Virus o.o?

X

xNewt

Registered User
Hallo zusammen ,
Ich habn Virus auf meinen PC ... das mein Viren Programm nicht beseidigen kann.
Dieser Virus öffnet sich mit Internex Exp und zeigt Werbung etc. an.
Hab schon adwares runtergeladen aba geht nicht weg .

Habt ihr vllt. eine Idee?
Danke schon mal :[
 
Code: 
Logfile of HijackThis v1.99.1
Scan saved at 21:42:51, on 27.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gold Codec\isamonitor.exe
C:\Programme\Gold Codec\pmsngr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gold Codec\pmmon.exe
C:\Programme\Gold Codec\isamini.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ErrorSafe Free\UERScw.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hofmann\LOKALE~1\Temp\Rar$EX00.186\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Hofmann\LOKALE~1\Temp\ERS16.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = [url=http://search.bearshare.com/search/index.html?src=ssb]Search[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url=http://search.bearshare.com/search/index.html?src=ssb]Search[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://search.bearshare.com/search/index.html?src=ssb]Search[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.google.de/]Google[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url=http://search.bearshare.com/search/index.html?src=ssb]Search[/url]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Programme\Gold Codec\isaddon.dll
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~1\MediaBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O3 - Toolbar: Protection Bar - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - C:\Programme\Gold Codec\iesplugin.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Error Safe Free] C:\Programme\ErrorSafe Free\uers.exe /scan
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - [url]http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab[/url]
O16 - DPF: {A2E05F45-F127-4092-B9F7-9A02C3E04C77} (HGPlugin7USA Class) - [url]http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin7USA.cab[/url]
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - [url]http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab[/url]
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
MOD: Code-Tags gesetzt.
Bilder bitte immer als Anhang.
 

Attachments

  • av.JPG
    av.JPG
    12.2 KB · Views: 131
Last edited by a moderator:
Hallo.

3 simple Dinge auf deinem Windows-Rechner installieren:
- AntiVir XP
- Firewall (z.B. ZoneAlarm)
- Firefox

Und schon machts Surfen wieder Spaß.
Die Programme sind kostenlos erhältlich.
 
Hallo

Was man noch als Virenscanner nutzen kann ist der Active Virus Shield (naja eigentlich ist es ja der Kaspersky unter anderem Namen) den es mom. bei AOL gratis gibt... Du eine email Adresse eingeben und dein Freischaltcode für ein Jahr bekommen....
 
uhm =I.
Bin immer noch net weiter gekommen.... .
Das Kaspersky Anti-Virus 6.0 will mein Anti Vir runter haun und das möcht ich eig. nicht.
Und zu v40 : tut mir leid versteh ich nicht ganz
 
Hallo,

der Virus steckt in der Datei namens "iexpand.exe".
Die findest du in deinem System-Ordner :
By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
Click to expand...
Die Datei bitte löschen.

Dann gehst du in den Regestrie Editor und suchst nach dem Schlüssel :
Code: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dort findest du ebenfalls einen Eintrag mit der Datei "iexpand.exe", diesen einen Eintrag entfernst du dann.

Dann solltest du deine Antiviren Software aktualisieren und den ganzen Rechner untersuchen.

Im übrigen handelt es sich hier bei um einen Trojaner, also noch ein wenig abstossender al ein Virus ;)
 
NEIN auf keinen Fall den ganzen Ordner löschen.

Durchsuche deine Registry nach "iexpand.exe" und lösche alle Einträge die mit dem Trojaner zusammenhängen.
 
Hallo.

Ich würde es so machen: falls der PC noch einigermaßen läuft...
Anti-Virenprogramm updaten, PC neustarten.. in abgesicherten Modus (F5 oder F8) und dann im abgesicherten Modus den Virus entfernen.
Falls du ansonsten einen zweiten PC hast könntest du auch die Platte ausbauen und direkt über den anderen PC suchen.
 
yo der läuft eig. noch supi aba wie gesagt immer geht der scheiss inet explorer auf und kommen solchen drecks werbungs seiten >.<!
 
Last edited by a moderator:
Ob es "wirklich" hilft weiß ich nicht.. aber Klick mal auf Start -> Ausführen.
Dann gib dort "msconfig" ein und drück Enter.

Unter Systemstart, siehst Du dann einen Überblick von Programmen die beim Windowsstart ausgeführt werden. Also im Grunde das was in der Regi an der Stelle steht die v40 schon beschrieb, nur ein wenig "grafischer". Guck einfach mal ob Dir da ein Eintrag merkwürdig vorkommt. Falls ja, lass diesen nicht mitstarten.

Was mich noch in dem Hijack Log wundert, ist die "Explorer.EXE".
Versteh mich nicht falsch, erstmal NICHT löschen. Nur ist für mich eine groß geschriebene Dateiendung meist ein Hinweis auf Virus. Normalerweise läuft der explorer meins wissens als komplett klein geschriebene exe.
 
Systemstart hab ich schon geschaut is nix merkwürdiges.
Ich mein is Inetexplorer eig. wichtig? Ich benutz eh mozilla .
 

Attachments

  • av3.PNG
    av3.PNG
    34.7 KB · Views: 131
"Wichtig" im Grunde nicht, solange Du ihn nicht benutzt.
Aber nur weil ein Virus sich dahingehend bemerkbar macht das er IE Fenster öffnet, heißt es NICHT das dies das Einzige ist was er im Hintergrund macht. Es ist also nicht damit getan den IE einfach zu ignorieren, der Virus macht trotzdem weiter seinen Kram. Und das kann im zweifelsfall das verschicken von Spam sein, deine Passwörter ausspionieren und Daten löschen.

Hast Du mal Spybot drüber laufen lassen?
 
yo habsch grad.

69 Probleme behoben sagt Spybot kA ob das jetz weg ist =(
 
Last edited by a moderator:
Hast du meinen Rat mal befolgt?
Lass doch wirklich mal einen Antivirus und so was wie SpyBot oder Adaware im abgesicherten Modus drüberlaufen.
Meist gibt es sonst Probleme im normalen Betrieb beim Entfernen des Bösewichts.

Good Luck!
 
MOD: Full-Quote entfernt!

Hab ich schon gemacht nix gefunden ... ;[

aww der virus is weg thx @ all ;)
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top