Virus, Wurm oder Trojaner ...HILFE!

Hallo!

Ich habe einen Virus, Wurm Trojaner oder ähnliches auf meinem Rechner. ICh habe versucht eine Lösung durch googlen zu finden.

Erstmal versucht der Virus penetrant diese Seite zu öffnen:
http://main-scanner.com/2009/1/_freescan.php?aid=770…

und mir hierrüber
www.antispyware-review.info

ein Programm anzudrehen. Ich habe durch googeln herausgefunden, dass es sich dabei um eine Fake-Mircosoft Seite handeln soll und nicht dieses Programm geöffnet…

ICh habe auch schon Antivir, Spybot Search&Destroy, Ad-Aware und Stinger von der Chip.de Seite heruntergeladen und meine Festplatten prüfen lassen (Etliche Sachen wurden gefunden und gelöscht).

Leider besteht das Problem immer noch.

Weiss jemand aus den gegeben Infos was für ein Problem ich habe? Wie kann ich das Problem loswerden?

Für Hilfe wäre ich sehr dankbar

Gruss

Hier noch einige Screenshots die ständig auftauchen

http://img411.imageshack.us/img411/2430/virusmo0.jpg

http://img387.imageshack.us/img387/2397/virus2xl2.jpg

des weiteren steht unten rechts neben der Uhr noch „VIRUS ALERT“ und mein Wallpaper is auf einmal weiss…

Ich benutze Windows XP, Firefox…

Ich hoffe diese Angaben reichen aus.

Gruss

Hi Peter

Ich habe einen Virus, Wurm Trojaner oder ähnliches auf meinem
Rechner. ICh habe versucht eine Lösung durch googlen zu
finden.

ein Trojaner, sprich eine Variante von Smitfraud

ICh habe auch schon Antivir, Spybot Search&Destroy, Ad-Aware
und Stinger von der Chip.de Seite heruntergeladen und meine
Festplatten prüfen lassen (Etliche Sachen wurden gefunden und
gelöscht).

was zB?

Leider besteht das Problem immer noch.

klar, ist bei Trojaner fast normal, dass man nur den aktiven Teil erwischt.

Weiss jemand aus den gegeben Infos was für ein Problem ich
habe? Wie kann ich das Problem loswerden?

format c: und Windows neuinstallieren

Für Hilfe wäre ich sehr dankbar

sie sei dir gegeben

Gruss
ExNicki

PS: nur mal zur Abschreckung: folgende Einträge wurden bis jetzt als von smitfraud installiert gefunden, und das sind wahrscheinlich noch längst nicht alle:

DLLs
* wldr.dll
* param32.dll
* hhk.dll
* oleadm.dll
* oleadm32.dll
* dnr4019qe.dll
* oybgrql.dll
* atmtd.dll
* winetn32.dll
* ixt2.dll
* tazth.dll
* olnohdw.dll
* vtursro.dll
* ssqnool.dll

Daten
*
* drsmartload849a849m.exe
* drsmartload192a[1].exe
* dnr4019qe.dll
* bsw.exe
* helper.exe
* hookdump.exe
* intmon.exe
* intmonp.exe
* msmsgs.exe
* msole32.exe
* ole32vbs.exe
* popuper.exe
* wldr.dll
* param32.dll
* hhk.dll
* oleadm.dll
* oleadm32.dll
* shnlog.exe
* uninstiu.exe
* winhook.exe
* winstall.exe
* wp.exe
* zloader3.exe
* hp[X].tmp
* perfcii.ini
* sites.ini
* wp.bmp
* drsmartload45a45m.exe
* drsmartload46a46m.exe
* drsmartload45a7i.exe
* drsmartload46a7i.exe
* drsmartload849a7i.exe
* drsmartload.exe
* drsmartload45a7h.exe
* drsmartload46a7h.exe
* drsmartload849a7h.exe
* drsmartload46a[1].exe
* loader[1].exe
* drsmartload45a[1].exe
* drsmartload849a[1].exe
* drsmartload849a8b5.exe
* oybgrql.dll
* drsmartload45v.exe
* drsmartload46v.exe
* drsmartload849v.exe
* drsmartload100a[1].exe
* atmtd.dll._
* atmtd.dll
* drsmartload45a.exe
* drsmartload46a.exe
* drsmartload849a.exe
* drsmartload95a.exe
* drsmartload1.exe
* MTE3NDI6ODoxNg.exe
* drsmartload2.dat
* gwiz
* ntsystem.exe
* cprocsvc
* cproc.exe
* winetn32.dll
* ixt2.dll
* tazth.dll
* drsmartload44a[1].exe
* MTE3NDI6ODoxNgnew.exe
* MTE3NDI6ODoxNg[1].exe
* drmv2clt.exe
* drsmartload815a.exe
* olnohdw.dll
* vtursro.dll
* retadpu21.exe
* ssqnool.dll
* arpl.exe
* retadpu77.exe
* runner1

