Hallo
mein PC ist zur Zeit mit ein paar "schweren" Viren befallen.
Ich habe Probleme sie wegzubekommen, da ich kein Anti-Virus-Program mehr
finde, welche die Viren erkennt und sie !auch löscht!.
Ich habe mich nun auf die "manuelle" Entfernung fixiert.
Dateinen alias "Files" welche infiziert sind (bzw. waren) habe ich alle
wegbekommen.
Doch die "Registrier-Dateien" (HKLM, etc.) bekomme ich nicht weg, da ich
nicht weiß wo sie sind bzw. wie ich sie entfernen kann.
Kann mir bitte jemand sagen wie ich an diese "HKLM, etc." Registrierdateien
komme?
Bekommt man diese dann auch normal weg, oder gibt es auch wieder Schwierig-
keiten?
Ich bitte um Hilfe!
PS:
Ach ja, falls ich mich letztendlich doch dazu entschließen würde, die
Festplatte zu formatieren, dann bitte ich noch darum, dass mir jemand sagt,
wie das funktioniert.
Denn das Problem ist, das ich nicht weiß wie ich bei "XP" auf den "MSDOS-Modus"
zugreifen kann (praktisch:format c:).
Wenn ich im Windows-Menü mit der rechten Maustaste auf der Festplatte gehe,
steht da auch der Befehl "formatieren" (bzw. Schnellformatierung), welcher
allerdings nicht funktioniert.
Poste mal den Inhalt Deiner HijackThis.log (http://www.merijn.org/downloads.html). Damit lassen sich die Registyeinträge fixen.
Hallo
was soll das mit dem "fixen" bedeuten?
Ich habe das Program zwar schon als laufen lassen und bekomme dann das Protokoll mit den vielen "HKML etc.", aber
kann ich die denn mit dem Program auch löschen?
Bzw. was versteht man denn unter dem Begriff "fixen"?
Und wie mache ich das?
Schau mal unten links im HijackThis-Fenster. Da ist ein Button Fix checked. ::)
Alle Einträge die Du vorher angeklickt hast werden damit entfernt.
Ok.
Ich habe mir das nochmal genauer angeschaut.
Habe die Dinger jetzt mal gefixt.
Die "HKWL" Registrierdateien die mit den "schweren" Viren verseucht sind, habe ich jedoch nicht wegbekommen bzw. waren da
anscheinend nicht dabei.
Kann/Muss man den "HJackThis" auch updaten?
Gibt es keine Möglichkeit über einen bestimmten Ordner oder ein anderes Programm, auf dieser "Registrierdateien" zuzugreifen?
Führe HijackThis mal im abgesicherten Modus aus und fixe dann. Anschliessend löscht Du vor einem Neustart den Inhalt des Papierkorbes.
Falls das auch nicht hilft, poste Dein Logfile ins Forum.
Ich habe ihn im "abgesicherten Modus" fixen lassen. (4 Dinge kann er trotzdem nicht löschen - aber ich bin mir nicht sicher ob es sich
dabei überhaupt um Viren handelt, da er die Namen von manchen Virenscanner etc. benutzt)
Doch das Problem ist, das er die vielen "Infizierungen" garnicht erkennt, welche mir ein anderer Scanner auflistet.
Ich habe mal beide Protokolle genommen.
