HILFE - Werden diesen Virus nicht mehr los:
Themenstarter
Benutzer
seit: 05.05.2007
Beiträge: 205
Moderator
seit: 07.08.2005
Beiträge: 9.272
AW: HILFE - Werden diesen Virus nicht mehr los:
Moin,
wie bist du den bisher damit umgegangen? Mit einem upgedateten Virenscanner gescannt?
Dann wiederhole das im 'abgesicherten Modus'
Moderator
seit: 19.05.2008
Beiträge: 11.775
AW: HILFE - Werden diesen Virus nicht mehr los:
Hi,
der kleine nette Kerl hängt sich in die Registry, der kommt bei jedem Neustart wieder......
Mach bitte mal einen Scan mit Hijackthis im abgesicherten Modus und bei deaktivierter Systemwiederherstellung und stell das Logfile hier rein.
LG
Themenstarter
Benutzer
seit: 05.05.2007
Beiträge: 205
AW: HILFE - Werden diesen Virus nicht mehr los:
Zu 1 + 2: Das mit dem abgesichterm Modus würde ich ja noch hinbekommen aber das was danach kommt (zumindestens bei 2) nicht !!
Wie gesagt habe mit aktuellem AntiVir gescannt aber selbst wenn AV aktiviert ist und er den Virus LÖSCHT ist er 3 sekunden später wieder gefunden und muss wieder gelöscht werden.....
Moderator
seit: 19.05.2008
Beiträge: 11.775
Themenstarter
Benutzer
seit: 05.05.2007
Beiträge: 205
AW: HILFE - Werden diesen Virus nicht mehr los:
Zitat von
Q-Max
Hi,
schau dir das an mal an:
HijackThis gegen Viren, Trojaner und Spyware
Die Systemwiederherstellung schaltest du aus unter Start Alle
Programme
Zubehör
Systemprograme
Systemwiederherstellung
Systemwiederherstellungseinstellungen
auf allen Laufwerken deaktivieren
Danach den Scan mit Hijackthis machen und das Lodfile hier zur Kontrolle reinstellen.
LG
Muss das im abgesichterem Modus sein ??
Themenstarter
Benutzer
seit: 05.05.2007
Beiträge: 205
AW: HILFE - Werden diesen Virus nicht mehr los:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:52, on 12.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServ er.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\APPS\skype\Phone\Skype.exe
C:\apps\skype\Plugin Manager\skypePM.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 91.192.46.1:80
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [f8996aae] rundll32.exe "C:\WINDOWS\system32\kxfmxgkn.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-2214461448-2056337823-418753670-1006\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-2214461448-2056337823-418753670-1006 Startup: AutorunsDisabled (User '?')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - C:\Programme\Xilisoft\YouTube Video Converter\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - https://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://www.update.microsoft.com/wind...?1200393045484
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - https://static.ak.schuelervz.net/phot...che=20080128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - https://static.pe.schuelervz.net/phot...che=1207078416
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: kcyrpi.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServ er.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
--
End of file - 8587 bytes
Das war jetzt nicht im abgesichertem Modus scheint ja zu klappen :P
Moderator
seit: 07.08.2005
Beiträge: 9.272
AW: HILFE - Werden diesen Virus nicht mehr los:
Moin,
diesen Scan im abgesicherten Modus durchzuführen macht schon Sinn, weil damit ausgeschlossen werden kann, dass dieser Trojaner sich aus dem Internet wieder generiert.
Aber hier das, was du fixen musst:
O4 - HKLM\..\Run: [f8996aae] rundll32.exe "C:\WINDOWS\system32\kxfmxgkn.dll",b
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
und das solltest du mal überprüfen, ob du das kennst, brauchst und benutzt:
Danach mach einen erneuten Scan aber im 'abgesicherten Modus', überprüfe ob das Objekt weg ist. Neustart und sehen, ob sich der PC normal verhält.
Themenstarter
Benutzer
seit: 05.05.2007
Beiträge: 205
AW: HILFE - Werden diesen Virus nicht mehr los:
Wo steht wie ich das "fixxen" kann ?
Moderator
seit: 19.05.2008
Beiträge: 11.775
Themenstarter
Benutzer
seit: 05.05.2007
Beiträge: 205
Moderator
seit: 07.08.2005
Beiträge: 9.272
AW: HILFE - Werden diesen Virus nicht mehr los:
Moin,
Zitat von
Computer-Freak 94
Wie bekomme ich nochmal einen abgesicherten modus hin ?
Beim Booten klickst du permanent die F8-Taste an. Dort suchst du die entsprechende Option.
Themenstarter
Benutzer
seit: 05.05.2007
Beiträge: 205
AW: HILFE - Werden diesen Virus nicht mehr los:
[FONT="Century Gothic"]Soooooo .... habs anscheinend auch ein bisschen falsch gemacht .... weg ist es auch noch nicht .... ABER als ich eben (nachdem ich meine Daten mal gesichert hatte) in die Systemwiederherstellungen gegangen bin musste ich trauiger Weise feststellen, dass 1. Die Herstellungsdaten von allen Monaten außer Dezember weg sind UND dass sich ein Punkt Namens "Last known good configuration" erstellt hat ... anscheined ist dort der Virus "in kraft" getreten ......
Muss ich mich im abges. modus als Administrator oder als mein benutzer anmelden er hat mich nähmlich gefragt gahabt ... bin dann auf Adminitrator gegangen aber bei Hijack wurde dann diese .dll gar nicht gefunden
Wat soll ich jetzt machen ?[/FONT]
Moderator
seit: 07.08.2005
Beiträge: 9.272
AW: HILFE - Werden diesen Virus nicht mehr los:
Moin,
du hast uns nicht mitgeteilt, ob du - wie von Q-Max am 12.12.08, 22:04 beschrieben - vorgegangen bist.
Wenn ja, hast du doch die - von mir am 12.12.08, 20:51 - aufgeführten Einträge gefixt.
Deshalb
bei Hijack wurde dann diese .dll gar nicht gefunden
sind sie auch nicht zu finden.
Wenn du außerdem die Systemwiederherstellung wie vorgeschlagen de aktiviert hast, sind die Punkte weg. Das ist ja der Sinn der Sache, um zu vermeiden, dass sich etwas wieder neu einnistet. Was nützt dir eine Wiederherstellung, womit du evtl. das Übel wieder hervorholst.
Mit dieser Meldung "Last known good configuration" kann ich nichts anfangen. Du sollst ja auch nichts wiederherstellen. Erst wenn alles bereinigt ist, aktivierst du die Wiederherstellung. Dann bekommst du auch wieder einen brauchbaren Punkt.
Also geh als 'Administrator' in den 'abgesicherten Modus', scanne mit HjT und poste uns das Ergebnis.
Scanne dort ebenfalls mit AntiVir und schreib uns, ob dabei wieder etwas gefunden wird.
Themenstarter
Benutzer
seit: 05.05.2007
Beiträge: 205
Ähnliche Themen
Von brigitte1964 im Forum Office und Dokumente
Antworten: 10
Letzter Beitrag: 07.09.2014, 20:22
Von Jubby im Forum Off-Topic
Antworten: 2
Letzter Beitrag: 17.01.2012, 11:14
Von matze610 im Forum Windows Vista
Antworten: 3
Letzter Beitrag: 04.03.2010, 12:57
Von Holgar im Forum Windows XP
Antworten: 1
Letzter Beitrag: 02.04.2008, 10:24
Von Leo im Forum Mainboard, CPU und RAM
Antworten: 5
Letzter Beitrag: 15.08.2006, 19:46