exe-Dateien
* hookdump.exe
* intmon.exe
* intmonp.exe
* bsw.exe
* helper.exe
* drsmartload46a7h.exe
* msmsgs.exe
* msole32.exe
* ole32vbs.exe
* popuper.exe
* shnlog.exe
* uninstiu.exe
* winhook.exe
* winstall.exe
* wp.exe
* zloader3.exe
* drsmartload45a45m.exe
* drsmartload46a46m.exe
* drsmartload849a849m.exe
* drsmartload192a[1].exe
* drsmartload45a7i.exe
* drsmartload46a7i.exe
* drsmartload849a7i.exe
* drsmartload.exe
* drsmartload45a7h.exe
* drsmartload849a7h.exe
* drsmartload46a[1].exe
* loader[1].exe
* drsmartload45a[1].exe
* drsmartload849a[1].exe
* drsmartload849a8b5.exe
* drsmartload45v.exe
* drsmartload46v.exe
* drsmartload849v.exe
* drsmartload100a[1].exe
* drsmartload45a.exe
* drsmartload46a.exe
* drsmartload849a.exe
* drsmartload95a.exe
* drsmartload1.exe
* MTE3NDI6ODoxNg.exe
* ntsystem.exe
* cproc.exe
* drsmartload44a[1].exe
* MTE3NDI6ODoxNgnew.exe
* MTE3NDI6ODoxNg[1].exe
* drmv2clt.exe
* drsmartload815a.exe
* retadpu21.exe
* arpl.exe
* retadpu77.exe

Registryschlüssel

* HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows CurrentVersionRunWindowsFY
* HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows CurrentVersionRunWindowsFZ
* HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows CurrentVersionRunmsn messenger
* HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows CurrentVersionExplorerBrowser Helper Objects{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}
* HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerMainDefault_Page_URL=[site address]
* HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerMainDefault_Search_URL=[site address]
* HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerMainSearch Bar=[site address]
* HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerMainSearch Page=[site address]
* HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerMainLocal Page=[site address]
* HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerSearchCustomizeSearch=[site address]
* HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerSearchSearchAssistant=[site address]
* HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerSearchURL(Default)=[site address]
* HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows CurrentVersionUninstallinternet update
* Search the Windows registry for {D5BC2651-6A61-4542-BF7D-84D42228772C} entry.HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWindowsFY
* FD2A7D3A-3DA1-4CA5-AD39-B4C3A72B567F
* MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\ssqnool
* MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\vtursro
* b292ec9f-a074-4115-8342-1f459702d8d2
* SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\b292ec9f-a074-4115-8342-1f459702d8d2
* Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\instcat
* Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\5f938c17-fbc7-4a3c-8526-85e5b1a1f762
* SOFTWARE\Policies\06849E9F-C8D7-4D59-B87D-784B7D6BE0B3
* Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\f31aee4a-1530-4fef-8537-79c6973bff9a
* Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\incestuously
* Microsoft\drsmartload2
* SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\64ba30a2-811a-4597-b0af-d551128be340
* SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\aea3d2df-2b2c-4d7b-81a0-d975c6dc088e
* SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\decorin
* 27321538-5739-4aa1-b84c-7d18e4383f1f
* 5f938c17-fbc7-4a3c-8526-85e5b1a1f762
* dfa61db1-388e-4c87-8d56-540fa229bcb4
* f31aee4a-1530-4fef-8537-79c6973bff9a
* 03413bf7-e34c-445b-bfc0-a2b127255871
* 19452E5B-963F-4886-766D-0526284B6F61
* 64ba30a2-811a-4597-b0af-d551128be340
* aea3d2df-2b2c-4d7b-81a0-d975c6dc088e
* ed39ecef-902e-4ed1-8434-71e8db89e5ca
* WMuse
* 5839511e-ec1b-4f91-ace3-fb88e52f5239
* f79fd28e-36ee-4989-aa61-9dd8e30a82fa
* D5BC2651-6A61-4542-BF7D-84D42228772Centry.
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallinternetupdate
* HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerSearchURL(Default)=[siteaddress]
* HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerSearchSearchAssistant=[siteaddress]
* HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerSearchCustomizeSearch=[siteaddress]
* HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainLocalPage=[siteaddress]
* HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainSearchPage=[siteaddress]
* HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainSearchBar=[siteaddress]
* HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainDefault_Search_URL=[siteaddress]
* HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainDefault_Page_URL=[siteaddress]
* FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmsnmessenger
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWindowsFZ

Danke für den Hinweis mit dem Formatieren.

