Werde Folgen eines virus nicht mehr los!

[Lenny88]

Hi,
Ich habe mir vor kurzem einen Virus eingefangen, welche ich nach einem Virenscan auch eigentlich erfolgreich entfernt haben müsste.
Doch trotzdem werde ich die Folgen nicht los.Zum einen ist der Taskmanager deaktviert ("Der Taskmanager wurde vom administrator deaktiviert"). Ich bin der Admin und selbst wenn ich ihn z.B. über Regedit oder die Gruppenrichtlinie wieder aktiviere, wird er bei jedem Neustart wieder deaktiviert.
Zum anderen startet seitdem bei jedem start des Rechners die Anwendung "netsh.exe"in einem MS-Dos Fenster. Keine ahnugnwas die macht oder warum die startet.

Ein Virenscan im abgesichertem Modus hat auc nichts gebracht und über die Msconfi oder so kann ich die Anwendung auch nicht deaktivieren. Ich verwende die AVG Free Edition mit neusten Signaturen.

gruß
Fabian

 

[hal9000]

netsh.exe ist eigentlich ein windows tool. http://support.microsoft.com/default.aspx?scid=kb;de;242468 .hat du die wiederherstellung deaktiviert und alle laufwerke bereinigt? sonste schädlingsbekämpfer verwendet (adaware, spybot, stinger, ms antispy) . schon mal mit hijackthis http://hijackthis.de/ dein system geprüft?

zum taskamanager: http://www.wintotal.de/Tipps/Eintrag.php?TID=1086 und das http://www.wintotal.de/Tipps/Eintrag.php?TID=1026 beides gemacht?

 

[jurilein]

Also die netsh.exe ist normal zur Konfiguration des Netzwerks bzw. zum Speichern und Laden selbiger da. Du kannst sie ja mal im Autostart deaktivieren, versuchweise mal mit TuneUp. Damit kannst du auch die Registry mal reinigen. Man kann mit der netsh.exe wohl auch Remote-Zugriffe steuern/zulassen. Möglicherweise solltest du den Autostart komplett löschen, schau auch mal, ob das Programm über die Win-Dienste gestartet wird..

Lasse auch mal Spybot oder Adaware drüber laufen!

 

[Lenny88]

Also habe sowohl die beiden Tipps durchgeführt als auch Adaware mit neuster Signatur und hijackthis drüber lafen lassen und trotzdem ist alles wie beim Alten. Sonst noch Vorschläge?

 

[hal9000]

poste doch mal das log von hijackthis.

 

[Lenny88]

Hier der Log File:

http://google.icq.com/search/search_frame.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - Startup: RMClock.lnk = E:\Downloads\rmclock_13_bin\RMClock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EB1EBE6-7582-4CDF-A9B2-6CDDD5BF23CF}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EB1EBE6-7582-4CDF-A9B2-6CDDD5BF23CF}: NameServer = 205.188.146.145
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - E:\Programme\0190 Warner\w0svc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Programme\Sandra Lite 2005\RpcSandraSrv.exe

 

[hal9000]

der teil sieht auf dem ersten blick (die auswerteseite geht grad nicht) gut aus. das ist doch aber nicht alles. da fehlt doch noch ein großer teil. kannst du den auch preisgeben?

 

[Lenny88]

Ah, habe was aus der Log vergessen:
Logfile of HijackThis v1.99.1
Scan saved at 11:27:30, on 06.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\0190 Warner\w0svc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\System32\cmd32.exe
E:\Downloads\rmclock_13_bin\RMClock.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Miranda IM\miranda32.exe
E:\Programme\Neuer Ordner\firefox.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - Startup: RMClock.lnk = E:\Downloads\rmclock_13_bin\RMClock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EB1EBE6-7582-4CDF-A9B2-6CDDD5BF23CF}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EB1EBE6-7582-4CDF-A9B2-6CDDD5BF23CF}: NameServer = 205.188.146.145
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - E:\Programme\0190 Warner\w0svc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Programme\Sandra Lite 2005\RpcSandraSrv.exe

 

[Spielkind]

>C:\WINDOWS\System32\cmd32.exe
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile

Ich hab länger googeln müssen, aber es scheint so, das Du immer noch infiziert bist: Sophos.de/virusinfo/analyses/w32kwbotd bzw. Worm.P2P.Tanked.14. Das System ist imo nicht mehr vertrauenswürdig! Da ich aber nicht sicher bin, mach mal einen eScan nach exakt nach dieser Anleitung. Gegebenenfalls würde ich dann neu aufsetzen.

 

[Lenny88]

Also ich hab jetzt einfach mal die cmd32.exe aus dem Autostart entfernt und jetzt hab ich die Probleme nicht mehr. Weder die netsh.exe startet, noch ist de rTaskmanager deaktiviert. Meint ihr das reicht wenn ich die cmd32.exe jetzt einfach lösche?

 

[Spielkind]

Ich hab laut Sufu keine 'cmd32.exe' auf dem System. Offensichtlich ist sie keine Systemdatei. Das Löschen der Datei sollte, wie das Fixen der genannten Einträge des HiJackThisLogs, allerdings im 'abgesicherten Modus' und bei 'deaktiverter Systemwiederherstellung' erfolgen. Ein eScan nach exakt dieser Anleitung kann zur Absicherung nicht schaden.