Virus kann nicht entfernt werden

hallo liebes forum,

ich hab folgendes Problem:

Seit einigen tagen hab ich die meldung das F-prot einen virus bei mir findet aber das dieser nicht entfernt werden kann, diese meldeung taucht alle 5 sekunden auf und dies kann ziemlich nervig sein!

Somit habe ich dann einen Test bei F-prot durchlaufen gelassen,16 hat er gefunden und 2 davon konnten nicht gelöscht werden.

wie könnte ich diesen Virus den wegbekommen???


schonmal danke im vorraus

 

Hallo pLaYYa

In welchem Pfad wurde der Virus gefunden, der sich nicht löschen lässt?

Gruß
Nevok

 

Die Logdateien von RSIT werden dann auch noch gebraucht.
http://www.pcwelt.de/forum/sicherhe...12-malwarebefall-posten-bitte-abarbeiten.html

 

also es ist in folgendem ordner: C:\\Windows\SysWOW64\

Dateiname: fccdecBr.dll




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:40, on 17.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\AASP\1.00.59\aaCenter.exe
C:\Program Files (x86)\KGB\MPK.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\ICQ6.5\ICQ.exe
C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe
C:\Users\Johann\AppData\Roaming\cogad\cogad.exe
C:\Users\Johann\AppData\Roaming\Twain\Twain.exe
C:\Program Files (x86)\VnrPack\VnrPack24.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files (x86)\1&1\1&1 SoftPhone\IPPHONEUI.EXE
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
C:\ProgramData\Skype\Plugins\Plugins\903CB56BA52F42478957BE8314837A86\PamelaPCR.exe
C:\Program Files\Mozialla\firefox.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: CPV - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files (x86)\WebShow\WebShow.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\Windows\SysWow64\fccdecBr.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Program Files (x86)\Mjcore\Mjcore.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Program Files (x86)\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\fccdecBr.dll,#1
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [NBCore] "C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBCore.exe"
O4 - HKCU\..\Run: [cogad] "C:\Users\Johann\AppData\Roaming\cogad\cogad.exe" 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [Twain] C:\Users\Johann\AppData\Roaming\Twain\Twain.exe
O4 - HKCU\..\Run: [VnrPack24] "C:\Program Files (x86)\VnrPack\VnrPack24.exe"
O4 - HKCU\..\RunOnce: [1&1_1&1 SoftPhone] "C:\Program Files (x86)\1&1\1&1 SoftPhone\IPPHONEUI.EXE" /hide
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Program Files (x86)\KGB\Mpk.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files (x86)\Microsoft Office\Office\OSA9.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\ProgramData\1&1\1&1 SoftPhone\ContextMenuHandler.html
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - C:\Program Files (x86)\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files (x86)\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files (x86)\EA Games\Need for Speed Undercover\PB\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9316 bytes

 

Das sieht schlecht aus. Der PC hat sich offensichtlich in einen Zombie http://de.wikipedia.org/wiki/Zombie-PC verwandelt und da gibt es nur noch eine sichere Lösung. (Plattmachen) http://de.wikipedia.org/wiki/Technische_Kompromittierung

 

Würde es den reichen wnen ich einfach nur c formatiere und damit d erhalten bleibt? oder muss ich sie komplett platt machen???

thx

 

Sollte reichen, allerdings D unbedingt einem Virenscan unterziehen und solange dort keine Dateien öffnen.

Kannst dann ja auch noch mal einen Gegencheck mit einem Onlinevirenscanner machen.

http://housecall.trendmicro.com/de/

Es besteht ja die Möglichkeit, dass du auf D etwas abgespeichert hast das verseucht ist. Wenn du Systemwiederherstellungen bzw Systemwiederherstellungspunkte auf D gespeichert hast, solltest du die am besten auch löschen.

 

Sicherheitshalber kann man noch den Bootsektor reparieren lassen mit fixmbr über die Wiederherstellungskonsole. Dann sollte man besonders auf Wechseldatenträger (USB-Sticks, USB-Platten, Cardreader) achten, die mit dem PC in Kontakt waren. Über die Autostartfunktion können Schädlinge wieder automatisch auf den PC kommen.

 

also am besten wäre c neu formatieren? hab ich das richtig verstanden?

dann mal noch so ne kleine frage nebenbei....ich hab mir jetz vor paar tagen games aufn pc gemacht und wenn ich c jetzt neu formatiere, ist es dann irgendwie möglich das ich meine savegames kopiere uns später von dem spielstand wieder weiter zocken kann???

 

Jedes Spiel sichert seine Daten- du musst nur finden wo die Saves landen- da hilft dir sicher Google weiter

 

okay thx...das heißt also ich kann diese savegames einfach auf en stick machen und später wieder in diesen ordner reinkopieren???

 

Die Spieledaten (savegames) werden bei den meisten neueren Games auf C: gespeichert, somit besteht auch die Möglichkeit das sich dort Schädlinge eingenistet haben. Zur Sicherheit diese Daten auf einem externen Datenträger sichern, wie zb. auf CD oder USB-Stick - diese kannst du dann vor dem wiedereinfügen scannen lassen, am besten durch einen Onlinescanner, da dieser mehre Programme nutzt!
Solltest du Game-Cracks benutzt haben, oder evtl. Game-Trainer aus Dritt-Quellen, sind diese Daten mit besonderer Vorsicht zu behandeln.

Gruß kingjon

 

ja, die Möglichkeit eines Befalls ist gering- aber ich würd sie trotzdem ordendlichst durchscannen...

 

so hab den rechner jetzt neu formatiert und hatte in nem anderem forum gelesen das man den systemordner von thunderbrid einfach kopieren soll und ihn später durch den neu installierten ersetzen soll, somit hätte man dann wieder seine emails gesichert un kann thunderbird mit den eingestellten konten und funktionen von vorher nutzen...

doch irgendwie hat das nicht hingehauen...

hatte den systemordner von thunderbrid auf d gespeichert...habe ich jetz noch irgend eine möglichkeit meine mails wiederherzustellen???

 

Ich hätte das mit Mozbackup gemacht.
Aber ehrlich gesagt, benutze ich Outlook (noch).

Du kannst mal gucken, ob nichts vergessen wurde:
http://www.thunderbird-mail.de/wiki/Die_Dateien_im_Profil_kurz_erkl%C3%A4rt

 

Aber auf jeden Fall auch nach Viren usw. scannen, in den Anhängen kann sich sonstwas befinden!

Gruß kingjon

 

Bei Thunderbird sollte man da aufpassen.
http://www.thunderbird-mail.de/wiki/Antivirus-Software_-_Datenverlust_droht!

 

ja thx nochmals hab ich alles schon gemacht...

würde nur gerne wissen ob ich die mails von thunderbrid wieder rücksichern kann...

der link von eben hat mir leider nicht viel weiter gehoffen...kenne mich da nicht so aus!