Mein neues Proböem ist: Ich habe meine Festplatte partitioniert in Systempartition und Datenpartition.
Die Partition, wo das System ist (und die Dateien an denen ich grade arbeite) erscheint weder unter Arbeitsplatz noch ist sie im Explorer zu sehen. Ich kann also vor der Formatierung grade nichts brennen, keine Sicherungskopien machen.

Weiss jemand eine Lösung für mich?

lad dir Knoppix herunter, ein bootbares Linux auf CD und versuch, mit dessen Hilfe die Daten in Sicherheit zu bringen (aber keine ausführbaren Dateien)
kann auch Knoppix nicht auf die Platte zugreifen, kannst du noch versuchen, entweder mit testdisk die Partition zu reparieren oder mit einem Datenrettungsprogramm FAQ:116 die Daten in SIcherheit zu bringen. Das ist nicht ganz ungefährlich, weil dann Teile des Virus mitgerettet werden können.

Ich glaube aber eher, dass die Festplatte unversehrt ist und der Trojaner nur den Zugriff verhindert, und dann müsste es mit Knoppix klappen.

Gruss
ExNicki

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo

Ich habe das mit knoppix gemacht. Nur kenne ich mich mit linux leider gar nicht aus.

Ich habe eine externe Festplatte mal probehalber angeschlossen, weil ich gelesen habe beim Hochfahren dass USB ports aktiviert wurden. Es ging auch ein Fenster auf und ich konnte auf meine externe Festplatte zugreifen.

Mein Problem ist: Ich konnte nicht auf die interne partitionierte Festplatte zugreifen. Besser gesagt: Ich wusste nichtmal wie ich klicken muss um sie zu sehen. Ich hätte wenigstens erwartet die Partition zu sehen und darauf zugreifen zu können, die ich auch unter Windows sehe.

Wenn das so ähnlich wie Windows läuft hätte ich erwartet, dass sich unter „Desctop Access“ oder unter „Home: Personal Files“ etwas tut, aber es passierte nichts.

Die externe Festplatte tauchte als: Hard Disc (sda1) auf, automatisch.

Kannst du mir nochmal helfen?

es wäre super wenn ich einfach alle daten auf meine externe Festplatte kopieren könnte.

Gruss

Hi Peter

Ich habe das mit knoppix gemacht. Nur kenne ich mich mit linux
leider gar nicht aus.

das kann man ändern
hier gibt es Anleitungen und auch FAQs zu Knoppix:
http://www.knoppix.org/

Ich habe eine externe Festplatte mal probehalber
angeschlossen, weil ich gelesen habe beim Hochfahren dass USB
ports aktiviert wurden. Es ging auch ein Fenster auf und ich
konnte auf meine externe Festplatte zugreifen.

Mein Problem ist: Ich konnte nicht auf die interne
partitionierte Festplatte zugreifen. Besser gesagt: Ich wusste
nichtmal wie ich klicken muss um sie zu sehen. Ich hätte
wenigstens erwartet die Partition zu sehen und darauf
zugreifen zu können, die ich auch unter Windows sehe.

auch dazu gibt es bebilderte Anleitungen:
http://www.computerhilfen.de/info/video-anleitung-da…

Wenn das so ähnlich wie Windows läuft hätte ich erwartet, dass
sich unter „Desctop Access“ oder unter „Home: Personal Files“
etwas tut, aber es passierte nichts.

tja, Linux ist nicht Windows, auch wenn die Oberfläche ähnlich aussieht

Die externe Festplatte tauchte als: Hard Disc (sda1) auf,
automatisch.

die Bezeichnung der Platte ist sda, die 1. Partition ist sda1, die 2. sda2 usw. das bedeutet, dass die externe Platte eine Sata-Platte ist.
Die interne müsste, wenn sie noch IDE ist, die Bezeichnung hda1 haben, die 2. hda2 ausser es ist eine erweiterte Partition, die beginnen mit 5, also hda5.
hda1 ist die Partition, die du brauchst, und die c: unter Windows entspricht. Gibt es die nicht, hat auch Knoppix Probleme, die Platte richtig zu erkennen. Dann musst du doch mal testdisk bemühen.

es wäre super wenn ich einfach alle daten auf meine externe
Festplatte kopieren könnte.

wenn die Platten alle normal ansprechbar sind, dürfte das für Knoppix kein Problem sein.

Gruss
ExNicki