Update ziehen.Hab es so bei einem Bekannten gemacht und hat einiges bereinigt danach.

 

[slay24]

Re: [Virus?] Ich weiß nich was ich hab aber ich brauch hilfe!

Ihr seit toll Jungs dank diese hijacker dings und dem ganzen andern und vorallem der spybot beta (ich kanns nur empfehlen) bin ich jetz glaub ich alles losgeworden

nochma frohes fest führ alle hier und danke danke

grezz slay

 

[Sensus]

Re: [Virus?] Ich weiß nich was ich hab aber ich brauch hilfe!

Bitte bitte gern geschehen,und noch schöne Feirtage euch allen.

 

[Dennis_1]

Bei dem Rechner in meiner Signatur hab ich noch nie Probs damit gehabt, wohl bei meinem älteren (P4 1,7GHz, 512MB, Ti 4200).

 

[h1tm4n]

Ich liebe diese Tage, an denen sich die Probleme ohne Ende häufen. Jetzt mein nächstes Problem, seid heute hab ich mysteriöse Symbole auf meinem Desktop, die ich einfach nicht wegbekomme. Ich hab bereits Adaware, TheCleaner, Search & Destroy in der jeweils aktuellesten Version genutzt allerdings ohne Erfolg.

Weder per msconfig noch im Taskmanager fallen mir auffällige Prozesse oder dergleichen auf, lediglich "skip army" fällt mir in msconfig auf, dieser ist aber nach jedem Neustart wieder da.

Vielleicht weiß ja jemand von euch, wie ich das Zeug loswerde, hab bereits alles probiert, was mir einfiel.

PS.: Hat jemand ne Idee, wie ich alte Einträge aus msconfig lösche wenn ich sie bereits deaktiviert habe?

 

[h1tm4n]

Hat den wirklich keiner eine Idee? Es nervt wirklich total und ich hab alles ausprobiert, was mir einfiel.

 

[Brigitta]

Doch, ich hab 'ne Idee..

Wie ich sehe hast du Messenger plus installiert.
Bei der Installation kommt ein Fenster mit folgender Auswahl, siehe Screen unten:
Sieht aus wie eine Lizenzzustimmung, ist es aber nicht! Es wird die Software des Sponsors mit installiert und das ist das Problem.

»Ich möchte Messenger Plus! nicht unterstützen, Installation ohne Sponsor«
(Sponsor = C2Media) muss angehakt werden.

Einzige Möglichkeit: Messenger Plus! wie hier beschrieben ist deinstallieren, neu installieren und bei der Sponsor-Vereinbarung den unteren Punkt aktivieren.

http://chooseknowledge.com/How-to-uninstall-Messenger-Plus.htm

 

[h1tm4n]

Hab ihn deinstalliert, da ich ihn sowieso nicht mehr nutze, aber daran liegt es definitiv nicht, hatte ihn schon lange vor dem Problem installiert und imho auch ohne diesen Sponsor.

 

[brathaehnchen]

Seltsame Desktopverknüpfungen lassen sich nicht löschen und verschieben! Warum?

Hi, ich hab auf meinem Desktop seit dem letzten Neustart Verknüpfungen wie z.B. Travel, Website Hosting, Card Games, Poker, Casino Online, Bingo und Printer Cartridges. Ich kann die Verknüpfungen weder in den Papierkorb schmeißen, sie nicht auf dem Desktop verschieben und wenn ich mit der rechten Maustaste draufklicke kommt auch kein Menü. Spybot und AntiVir hab ich bereits drüberlaufen lassen doch keins von beiden hat etwas gefunden. Ich hab kein Plan mehr was ich machen soll. Bitte helft mir die Verknüpfungen zu entfernen!

Guten Rutsch ins Neue Jahr
Gruss

 

[h1tm4n]

Re: Seltsame Desktopverknüpfungen lassen sich nicht löschen und verschieben! Warum?

Hab genau das gleiche Problem.
https://www.computerbase.de/forum/t...-wuermer-trojaner.104361/page-16#post-1034874

 

[brathaehnchen]

Re: Seltsame Desktopverknüpfungen lassen sich nicht löschen und verschieben! Warum?

Ja, das sind genau die gleichen Symbole und das gleiche Problem wie bei mir auch.

 

[spatz]

Re: Seltsame Desktopverknüpfungen lassen sich nicht löschen und verschieben! Warum?

lassen sich die symbole und der kram vlt direkt in dem "desktop-ordner" löschen ? vlt sind die genannten optionen ( rechtsklick etc ) nur auf dem desktop ansich deaktiviert, nicht aber im explorer .

bei mir würde der entsprechende pfad folgendermassen lauten : C:\Dokumente und Einstellungen\spaetzchen\Desktop

mir fällt gerade ein , vlt schonmal copylock probiert ? vlt lässt sich das zeugs damit löschen ?

 

[h1tm4n]

Re: Seltsame Desktopverknüpfungen lassen sich nicht löschen und verschieben! Warum?

Nein, sie sind in dem Ordner nicht zu finden.

 

[an.ONE]

Re: Seltsame Desktopverknüpfungen lassen sich nicht löschen und verschieben! Warum?

hi brathaenchen und auch die anderen,
versucht mal den tipp, den ich auch schon hier gepostet hab.
dort hats funktioniert, die wegzubekommen.

hoffentlich klappts auch bei euch.


mfg

A.n.O.n.E