Hi,

mein Büro-PC (2200+, 256 RAM, GF 4 MX, Win XP Home) spinnt seit gestern völlig!

Ich wollte auf eine Domain auf der ein Forum liegt wo ich angemeldet bin. Schwupps flog ich aufs Desktop wo ein blauer Bildschirm prangte auf dem dick in rot SPYWARE INFECTION stand. Und unten kam dauern die Meldung mit einem roten Kreuzchen, dass der PC infiziert sei und ich da klicken solle damit das wieder rückgängig gemacht wird.

Dann hatte ich ein komisches Anti-Spy-Programm drauf welches zwar alles erkannte aber fürs löschen ne Registrierung wollte die 29 Dollar kosten sollte. Ich habs gelöscht.

Mein Spyware erkannte und isoliertw zwar einiges aber es änderte sich nix. Auch net nach Updates. Ebenso hängten sich AdAware und AntiVir auf nach ner Zeit in der sie löschten usw.

Nun hab ich Kaspersky geholt und wollte es installieren (auf Anraten eines Kumpels). Es geht der Setup auf und wenn ich auf Installieren geh geht die Meldung auf die käme wenn ich die Installation abbrechen wollte mit Ja/Nein und das am laufenden Band - als drücke jemand ohne Unterlass drauf.

Was zum Geier soll ich denn jetz tun??? Ich hab relativ wenig Ahnung von sowas.

welches bs?
www.hijackthis.de, prog runterladen, ausführen, log erstellen und hier posten.

edit: vorab könntest du schonmal posten welche dienste und programme alle nach dem start laufen (taskmanager)

Hi,

mein Büro-PC (2200+, 256 RAM, GF 4 MX, Win XP Home) spinnt seit gestern völlig!mmm...

Habt ihr keine EDV- Abteilung? Ebenso solltest du dort nachfragen, welcher Virenscanner eingesetzt wird, ansonsten kann es Ärger geben. Antivir und Kaspersky kosten im Firmeneinsatz Geld ... wenn ihr einen kostenlosen Scanner haben wollt, könnt ihr euch mal die Lizenzbestimmungen zu ClamWIN durchlesen, die kenne ich nicht weiter ...

Also die Programme die nach dem Start laufen kann ich Dir nicht sagen - der Taskmanager geht auch nicht mehr auf :( Im Prinzip dürfte aber keines mitlaufen. Ich habe zumindest keines was automatisch mit hochgeht auf dem PC.

@Lok
Ich bin mit meinem Chef alleine im Büro und daher habenw ir keine EDV Abteilung ;) :D wir sind nur ne kleine Firma mit drei PCs die nicht aneinanderhängen - und der hat noch weniger lan als ich.

Also wenn Du das hier mit Log meinst - das kam bei hijackthis raus:

Logfile of HijackThis v1.99.1
Scan saved at 11:02:29, on 15.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wininit32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\winstall.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
D:\KASPERSKY.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.719\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SearchScout Toolbar - {FD7D6851-616E-48DE-AF55-EE2E34F389B0} - C:\Programme\SearchScoutToolbar\SearchScoutToolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SysInit] wininit32.exe -drivers
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -drivers
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: SearchScout Search - res://C:\Programme\SearchScoutToolbar\SearchScoutToolbar.dll/SEARCHSCOUTMENUSEARCH.HTM
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://213.76.131.84/install/ibsload.ocx
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE

mmm...

Running processes:
C:\WINDOWS\System32\wininit32.exe <-- Böse
C:\winstall.exe <--- Böse

C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE <--- Update von Antivir ...

Diese Einträge entfernen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [SysInit] wininit32.exe -drivers

O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -drivers
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

Ungefährlich ???
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE

Die Dateien kannst du mal auf
C:\WINDOWS\System32\wininit32.exe
C:\winstall.exe

einen/ beiden Seiten scannen lassen:
http://virusscan.jotti.org/
http://www.virustotal.com/flash/virustotal_en.html

Wenn Antivir sie nicht erkennt, kannst du sie hier hochladen:
http://www.antivir.de/de/support/verdaechtige_dateien/index.html

Ich wollte auf eine Domain auf der ein Forum liegt wo ich angemeldet bin. Schwupps flog ich aufs Desktop wo ein blauer Bildschirm prangte auf dem dick in rot SPYWARE INFECTION stand. Und unten kam dauern die Meldung mit einem roten Kreuzchen, dass der PC infiziert sei und ich da klicken solle damit das wieder rückgängig gemacht wird.

Welchen Browser benutzt du? Ich frage, weil ich Angst habe, dass mir sowas auch passiert.

Also wenn ich Internet aufmache steht auf der Startseite (seit dem problem) er wüsste dass ich Mozilla 4.0 benutzen würde. Und ich soll mich absichern damit er die Daten nicht ins Netz übertragen kann.

@ Lokadamus
Das Problem ist ich habe echt null Plan (also fast) von PCs ansich. Wie lösche ich die Einträge denn? Bzw. wie mache ich das weg was "böse" ist? Die beiden Seiten macht er mir nichtma ansatzweise auf :( ich klick drauf und es passiert garnix.

Sorry, aber ich bin da echt ein relativer Noob bei allem was Games übersteigt :D

Also wenn ich Internet aufmache steht auf der Startseite (seit dem problem) er wüsste dass ich Mozilla 4.0 benutzen würde. Und ich soll mich absichern damit er die Daten nicht ins Netz übertragen kann.

@ Lokadamus
Das Problem ist ich habe echt null Plan (also fast) von PCs ansich. Wie lösche ich die Einträge denn? Bzw. wie mache ich das weg was "böse" ist? Die beiden Seiten macht er mir nichtma ansatzweise auf :( ich klick drauf und es passiert garnix.

Sorry, aber ich bin da echt ein relativer Noob bei allem was Games übersteigt :D
öh .. in der tat ;)

also, hijackthis ausführen, scannen, dann die erwähnten bösen einträge in der checkbox markieren, dann auf "fixed checked" klickern .... ;)

Was zum Geier soll ich denn jetz tun??? Ich hab relativ wenig Ahnung von sowas.

den helpdesk anrufen ... falls es sich nicht um einen Ich-AG Büro PC handelt ;)

öh .. in der tat ;)

also, hijackthis ausführen, scannen, dann die erwähnten bösen einträge in der checkbox markieren, dann auf "fixed checked" klickern .... ;)


Ok, die sind jetz weg, und was mach ich mit den ersten beiden? Also die mit C:?

Ok, die sind jetz weg, und was mach ich mit den ersten beiden? Also die mit C:?
na, was man mit bösen sachen halt so macht ... löschen ;)

wenn die einträge erstmal nicht mehr in der reg stehen, sollten auch die antivirenprogs wieder normal laufen und den beiden den rest geben ;)

Also zwischendurch nach löschen der Dateien war auch das rote Kreuz unten wech. Ich konnte den Ksapersky somit installieren. Der läuft und läudt und läudt und macht was (was kann ich jetz net definieren da das fenster so schnell wieder verschwindet mit den Meldungen) und sonst geht kaum noch was ausser grade weil ich ihn mit Mühe und Not abschalten konnte. Das rote Kreuz is wieder da.

Der Virus heisst anscheinend Win32.Parite.b

@ Kurgan
Die beiden lassen sich aber leider nich löschen - oder erklär ma wie man es am besten macht. Wenn ichs versuche sagt er mir er könne die nicht löschen

@ Kurgan
Die beiden lassen sich aber leider nich löschen - oder erklär ma wie man es am besten macht. Wenn ichs versuche sagt er mir er könne die nicht löschenmmm...

Hast du die Dateien im Taskmanager abgeschossen? Mit HijackThis die Verweise auf die Dateien entfernen, Rechner neu starten und gucken, ob HijackThis die Sachen wieder auflistet. Wenn nein, kannst du die Dateien mal auf den Seiten hochladen und gucken, ob Antivir sie erkennt. Wenn nein, mal bei Antivir hochladen, dann sind die Dateien beim nächsten Update dabei ...

so was lässt sich hier immer sehr schlecht erklären. am besten im abgesicherten modus starten und die dateien aus dem autostart per regcleaner o.ä. kicken und die dateien auch selber per hand löschen. kennst dich ein wenig damit aus, was in deinem autostart sein sollte und was nicht?

mfg
msilver

Wie wäre es denn mit der banalen Variante?
Die wichtigen Daten sichern und Windows neu installieren?
Da kannst du danach wenigstens sicher sein, dass alles sauber ist.

Für jemanden mit wenig Ahnung ists die einfachste und schnellste Variante. Telediagnose ist doch oll und ineffektiv ;)

Gruß

Nein. Keine Neuinstallation... Warum denn?

Kannst Du Dir irgendwo Knoppicilin (c't) besorgen? Da wird Windows nicht gestartet sondern in Linux gemountet. Deswegen kannst Du locker alle Viren mit Kaspersky löschen...

Kommst Du an so was ran?

Nein. Keine Neuinstallation... Warum denn?

Telediagnose ist doch oll und ineffektiv

Für nen Laien, der nicht weiß was gut und was schlecht ist, ist ne neue Installation die sicherste Variante und weil ich nicht an Knoppicilin gedacht habe :rolleyes:
Wobei Knoppicilin auch nicht unbedingt der Stein der Weisen ist oder erkennen die Virenscanner schon eine umgebogene Startseite im IE?

Gruß

Für nen Laien, der nicht weiß was gut und was schlecht ist, ist ne neue Installation die sicherste Variante und weil ich nicht an Knoppicilin gedacht habe :rolleyes:
Wobei Knoppicilin auch nicht unbedingt der Stein der Weisen ist oder erkennen die Virenscanner schon eine umgebogene Startseite im IE?

Gruß
Hm... Viel falsch machen kann man mit Knoppicilin ja nicht... ;) Und wichtiger ist erst einmal, dass der Virus weg ist. Den Rest kann man danach ja wieder unter Win machen... ;)

Was zum Geier soll ich denn jetz tun???Dir jemanden besorgen, der von sowas Ahnung hat. (Nein, ich möchte niemanden hier im Forum das Absprechen, aber für eine ausführliche Fehlerdiagnose, Reperatur und, was mir am wichtigstens scheint, eine Schulung, dürfte hier weder genug Platz noch das richtige Medium sein.)

mfg Sebastian

Erstmal danke für die Hilfe ;) ich besorg mir jetz auch jemand der Ahnung hat :D die habt Ihr zwar auch aber wie schon gesagt wurde - Ferndiagnose is sehr schwer ;)

Ich habe jetz mit Mühe und Not den Kaspersky wieder runtergebracht und das System läuft normal. Der Virus ist aber noch drauf. Weswegen z. B. AntiVir auch jedesmal abbricht weil er sagt er könne ihn nicht löschen ect.

Mal sehen was ich jetz am dümmsten mache ;)