Brauche dringend hilfe! Kleiner virus! kollegah!

Moin,
na ja, ist ja Rosenmontag. Helau und Alaaf. Da zieht man sich schon mal ein Mini.

was um himmels willen ist ein logfile?
hilfääää!!!
ach ja, ich will den prozess nicht nur killn sondern den ganzen kram löschen, das startet sich doch immer neu...

mfg

help_me

Moin,
zuerst sollten wir mal versuchen, einzugrenzen um was es sich bei dem "Mini" eigentlich handelt.
1. Sicher ist bisher, dass es sich nicht aus der Systemsteuerung/ Software entfernen lässt.
2. Möglichkeit wäre: Im 'abgesicherten Modus' (beim Start die F8-Taste permanent drücken) dein Viren- und dein Spywarescanner laufen lassen. Vorher auch die Systemwiederherstellung vorübergehend deaktivieren.
3. Wenn "Mini" immer noch da ist, mit diesem Tool:
HighjackThis auch wie unter # 2 beschrieben, scannen. Dabei entsteht ein Logfile, welches du kopierst und uns hier zur Beurteilung vorlegst.

öhm, hat sich erledigt. nachdem ich dieses tuneup installiert habe wurde dort auch die batch datei angezeigt. die habe ich mit tune up gelöscht und jetzt wird das programm auch nicht mehr gestartet also vielen dank für eure tipps!!! endlich bin ich den sche** los, war ganz schön nervig...
also, danke und

mfg

help_me

Hallo zusammen!
Auch ich habe diesen dummen Trojaner (unfreiwillig) abbekommen und verzweifle daran ihn wieder los zu werden. Google sagte mir hier einmal mein Glück zu versuchen.

Ich habe die Anweisungen von den obrigen Posts befolgut und auch "HiJack" installiert. Wie die Anweisung lautet soll man auch das Logfile posten, bitte schön:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 20:21:12, on 06.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Vtune\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\service.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Sicher\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Gainward] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ctfmon] C:\WINDOWS\system32\ctf.exe
O4 - HKLM\..\Run: [Autostart] C:\service.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://www.update.microsoft.com/wind...?1199699669234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://www.update.microsoft.com/micr...?1208963133125
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - https://static.pe.schuelervz.net/phot...che=1211914306
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AE65898-6E6C-478A-BDA6-F6B834F1D602}: NameServer = 217.237.151.205,217.237.148.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Könnt ihr mir sagen wo (im wahrsten sinne des Wortes) der Wurm drinn steckt?
Vielen Dank schonmal für eure Hilfe.

Hi,

das, was Help_me mithilfe von TuneUp gemacht hat, sollte eigentlich auch mit msconfig gehen.
Also Start -> Ausführen -> msconfig, dort zum Reiter "Systemstart" wechseln, nach der Batch-Datei, die den "Virus" startet Ausschau halten und ggf. deaktivieren (Häkchen davor wegnehmen).

Danke, Fabi, du bist mein Held <333
Ich habs so gemacht wie du sagtest, und nun springt diese ätzende Musik nicht mehr an und das Bild ist auch nicht mehr da!
Und um nachvolgenden Generationen die das gleiche Problem haben hier noch mehr Infos:

Nach einiger Zeit wurde das Desktop-Bild alle .5 Sekunden in den "Kollegah" geändert (dramatisches Flackern des Dektops)! Außerdem, wer den Virus zu lange tollerirt (so wie ich) der bekommt auf einmal den editor geöffnet und erhällt eine Nachticht wie diese:

Code:

Hallo.
Hier ist das Servive-Team Münster.
Wir haben mitbekommen das sie einen Virus von Kollegah auf ihrem Computer habenm, welches der Datei "Servive.exe" entspringt.
Der Virus ändert ihr Desktopbild und sorkt für Musik im Hintergrund.
Wir sind der Organisation die den Virus verbreitet auf der Spur. Bitte schreiben sie in dieses Feld wie sie den Virus erhalten haben.
Wir werden antworten.
Ihr Servive Team-Münster

Und dann wurde es mit zu bund! Ich hab das Fenster geschlossen und wollte meine Netzwerk-Verbindung deaktiviren und plötzlig reagirte meine Maus nicht mehr und wanderte in die andere Ecke des Bildschrims! Mir war klar das jemand anderes Zugang zu meinem Computer haben muss! Also schaltete ich den Strom meines Computers ab.
Offline habe ich ihn dann wieder hochgefahren und die Ratschläge von Fabi (immernoch mein Held) befolgt. Aus irgend einem Grunde war die "Service.exe" in der Liste aufegführt.
Ich nahm den Haken raus und seit dem herscht Frieden!


Ach ja: Was ich noch sagen wollte: Seit ich diesen Schrott auf dem Rechner habe und es eine Weile drauf war, hat mein Sound-Systhem versagt! Meine PC-Internen Boxen spielen nichts mehr ab, auch mein Headset nicht.
Was kann man den dagegen machen?

Zitat von stulle

dein "mini virus" war wahrscheinlich ein scherzprogramm

Scherzprogramm???
Wenn andere Leute auf deinen Rechner zugreifen können ist das ein Scherz??
Also ich denke nicht...