Wie lösche ich den TR/PSW.LdPinch.uij?

pk-mani

pk-mani

treuer Stammgast
hi leute,
ich hab ein problem (mal wieder:D) und zwar hab ich mein PC mit AnitVir durchscannen lassen, der hat auch was gefunden (TR/PSW.LdPinch.uij)
ich habs in der Quarantäne verschoben danach versucht es zu löschen.
Also von der Quarantäne ist es gelöscht aber nicht von dem Ordner:mad
(Stimmt doch oder?? wenn man den virus von der quarantäne löscht ist er doch dann auch vom PC weg odeR???)
ich möchte den Virus selber löschen aber (jetzt zum eigenlichen problem :D)... ich komm in diesen Ordner net rein... der Ordner heißt (System Volume Information) mein AntiVir sagt mir das der Virus da drinne ist. Wenn ich versuch den Ordner zu öffnen steht da Auf D:/System Volume Information kann nicht zugegriffen werden. Zugriff verweigert

BITTE um eure HILFE :(

ah hab noch was vergessen, soll ich noch meine Logfile posten?? (ich kenn mich damit net so gut aus) wenn ihr die logfile braucht dann sagt es mir bitte :)
wenn ja, könnt ihr mir bitte sagen wie man etwas reinpostet wo man nur noch drauf klicken muss ich glaub des heißt SPOILER oder so? :D:D hoffe ihr versteht mich :D
 
Ich poste einfach mal mein Logfile vllt blickt ja jemand durch... also ich kenn mich damit gar net aus :(
bitte sagt mir wenn irgenwas bei der logfile net inordnung ist. Vllt ist ja ein Prozess ein virus oder so :(
danke
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:31:22, on 07.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = Internet Explorer: Get It Now
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 147.123.227.18:8000
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: mfchelp - C:\WINDOWS\SYSTEM32\mfchelp.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows-Zeitgeber (mfchelp) - Unknown owner - C:\WINDOWS\system32\mfchelp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 8330 bytes
 
Zuletzt bearbeitet von einem Moderator:
Lade das file hier hoch und laß es auswerten,
dann weißt du Bescheid, was noch alles zu fixen wäre.

Der Ordner System Volume Information ist ein gesperrtes Verzeichnis,
wo sich auch die Systemwiederherstellungs-Dateien befinden,
Zugriff nur mit Tricks und für Profis. :D

Zum Virus-Problem:
Das Biest ist auch in der Systemwiederherstellung vorhanden, diese deaktivieren (dabei wird es gelöscht),
reaktivieren und sofort wieder einen Wiederherstellungspunkt setzen.
 
little tyrolean schrieb:
Lade das file hier hoch und laß es auswerten,
dann weißt du Bescheid, was noch alles zu fixen wäre
Zum Vergrößern anklicken....
Da ist aber reichlich merkwürdig, allein der Proxy-Eintrag:
Code: 
         IP: 147.123.227.18

 6  N/A      46 ms  N/A     N/A     N/A     N/A     N/A     N/A     N/A      47 ms  ffm-bb1-link.telia.net [80.91.249.81]
 7   61 ms  N/A      62 ms  N/A     N/A     N/A     N/A      61 ms  N/A      62 ms  mno-b1-link.telia.net [213.248.65.230]
 8   63 ms   62 ms   62 ms   62 ms   62 ms   63 ms   63 ms   62 ms   63 ms   62 ms  megabitex-01324-mno-b1.c.telia.net [213.248.79.118]
 9   62 ms   62 ms   62 ms   62 ms   62 ms   62 ms   62 ms   62 ms   62 ms   62 ms  mi1.spin.it [147.123.65.1]
10   71 ms   72 ms   72 ms   76 ms   73 ms   72 ms   72 ms   72 ms   72 ms   72 ms  [147.123.127.45]
11   70 ms   71 ms   71 ms   99 ms   70 ms   71 ms   70 ms   72 ms   71 ms   72 ms  ts4.spin.it [147.123.1.94]
12  118 ms  117 ms  114 ms  119 ms  115 ms  118 ms  118 ms  119 ms  118 ms  114 ms  battistella.atm-ts.aspin.it [147.123.125.62]
13  115 ms  115 ms  116 ms  119 ms  118 ms  118 ms  119 ms  120 ms  118 ms  116 ms  N/A [147.123.227.18]
O20/O23
http://www.trojaner-board.de/42425-mfchelp-exe.html
Reste einens keyloggers
Zum Vergrößern anklicken....
Nicht mehr lange fackeln - Daten sichern, Formatieren, alle Passwörter neu vergeben