Der HJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 16:57:37, on 16.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
und der "Spyware Doctor": (kann es nicht "übersichtlicher/geordneterr" rüberkopieren)
Name der Infizierung Standort
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}##
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\ProxyStubClsid
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\ProxyStubClsid##
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\ProxyStubClsid32
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\ProxyStubClsid32##
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\TypeLib
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\TypeLib##
Common Components for Gogotools, CWS variants and other adware HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\TypeLib##Version
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}##
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0##
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\0
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\0##
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\0\win32
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\0\win32##
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\FLAGS
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\FLAGS##
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\HELPDIR
Common Components for Gogotools, CWS variants and other adware HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\HELPDIR##
Quicknavigate Hijacker HKCR\CLSID\VMHomepage
Quicknavigate Hijacker HKCR\CLSID\VMHomepage##
Quicknavigate Hijacker HKCR\CLSID\VMHomepage##CLSID
Quicknavigate Hijacker HKCR\CLSID\VMHomepage##CurVer
Quicknavigate Hijacker HKCR\CLSID\VMHomepage.1
Quicknavigate Hijacker HKCR\CLSID\VMHomepage.1##
Quicknavigate Hijacker HKCR\CLSID\VMHomepage.1##CLSID
Quicknavigate Hijacker HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta
Quicknavigate Hijacker HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta##
Quicknavigate Hijacker HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}
Quicknavigate Hijacker HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}##
Quicknavigate Hijacker HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run##paint.exe
Trojan.FakeSpy HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##winlogon.exe
Trojan.FakeSpy HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##notepad2.exe
WebSearch Toolbar HKLM\SOFTWARE\Toolbar
WebSearch Toolbar HKLM\SOFTWARE\Toolbar##
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files##
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files##TBPS.exe
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files\APP
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files\BBDE
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files\BBDHE
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files\BBDI
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files\COMMON
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files\SVC
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files\TBR
WinTools HKLM\SOFTWARE\WinTools
WinTools HKLM\SOFTWARE\WinTools##
WinTools HKLM\SOFTWARE\WinTools\nlibx4m
WinTools HKLM\SOFTWARE\WinTools\nlibx4m##
WinTools HKLM\SOFTWARE\WinTools\nlibx4m\0g
WinTools HKLM\SOFTWARE\WinTools\nlibx4m\0v
WinTools HKLM\SOFTWARE\WinTools\nlibx4m\8q
WinTools HKLM\SOFTWARE\WinTools\nlibx4m\qv
Transponder.Twain-tech HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{000020DD-C72E-4113-AF77-DD56626C6C42}
Transponder.Twain-tech HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{000020DD-C72E-4113-AF77-DD56626C6C42}\iexplore
WebSearch Toolbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{339BB23F-A864-48C0-A59F-29EA915965EC}
WebSearch Toolbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{339BB23F-A864-48C0-A59F-29EA915965EC}\iexplore
WebSearch Toolbar HKCR\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}
WebSearch Toolbar HKCR\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}\InprocServer32
WebSearch Toolbar HKLM\Software\Classes\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}
WebSearch Toolbar HKLM\Software\Classes\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}\InprocServer32
WebSearch Toolbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8952A998-1E7E-4716-B23D-3DBE03910972}
WebSearch Toolbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8952A998-1E7E-4716-B23D-3DBE03910972}\iexplore
WinTools HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{87766247-311C-43B4-8499-3D5FEC94A183}
WinTools HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{87766247-311C-43B4-8499-3D5FEC94A183}\iexplore
Lop.com C:\Dokumente und Einstellungen\Admin\Favoriten\adult\Hardcore.url
SCBar C:\Dokumente und Einstellungen\Admin\Favoriten\shopping\Computers.url
Quicknavigate Hijacker C:\WINDOWS\system32\hhk.dll
Quicknavigate Hijacker C:\WINDOWS\system32\intmon.exe
CWS C:\WINDOWS\system32\uichf.txt
CWS C:\WINDOWS\szjtm.dat
-----------------------------
Achja, die Viren die ich habe sind "6 Spywares": (belastet mich nicht so sehr)
- CWS_Analyze IE
- CWS_MS AS
- PS Guard Desktop HiJacker
- PS Guard
- Virtual Maid Toolbar
- Web Search Toolbar (schon lange - ist nicht schlimm)
Und vorallem zwei Trojaner: (belastet mich sehr!)
- Antivirus Gold
- Trojan-Downloader-Zlob
Fix mal im abgesicherten Modus folgende Einträge:
Quicknavigate Hijacker HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run##paint.exe
Trojan.FakeSpy HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##winlogon.exe
Trojan.FakeSpy HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##notepad2.exe
WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files##TBPS.exe
Quicknavigate Hijacker C:\WINDOWS\system32\intmon.exe
Anschliessend suchst Du die Dateien paint.exe, notepad2.exe, TBPS.exe und löscht sie, falls noch vorhanden. Die Datei C:\WINDOWS\system32\intmon.exe löscht Du ebenfalls > Papierkorb leeren > Neustart.
Ich kann diese Einträge nicht fixen, da sie der "HJackThis" nicht findet bzw. auflistet.
Und der "Spyware-Doctor" tut nur scannen.
Gibt es denn keine Möglichkeit über irgendeinen "Menübefehl" auf diese "Registriereinträge/dateien" zuzugreifen?
