HILFE - Werden diesen Virus nicht mehr los:

Moin,
wie bist du den bisher damit umgegangen? Mit einem upgedateten Virenscanner gescannt?
Dann wiederhole das im 'abgesicherten Modus'

Hi,

der kleine nette Kerl hängt sich in die Registry, der kommt bei jedem Neustart wieder......

Mach bitte mal einen Scan mit Hijackthis im abgesicherten Modus und bei deaktivierter Systemwiederherstellung und stell das Logfile hier rein.

LG

Zu 1 + 2: Das mit dem abgesichterm Modus würde ich ja noch hinbekommen aber das was danach kommt (zumindestens bei 2) nicht !!

Wie gesagt habe mit aktuellem AntiVir gescannt aber selbst wenn AV aktiviert ist und er den Virus LÖSCHT ist er 3 sekunden später wieder gefunden und muss wieder gelöscht werden.....

Hi,

schau dir das an mal an:
HijackThis gegen Viren, Trojaner und Spyware

Die Systemwiederherstellung schaltest du aus unter Start Alle Programme Zubehör Systemprograme Systemwiederherstellung Systemwiederherstellungseinstellungen auf allen Laufwerken deaktivieren

Danach den Scan mit Hijackthis machen und das Lodfile hier zur Kontrolle reinstellen.

LG

Zitat von Q-Max

Hi,

schau dir das an mal an:
HijackThis gegen Viren, Trojaner und Spyware

Die Systemwiederherstellung schaltest du aus unter Start Alle Programme Zubehör Systemprograme Systemwiederherstellung Systemwiederherstellungseinstellungen auf allen Laufwerken deaktivieren

Danach den Scan mit Hijackthis machen und das Lodfile hier zur Kontrolle reinstellen.

LG

Muss das im abgesichterem Modus sein ??

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:52, on 12.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServ er.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\APPS\skype\Phone\Skype.exe
C:\apps\skype\Plugin Manager\skypePM.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 91.192.46.1:80
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [f8996aae] rundll32.exe "C:\WINDOWS\system32\kxfmxgkn.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-2214461448-2056337823-418753670-1006\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-2214461448-2056337823-418753670-1006 Startup: AutorunsDisabled (User '?')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - C:\Programme\Xilisoft\YouTube Video Converter\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - https://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://www.update.microsoft.com/wind...?1200393045484
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - https://static.ak.schuelervz.net/phot...che=20080128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - https://static.pe.schuelervz.net/phot...che=1207078416
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: kcyrpi.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServ er.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 8587 bytes





Das war jetzt nicht im abgesichertem Modus scheint ja zu klappen :P

Moin,
diesen Scan im abgesicherten Modus durchzuführen macht schon Sinn, weil damit ausgeschlossen werden kann, dass dieser Trojaner sich aus dem Internet wieder generiert.
Aber hier das, was du fixen musst:

O4 - HKLM\..\Run: [f8996aae] rundll32.exe "C:\WINDOWS\system32\kxfmxgkn.dll",b

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)

und das solltest du mal überprüfen, ob du das kennst, brauchst und benutzt:

Unbekannt
O4 - S-1-5-21-2214461448-2056337823-418753670-1006 Startup: AutorunsDisabled (User '?')

Unbekannt
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - https://static.pe.schuelervz.net/phot...che=1207078416

Danach mach einen erneuten Scan aber im 'abgesicherten Modus', überprüfe ob das Objekt weg ist. Neustart und sehen, ob sich der PC normal verhält.

Wo steht wie ich das "fixxen" kann ?

Hi,
Hijackthis im abgesicherten Modus starten auf scan only klicken vor die zu fixenden Einträge einen Haken machen auf fixed checked klicken.

Danach die bemängelten dll, oder exe-Dateien manuell löschen. Den Pfad wo du sie findest gibt dir Hijackthis ja vor.

Dann einen Neustart des Rechners durchführen und schauen ob er vernünftig läuft.

Zur Kontrolle noch einen Scan im abgesicherten Modus machen und hier einstellen.

Wenn alles sauber ist, einmal das Tool CCleaner über den Rechner laufen lassen. Danach solltest du einen sauberen und schnellen Rechner haben.

LG

Wie bekomme ich nochmal einen abgesicherten modus hin ?



Tut mir leid sind glaub ich bisschen dumme Fragen aber in dem bereich kenn ich mich mal ÜBERHAUPT NICHT aus SORRY

Moin,

Zitat von Computer-Freak 94

Wie bekomme ich nochmal einen abgesicherten modus hin ?

Beim Booten klickst du permanent die F8-Taste an. Dort suchst du die entsprechende Option.

[FONT="Century Gothic"]Soooooo .... habs anscheinend auch ein bisschen falsch gemacht .... weg ist es auch noch nicht .... ABER als ich eben (nachdem ich meine Daten mal gesichert hatte) in die Systemwiederherstellungen gegangen bin musste ich trauiger Weise feststellen, dass 1. Die Herstellungsdaten von allen Monaten außer Dezember weg sind UND dass sich ein Punkt Namens "Last known good configuration" erstellt hat ... anscheined ist dort der Virus "in kraft" getreten ......

Muss ich mich im abges. modus als Administrator oder als mein benutzer anmelden er hat mich nähmlich gefragt gahabt ... bin dann auf Adminitrator gegangen aber bei Hijack wurde dann diese .dll gar nicht gefunden

Wat soll ich jetzt machen ?[/FONT]

Moin,
du hast uns nicht mitgeteilt, ob du - wie von Q-Max am 12.12.08, 22:04 beschrieben - vorgegangen bist.
Wenn ja, hast du doch die - von mir am 12.12.08, 20:51 - aufgeführten Einträge gefixt.
Deshalb

bei Hijack wurde dann diese .dll gar nicht gefunden

sind sie auch nicht zu finden.
Wenn du außerdem die Systemwiederherstellung wie vorgeschlagen deaktiviert hast, sind die Punkte weg. Das ist ja der Sinn der Sache, um zu vermeiden, dass sich etwas wieder neu einnistet. Was nützt dir eine Wiederherstellung, womit du evtl. das Übel wieder hervorholst.
Mit dieser Meldung "Last known good configuration" kann ich nichts anfangen. Du sollst ja auch nichts wiederherstellen. Erst wenn alles bereinigt ist, aktivierst du die Wiederherstellung. Dann bekommst du auch wieder einen brauchbaren Punkt.
Also geh als 'Administrator' in den 'abgesicherten Modus', scanne mit HjT und poste uns das Ergebnis.
Scanne dort ebenfalls mit AntiVir und schreib uns, ob dabei wieder etwas gefunden wird.

Sooo habe es wahrscheinlich geschafft Ich hoffe mal es regeneriert sich nicht irgendwie wieder


1. LAN-Kabel rausgezogen = KEIN INTERNET
2. Antivir-Scan
3. Spybot-Scan

ALLES WIEDER IN ORDUNG



TROTZDEM DANKE FÜR EURE HILFSBEREITSCHAFT !!


LG