Und endlich diesen Avira Free Scheiss entsorgen, der Müll taugt nichts
 
little tyrolean schrieb:
Zum Virus-Problem:
Das Biest ist auch in der Systemwiederherstellung vorhanden, diese deaktivieren (dabei wird es gelöscht),
reaktivieren und sofort wieder einen Wiederherstellungspunkt setzen.
Zum Vergrößern anklicken....


wie kann man die Systemwiederherstellung deaktivieren??? tut mir leid ich kenn mich net so gut aus damit.


und könnt ihr mir bitte sagen ob an meiner Logfile alles in ordnung ist?? :D
 
Zuletzt bearbeitet:
Unter XP:
Rechtsklick Arbeitsplatz - Eigenschaften (oder Win-Taste + Pause-Taste gleichzeitig) - Reiter Systemwiederherstellung - Haken setzen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren"
 
pk-mani schrieb:
ok hab ich gemacht
Zum Vergrößern anklicken....

Was gemacht? Nur deaktiviert? Oder auch "den Rest"?

little tyrolean schrieb:
Zum Virus-Problem:
Das Biest ist auch in der Systemwiederherstellung vorhanden, diese deaktivieren (dabei wird es gelöscht),
reaktivieren und sofort wieder einen Wiederherstellungspunkt setzen.
Zum Vergrößern anklicken....

und ist der Virus jetzt weg oder was??
Zum Vergrößern anklicken....
In der Systemwiederherstellung sollte er jetzt eigentlich weg sein.
 
Wenn Du die Systemwiederherstellung mit Haken rein deaktivierst, wie aktiviert man sie dann wieder, macht das Ganze also rückgängig?
Rate mal. :D
Haken rein = deaktiviert
Haken ... = aktiviert

Eigenen Wiederherstellungspunkt setzen:
Start - Programme - Zubehör - Systemprogramme - Systemwiederherstellung
 
Das ist kein Virus, das ist ein Trojaner. Das heißt, das Drecksteil versteckt irgendwas anderes. Der nistet sich auch noch an mehreren Stellen im System ein. Unter anderem hat er eine Keylogger Funktionalität klaut Deine Passwörter und versendet die bzw hat sie schon versandt. Man kann ihn zwar entfernen, aber die Lücken, die er ins System gerissen hat, kannst Du nicht schließen, außer du bist extrem gut im low level System Bereich - was Du definitiv nicht bist - und kannst alle Dateien, die er geändert hat, wieder genau so herstellen wie sie vorher waren.

Brummelchen hat zu 100% Recht:
Dateien sichern, dann überprüfen, ob sie Malwarefrei sind (was in diesem Fall wahrscheinlich ist, diese Trojaner Familie klinkt sich im allgemeinen nur an Mails an) und neu aufspielen ist die einzige Methode, das System wieder auf einen vernünftigen Sicherheitsstandard zu bringen.

Bitte lies hier nach und beherzige es! Das erste Zitat zu dem Thema ist direkt von Microsoft.

Die Links in der rechten Navileiste solltest Du auch durcharbeiten, damit Dir das nicht noch einmal passiert.
 
koloth schrieb:
Wenn Du die Systemwiederherstellung mit Haken rein deaktivierst, wie aktiviert man sie dann wieder, macht das Ganze also rückgängig?
Rate mal. :D
Haken rein = deaktiviert
Haken ... = aktiviert

Eigenen Wiederherstellungspunkt setzen:
Start - Programme - Zubehör - Systemprogramme - Systemwiederherstellung
Zum Vergrößern anklicken....

:D:D die richtige Antwort iiisstt..... HAKEN raus!!! :D
ok hab ich gemacht ist jetzt mein PC wieder frei von diesem Trojaner da??
hoffe schon, den ich möchte sehr ungern mein PC neu aufsetzen, aber wenn es sein muss und der Trojaner net weg ist mach ich das gern. Also bitte sag mir ob er jetzt weg ist :D :D
und kann mir jemand noch sagen ob an meiner Logfile alles stimmt. Bitte :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben