Virus oder defekte XP-Dateien oder was, bitte?

problemkind_58cf44 · 7. September 2008 um 11:35

Hallo und guten morgen…
ihr seid meine letzte Hoffnung…
Mein Windows XP spinnt seit mehreren Tagen (seit ich versucht habe „Chrome“ runterzuladen)rum. Ich vermute es handelt sich um einen Virus.
Kann so gut wie keine EXE-Dateien mehr öffnen, keinen Browser, kein Outlook-express, keine Systemeinstellungsoptionen, außerdem kann ich keine Systemwiederherstellung vornehmen. Ansonsten kann ich „normal“ arbeiten…keine Abstürze oder so. Im „abgesicherten Modus“ funktioniert alles soweit. Habe diverse Virenscans vorgenommen (Dr. Web hat als einziger 2 DLoader-Viren gefunden), die anderen haben gar nix gefunden.
Habe einen Hijack-Log erstellt, den ich HIER mitsende. Ich selber weiß nicht, was ich mit der Log-datei tun soll, bzw. erkennen kann. Bitte dringend um Hilfe…bin jetzt über einen anderen Rechner online gegangen.

Log-Datei:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:32:44, on 05.09.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\HijackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [NI.UERSU_9999_N91S2009] „C:\Dokumente und Einstellungen\Thomas\Desktop\ErrorSafeGermanNewReleaseInstall.exe“ -nag
O4 - HKLM…\Run: [QuickTime Task] „D:\Programme\Quick Time-Apple\qttask.exe“ -atboottime
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM…\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Programme\Java\jre1.6.0_07\bin\jusched.exe“
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] „D:\Programme\Acrobat Reader\Reader\Reader_sl.exe“
O4 - HKLM…\Run: [Spamihilator] „D:\Programme\Spamihilator\spamihilator.exe“
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU…\Run: [UnHackMe Monitor] D:\Programme\UnHackMe\hackmon.exe
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚Default user‘)
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP Deskjet F300\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Photo-Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‚Tools‘ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MySQL4 - Unknown owner - E:\SQL\bin\mysqld-nt (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

–
End of file - 3951 bytes

ExNicki_99e239 · 7. September 2008 um 12:20

Hi

ihr seid meine letzte Hoffnung…
Mein Windows XP spinnt seit mehreren Tagen (seit ich versucht
habe „Chrome“ runterzuladen)rum. Ich vermute es handelt sich
um einen Virus.
Kann so gut wie keine EXE-Dateien mehr öffnen, keinen Browser,
kein Outlook-express, keine Systemeinstellungsoptionen,
außerdem kann ich keine Systemwiederherstellung vornehmen.
Ansonsten kann ich „normal“ arbeiten…keine Abstürze oder so.
Im „abgesicherten Modus“ funktioniert alles soweit. Habe
diverse Virenscans vorgenommen (Dr. Web hat als einziger 2
DLoader-Viren gefunden), die anderen haben gar nix gefunden.
Habe einen Hijack-Log erstellt, den ich HIER mitsende. Ich
selber weiß nicht, was ich mit der Log-datei tun soll, bzw.
erkennen kann. Bitte dringend um Hilfe…bin jetzt über einen
anderen Rechner online gegangen.

O4 - HKLM…\Run: [NI.UERSU_9999_N91S2009] „C:\Dokumente und
Einstellungen\Thomas\Desktop\ErrorSafeGermanNewReleaseInstall.exe“
-nag

fix den mal im hijackthis, das ist eins der bösen Progis

aber du hättest mehr als Glück, wenn es damit getan wäre.
Versuch mal mit dieser bootbaren CD, dein System zu scannen:
http://www.free-av.de/de/tools/12/avira_antivir_resc…

das hat den Vorteil, das du ein inaktives System scannst, und Trojaner und Co weniger Chancen haben, sich zu versteckten. Je nachdem, was noch gefunden wird, solltest du einen neunen Thread im Brett „Viren, Spam & Dialer“ posten.

Gruss
ExNicki

problemkind_58cf44 · 7. September 2008 um 18:18

Hallo ExNicki,
vielen, vielen Dank für deine schnelle Antwort und Hilfe.
Habe die „obskure exe-Datei“ nach deinen Angaben mit HiJackthis „gefixt“. Neue Log-Datei anbei.
Habe ebenso das „antivir-rescue-programm“ runtergeladen und damit gebootet. Hat leider NICHTS gefunden (lediglich 5 Warnungen. Eine Log-datei konnte nicht auf Diskette speichern, da angeblich der Datenträger (eine leere Diskette!!) nicht genügend Speicherplatz habe (??). Ich meine gelesen zu haben, das es eine tmp-datei mit der aktuellen Logfile gibt…habe sie aber nirgends gefunden.

Erstaunlich ist auch, das ich im Bios im Boot-Device die Bootreihenfolge nicht mehr verändern kann. Er bootet jetzt in folgender Reihenfolge:

Other Boot Devices
CD
IDE-Hard Disk (ist aber disabled)
Floppy
Das kommt mir alles irgendwie seltsam vor.
Wär’ super, wenn Du noch irgendeine Idee hättest.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:09, on 07.09.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\HijackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM…\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Programme\Java\jre1.6.0_07\bin\jusched.exe“
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [UnHackMe Monitor] D:\Programme\UnHackMe\hackmon.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚Default user‘)
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP Deskjet F300\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Photo-Loader\Plauto.exe
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MySQL4 - Unknown owner - E:\SQL\bin\mysqld-nt (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

–
End of file - 3001 bytes

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

ExNicki_99e239 · 7. September 2008 um 18:42

Hi

vermeide bitte, immer den ganzen vorherigen Text zu quoten. Sonst müssen wir spätestens bei der 3. Antwort einen Meter nach unten scrollen.

vielen, vielen Dank für deine schnelle Antwort und Hilfe.
Habe die „obskure exe-Datei“ nach deinen Angaben mit
HiJackthis „gefixt“. Neue Log-Datei anbei.

D:\Programme\HijackThis.com
dieser Eintrag kommt mir zumindest seltsam vor.
hijackthis hat von haus aus keine Datei mit der Endung „com“
lad diese Datei mal zu einem Online-Virenscanner hoch, zB hier
http://virusscan.jotti.org/de/

Erstaunlich ist auch, das ich im Bios im Boot-Device die
Bootreihenfolge nicht mehr verändern kann. Er bootet jetzt in
folgender Reihenfolge:

Other Boot Devices

CD

IDE-Hard Disk (ist aber disabled)

Floppy
Das kommt mir alles irgendwie seltsam vor.

mir auch, nur hat das nichts mit Viren zu tun. Mir ist kein Virus bekannt, das die Bootreihenfolge im BIOS blockieren könnte. ändere mal die Bootreihenfolge im BIOS selbst

Gruss
ExNicki

problemkind_58cf44 · 7. September 2008 um 19:19

Hi exnicki

HiJack.exe wurde von MIR in .com umbenannt, damit ich das Programm überhaupt öffnen konnte.

Habe mich bzgl. der Bootreihenfolge offensichtlich etwas unklar ausgedrückt. Ich kann eben nicht im BIOS die Bootrehenfolge ändern…das ist es ja.

Hast Du noch irgendeine Idee?

ExNicki_99e239 · 7. September 2008 um 21:53

Hi

HiJack.exe wurde von MIR in .com umbenannt, damit ich das
Programm überhaupt öffnen konnte.

Habe mich bzgl. der Bootreihenfolge offensichtlich etwas
unklar ausgedrückt. Ich kann eben nicht im BIOS die
Bootrehenfolge ändern…das ist es ja.

Hast Du noch irgendeine Idee?

langsam gehen dieselben mir aus
kannst du überhaupt was im BIOS ändern?

Gruss
ExNicki

problemkind_58cf44 · 8. September 2008 um 11:20

Ja…ich kann die Auswahl treffen (Enabled, Disabled, etc.)
ABER…die Bootreihenfolge nicht, weder mit +/- noch mit Bildlauf.
Kann es vielleicht sein, das einfach nur ein paar Windows-Dateien kaputt sind?

ExNicki_99e239 · 8. September 2008 um 11:40

Ja…ich kann die Auswahl treffen (Enabled, Disabled, etc.)
ABER…die Bootreihenfolge nicht, weder mit +/- noch mit
Bildlauf.
Kann es vielleicht sein, das einfach nur ein paar
Windows-Dateien kaputt sind?

nein, weil Windows nichts mit dem BIOS zu tun hat.
Zu dem Zeitpunkt, wo du im BIOS die Bootreihenfolge bestimmst, ist Windows noch gar nicht aktiv.
Zeigt dir das BIOS denn in dem kurzen Screen alle Laufwerke an?
Sonst hilft es vllt, ein BIOS-Reset zu machen

Gruss
ExNicki

problemkind_58cf44 · 8. September 2008 um 14:51

Nein, er zeigt nicht alle an.
Wie mache ich denn ein BIOS Reset?

ExNicki_99e239 · 8. September 2008 um 17:16

Nein, er zeigt nicht alle an.
Wie mache ich denn ein BIOS Reset?

indem du auf dem Motherboard einen kleinen Jumper, meist in der Nähe der Batterie umsteckst, eine Viertelstunde wartest und dann wieder zurücksteckst. Er ist meist mit Clear CMOS oder Reset CMOS beschriftet
Findest du keinen solchen, kannst du auch die Batterie selbst für eine Viertelstunde ausbauen. Dass der PC vorher vom Strom genommen wird, ist klar. Nicht nur, dass du dann weniger gefährlich lebst, er hält unter Strom auch das Rom des BIOS aufrecht, trotz ausgebauter Batterie.

Gruss
ExNicki