[Chacarron]

Hi, ich hab keine Ahnung was gerade passiert ist. bin gerade im internet gewesen und hab nichts runtergeladen oder so etwas. plötzlich ging mein virenprogramm (avira) los und meldete einen virus/wurm/trojaner nach dem anderen. insgesamt waren es 56 viren die gefunden wurden. gestern habe ich erst mein komplettes system durchgecheckt und alle schädlinge entfernt. irgendwann meldete sich auch das windows security system und meinte dass "einer der ernstesten viren von 2009" bei mir gefunden wurde. nach und nach hingen sich programme auf und ich versuchte es mit einem neustart was dazu führte dass ich windows gar nicht mehr starten konnte. wenn ich auf normal starten klicke kommt für eine sekunde ein bluescreen und er neustartet. kann jetzt nur noch im gesicherten modus starten.

was soll ich jetzt machen? bin total ratlos und hab keine ahnung woher diese viren plötzlich kommen. kann es sein dass avira unschädliche aber wichtige dateien gelöscht hat? wie kann ich windows wieder normal starten? wie entferne ich diese viren? soll ich versuchen den virereport versuchen zu posten? bitte um schnelle hilfe!

[Thorasan]

im abgesicherten modus viren entfernen lassen sofern es geht, dann testen obs geht, notfalls halt nochmal neu aufsetzen... Ist in diesem Fall wohl die beste Lösung. Denke das avira da einige systemdateien in quarantäne gestellt hat...

[Paret]

Hmmm in dem Bereich Viren bin ich eigentlich ziemlich Kundig und in so einem Fall gibt es mehrere Möglichkeiten zu handeln.

Möglichkeit 1) Schieb die WIndows CD rein und lass dir Windows Reparieren das ist mehr oder minder schwierig.. danach sofort in den abgesicherten Modus und von Dort aus alle Viren entfernen

WARNUNG: Wenn eine System von einem Schwerwiegendem Virus Infiziert wurde gibt es niemehr eine Komplette sicherheit für dich... Du kannst dir niemals mehr sicher sein ob du einen Schadensprogramm drauf hast......

Die zweite Möglichkeit ist das du dein System mit Hijack durchsuchen lässt das ist kein Anti virus Programm der normalen Art sondern es Zeichnet nur alle Aktivitäten auf.
Den entsprechend langen Log müsstest du dan hier Posten...

Auch hier wieder gibt es keine entgültige Sicherheit...

Möglichkeit 3 mein Persönlicher Favourit... bring dein System zum Laufen Sicher schnell alle Daten wobei mit einer Hoher warscheinlichkeit die Firen mit Kopiert werden mach deinen rechner platt am besten alle Partiitonen.

Danach Installierst du deinen Rechner neu und holst dir die Kaspersky-Demo.. Der Scannt nach jedem anstecken eines Wechsel Medium aus Virus und das Ziemlich genau.


Fals du noch Fragen hast oder ander weitige sachen einfach melden

[Chacarron]

Danke erstmal für die bisherigen Bemühungen.
Mittlerweile hab ich etwas mehr herausgefunden:

Das "Security Center" kommt mir mehr und mehr verdächtig vor, da es:
1. Das Design geändert hat
2. Seit es sich geändert hat, meine anderen Antivirprogramme nicht mehr funktionieren
3. "cmd" sich nicht öffnen lässt
4. Die Systemsteuerung sich nicht öffnen lässt
5. Sobald ich im Security Center auf z.B Internetoptionen klicke, öffnet sich ein Fenster, das meint, ich müsste so bald wie möglich ein 64€ teures Programm kaufen, da mein Rechner von schweren Viren befallen ist.

Diese Sympthome erscheinen erst seit Avira diese Viren entdeckt hat und das "neue Security Center" erschienen ist.

Achja und was auch noch nützlich sein könnte: Ich hab mir den Virus wahrscheinlich bei der letzten Lan-Party eingefangen.

Hier noch der Hijack Log (hoffe dass es der richtige ist):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:09:18, on 31.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
D:\program files\mozilla firefox\firefox.exe
C:\Users\andi\AppData\Local\Temp\pdfupd.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: softonicen Toolbar - {d6902984-559d-4d30-83ba-6315d7c84cd1} - C:\Program Files\softonicen\tbsoft.dll (file missing)
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windo ws\system32\sdra64.exe,
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: &Security Update - {C73FD00D-A099-405C-92B4-8997710D187D} - C:\Windows\System32\win32extension.dll
O2 - BHO: softonicen Toolbar - {d6902984-559d-4d30-83ba-6315d7c84cd1} - C:\Program Files\softonicen\tbsoft.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O3 - Toolbar: softonicen Toolbar - {d6902984-559d-4d30-83ba-6315d7c84cd1} - C:\Program Files\softonicen\tbsoft.dll (file missing)
O3 - Toolbar: Gutscheinmieze - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\andi\AppData\Roaming\Gutscheinmieze\toolb ar.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Steam] "d:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [FilterHost] C:\Users\andi\AppData\Roaming\mmserver\FilterHost. exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

--
End of file - 6211 bytes

[Paret]

Alter..... xD Du hast den Logfile nicht ganz richtig gemacht du musst alle programme beenden und dazu die Internet verbindungen sonst können "schein" viren auftreten bitte mach das nochmal Fals du es richtig gemacht hast sehe ich oben sachen die dort nicht hindüften...
und der logfile muss im windows betrieb gemacht werden nicht im Abgesicherten modus

[digi]

- Daten sichern
- Kaspersky AVP Tool laden und benutzen (soweit möglich) [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
- Avira Rescue CD laden, brennen, damit starten, Viren entfernen [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
- System neu installieren (Vom Internet die ganzen Updates ziehen, am besten per Router) Achja, am besten mit nem Original Windows oder eins aus einer Vertrauenswürdigen Quelle.. gibt auch verseuchte Windows CDs..
- Benutzer erstellen OHNE Adminrechte (Zur Täglichen Arbeit)
- Diesen Benutzer auch nutzen .. da jeder Programme (z.B.) den Webbrowser mit Adminrechten startet .. braucht man sich auch nicht zu Wundern das sich anschliessend Viren mit Admin-Rechten am System austoben..
- Von dem fertigen System (incl. Treiber, Einstellungen, Virenscan) ein Backup machen (Ghost, True Image) Erspart Dir bei einem erneuten Befall die Arbeit des Neuinstalls..

Zum Spielen, Surfen, Brennen, Musikhören, Videos schauen braucht keiner Admin Rechte..
Wer die doch braucht, hat Minderwertigkeitskomplexe..

[Chacarron]

Ich kann ja nichtmal in den Windows Betrieb! Mein Pc lässt sich NUR NOCH im abgesicherten Modus starten.

Naja, ich hab mittlerweile wieder näheres herausgefunden:
Der Virus war tatsächlich diese Personal Security. Es handelt sich um ein Rogue Antispyware, das sich von allein installiert und vorgibt, dass der Rechner von Viren befallen ist und so zum kauf der Software zwingen will. Außerdem blockt es sämtliche Antivirusprogramme.
Jetzt hab ich es geschafft, dass es diese nicht mehr blockt und habe ihn anscheinend mithilfe von Superantispyware gelöscht, aber mein Pc lässt sich immer noch nicht normal starten! Hab sämtliche Google Einträge durchgelesen und viele Programme getestet, aber keins hat geholfen.

Wie kann das sein? Jetzt weiß ich echt nicht mehr weiter...

[gosha16]

Mein Gott, is doch klar was zu tun is! Setz dein System neu auf, aber hurtig!

//Close