Zitat von: Andy2005 am 17. Juli 2005, 16:52:02 Uhr
Ich kann diese Einträge nicht fixen, da sie der "HJackThis" nicht findet bzw. auflistet.
Wie sieht es aus wenn Du im normalen Modus startest? Siehst Du die Einträge dann und kannst sie fixen? Papierkorb leeren nicht vergessen.
Nein, das ist in beiden Modusen das gleiche.
Habe einige "Anti-Spyware" Programme, doch die meisten machen garkeine Viren weg, weil ich bei manchen den "Freischalt-Key" kaufen
müsste - bei anderen etwas nicht funktioniert (z.B. der SpySweeper lässt sich nicht richtig installieren und ist unbrauchbar) - andere
finden erst garkeine Viren.
Außerdem ist es so, dass fast jeder Scanner andere Viren auflistet.
Nur manche Viren kommen "fast immer" bei den verschiedenen Scannern vor.
Ich habe wirklich schon viele Programme ausprobiert, doch keiner kann mir wirklich helfen.
Z.B. - Spybot S&D > findet erst garkeine
- Spyware Doctor > Viren löschen kostet 30 Euro
- SpySweeper > Geht nichtmehr zu installieren
- AnitVirus (Regenschirm) > löscht zwar Trojanerdateien, doch kommt anscheinend nicht an die "Kerndateien"
(praktisch: macht nur die entstehenden "indifizierten Dateien" weg, welche von den "schweren Viren"
erstellt werden)
- SpionFrei > löscht keine Viren, da er behauptet das er sich nicht mit dem Internet verbinden kann (was aber Quatsch ist, da
es [gegenwärtig] auch bei anderen Programmen klappt und ich eine "offene Verbindung" zum Netz habe).
- Microstoft AntiSpyware > löscht ebenfalls, wie der "AntiVirus", nur "leichte Infizierungen"
U.S.W.
Ich möchte umbedingt "manuell" an diese "Registryinfizierungen" kommen.
AntiSpyware-Programme nützt da einscheinend nichts mehr!
Gehen wir mal Schritt für Schritt vor.
Du hast den Trojaner Troj/Puper-D installiert. Der Trojaner hat folgende Dateien erzeugt:
<System>\hhk.dll
<System>\intmon.exe
<System>\hpXX.tmp - wobei XX für zufällig erzeugte Zeichen steht.
Der Neustart des Hauptprozesses durch intmon.exe funktioniert nur, wenn die Trojanerdatei den Namen shnlog.exe hat.
Daher kann das System desinfiziert werden, indem der Name der Datei shnlog.exe geändert und dann der Prozess popuper.exe beendet wird.
intmon.exe beendet sich selbst, wenn sie die Hauptdatei nicht mehr findet, um sie neu auszuführen. Beide Dateien können gelöscht und die Registrierung bereinigt werden.
Nachdem shnlog.exe von dem System entfernt wurde, können die Standardvorgehensweisen für die Desinfektion der anderen beiden Komponenten angewendet werden.
http://www.sophos.de/virusinfo/analyses/trojpuperd.html
Hallo
ich habe die Trojaner über die "Registryeinträge" löschen können.
(Die Dateien die du beschrieben hast, finde ich nicht [oder nun nicht mehr]).
Ich habe jetzt nur noch fünf "Adware-Viren".
Ich dachte das das "hohe Risko" von den "Trojaner" kommt, doch das Parameter zeigt es immer noch an.
Problem ist dies, das ich die gefundenen "infizierte Einträge" (HKLM, etc.) nicht löschen kann (auch nicht im Abgesicherten).
Dann habe ich jetzt noch ein weiteres Problem:
Ich habe wahrscheinlich bei den Löschungen der Registrierungen (oder war es ein Viren der das veranlasst hat) eine falsche Datei
erwischt und
nun fehlt mir im "letzten Menü" der PC-Herunterfahrung (da wo die Konten sind und da steht "(PC NAME) ausschalten", der Befehl
zum "ausschalten".
Er ist einfach weg!
Wie kann ich den wieder einrichten?
Wie bekomme ich denn nun die fünf restlichen Viren weg?
CWS_AnalyzeIE
PSGuard Desktop Hijacker
PSGuard
VirtualMaid Toolbar
WebSearch Toolbar