Hilfe! Ich hab nen Virus, den mein Virenprogramm nicht erkennt

MrTerminator

treuer Stammgast
Helft mir bitte.
Ich hab plötzlich einen Virus bekommen. Da kommt dann plötzlich so ein Spyware Zeug und unten in der Ecke blinkt die ganze Zeit ein Rollstuhlsymbol auf und ab und zu erscheint eine Meldung.
HEEEEEELLLLLLPPPPPP!!!!!!!!!
 

Anhänge

  • VIRUS.bmp
    154,6 KB · Aufrufe: 218

Franz

assimiliert
Das ist eher Werbung, die du dir eingefangen hast.
Ob du wirklich einen VBirus hast, kann ein Scan zeigen.
Deswegen: HiJackThis[/ur]. Den Logfile kannst... "Edit" Button aufmerksam machen. :angel[/ot]
 

RollerChris

R.I.P.
@MrTerminator
Meinst du nicht das 1x Posten völlig reicht, besonderst wenn unsere User dabei sind dir hier zu helfen. Es liegt somit kein Grund vor Deine Hifeanfrage mehrfach hier im Board zu posten. Ich habe das zuviele gelöscht
So und nun weitermachen :D
 

MrTerminator

treuer Stammgast
Ok, hier ist die Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 19:28:03, on 15.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atmclk.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\f4279bce.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgwb.dat
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Roman\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.prosieben.de/games_handy/onlinegames/yetisports/games/popunder/
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp94E0.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [f4279bce.exe] C:\WINDOWS\system32\f4279bce.exe
O4 - HKCU\..\Run: [f4279bce.exe] C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Anwendungsdaten\f4279bce.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
 

MrTerminator

treuer Stammgast
Ich hab jetzt auch die online auswertung gemacht.
Da ist so eine Datei in C:\WINDOWS\system32\atmclk.exe die eine Spyware Werbung ist.
Als ich die versucht hab zu löschen ging das nicht :cry:
Da steht, dass sie von einem Benutzer verwendet wird.

Klappt es, wenn ich es im abgesicherten Modus versuche sie zu löschen?
 

Franz

assimiliert
Entweder das, oder, über HijackThis fixen und u.U. die entsprechende Datei anschließend löschen.
Ach, und wenn du es übers Herz bringst, auf einen anderen Browser umzusteigen,
hättest du sehr viel mehr Ruhe vor solchen Teilen.
 

MrTerminator

treuer Stammgast
@arcanoa
Ok, aber ich weiß nicht welche das jetzt ist :hammer
Kannst du mir sagen welche?
 

Anhänge

  • 1.jpg
    1.jpg
    142,8 KB · Aufrufe: 138

JensusUT

Senior Member
:angel Hätte dieser Thread statt in "Allgemeine Computerfragen" im speziell dafür eingerichteten Sicherheitsforum gestanden, wären dem MrTerminator sicher die Hinweise auf "HijackThis-Log Online auswerten lassen!!" aufgefallen und er hätte selbstständig erkannt, dass er ein Programm ausführt, welches sich drei mal startet und schnellstens gelöscht werden sollte:

C:\WINDOWS\system32\f4279bce.exe <-Das Programm

O4 - HKLM\..\Run: [f4279bce.exe] C:\WINDOWS\system32\f4279bce.exe <- Der Eintrag als "Run" in der Registry

O4 - HKCU\..\Run: [f4279bce.exe] C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Anwendungsdaten\f4279bce.exe <- Und nochmals im persönlichem Verzeichnis von Roman, welches wiederum über Administratorrechte verfügt. Sonst hätte sich die EXE-Datei nämlich nicht in das Windows-Systemverzeichnis kopieren können.


Auch gefixt werden könnte "O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll"
Darüber habe ich allerdings keine weiteren Angaben gefunden.

Also, Mods... Bitte verschieben ;)

@Edit: Ups, da ist mir der richtig böse Eintrag, den MT schon gefunden hat, doch glatt durchgerutscht...
 

Cesar

Froschpornopaparazzi
Hast du mal die Tips von den verlinkten Seiten von mir getestet?
Sollte doch so gehen!!
Da steht auch du musst dann in den Abgesicherten....
 
B

Brummelchen

Gast
a) diese EXE im Taskmanager beenden (Rechte Maustaste auf die Startleiste > Taskmanager)
b) dann benannte Dateien löschen (3 insgesamt)
c) falls das nicht geht, mit Unlocker schauen, ob sie noch benutzt werden.
d) im schlimmsten Fall liegt diese EXE im Wiederherstellungscache "System Volume Information" und Windows stellt die automatisch wieder her. Dann muss man die dort auch löschen.

JensusUT schrieb:
C:\WINDOWS\system32\f4279bce.exe <-Das Programm

O4 - HKLM\..\Run: [f4279bce.exe] C:\WINDOWS\system32\f4279bce.exe <- Der Eintrag als "Run" in der Registry

O4 - HKCU\..\Run: [f4279bce.exe] C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Anwendungsdaten\f4279bce.exe <- Und nochmals im persönlichem Verzeichnis von Roman, welches wiederum über Administratorrechte verfügt. Sonst hätte sich die EXE-Datei nämlich nicht in das Windows-Systemverzeichnis kopieren können.


Auch gefixt werden könnte "O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll"
Darüber habe ich allerdings keine weiteren Angaben gefunden.
 

MrTerminator

treuer Stammgast
So, ich hab den Virus scheinbar behoben :grinser , denn bei den anderen Benutzerkonten auf meinem Computer erscheint die Meldung nicht.
Bei mir aber immer noch, muss mir wohl ein neues Benutzerkonto anlegen. ;)
 
Oben