Virus W32.sillyfdc

Vorweg. Ich bin ein reiner User und kein PC Profi. Bitte daher mögliche Anfängerfehler oder Formulierungen zu verzeihen.
Gestern hat nach Einstecken eines USB Sticks Norton W32.sillyfdc erkannt und später auch entfernt.
EIn Systemscann ergab dann keinen Befall mehr. Jedoch sind auf meinem PC seitdem seltsame DAteien. Auf dem Desktop war eine grau hinterlegte DOC Datei ~luftballon.doc (keine Ahnung was die soll), ich konnte die aber löschen und auch noch ein paar andere unbekannte Dateien.
In meiner Hauptverzeichnis finden sich diverse 0Byte Dateien autoexec.bat, config.sys, ........
Außerdem ist z. B. der Ordner Programme 2mal vorhanden, einmal mit einem kleinen Pfeil versehen und dieser ORdner kann von mir nicht geöffnet werden (kann nicht zugegriffen werde, Zugriff verweigert..)
Ich habe dann noch einmal Ariva drüberlaufen lassen (kein Fund) und dann Kapersky, dieser fand: 11.11.2009 00:32:26 File: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\CLT\cltLMSx.dll//PE_Patch detected new variant of Trojan program 'Packed.Win32.Morphine.a'
11.11.2009 00:32:26 File: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\CLT\cltLMSx.dll//PE_Patch not disinfected postponed
Da ich nicht wusste, ob dies evtl. eine Fehlmeldung ist, habe ich erstmal nichts unternommen.
Ansonsten merke ich beim Nutzen des PCs nichts. Ist der Virus jetzt weg und die seltsamen Veränderungen stören nicht oder schlummert bei mir ein Schädling ?
Ein Neuaufsetzen wäre für mich als Laie kein einfaches Unterfangen.
Anbei ein Logfile von Hijackthis....
Vielen Dank im Voraus !

 

Aus Sicherheitsgründen sollte der Autorun deaktiviert werden.
Anleitung findest du in diesem Forum.

 

Deoroller !
Das habe ich auch schon gefunden. Ich bekomme es aber nicht hin. Wenn ich den dort angeführten BEfehl unter Start einfünge und die Eingabetaste drücke, passiert nichts.
Das ist ein wichtiger Hinweis wie ich künftige INfektionen auf diesem Wege verhingere (bekomme es leider nicht hin, bleibe aber am Ball).
Was ist denn mit dem aktuellen Virenproblem ?
Kann mir da jemand helfen ?

 

Lassen sich regedit und Taskmanager aufrufen? Die werden gerne von Trojaner und Rootkits deaktiviert. Du kannst dann auch mal mit Malwarebytes' Anti-Malware scannen. Das ist ganz gut im Aufspüren von schädlichen Registryeinträgen.

 

....erschien zwar nicht sofoft im Vordergrund (wie sonst), aber wenn ich alle Fenster geschlossen habe, ist er da.
Unter Dienste fand ich nur für mich unbekannte Einträge (aber ich sehe sie mir sonst nicht so genau an), z. B. DCOM ServerProzessstart oder Sams Sicherheitskonto Manager (sagt das jemand was...?).

Die regedit lässt sich öffnen !

Ist mein angehängter Scan in Ordnung ?

Danke !

 

>z. B. DCOM ServerProzessstart oder Sams Sicherheitskonto Manager (sagt das jemand was...?).

Das sind benötigte Windows Dienste. Mal in Ruhe lassen, solange du nichts näheres über sie weißt
http://www.pcwelt.de/start/software_os/vista/praxis/140600/vista_dienste_aufraeumen/

Wenn du den Firefox benutzt und nicht den IE kann das weg:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
[COLOR="Red"]O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll[/COLOR]
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.0.0.136\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.0.0.136\IPSBHO.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.0.0.136\coIEPlg.dll
[COLOR="Red"]O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin[/COLOR]\[B][COLOR="Red"]askBar.dll[/COLOR][/B]
[I]Wird bei manchen Programmen (z.B. Nero) mit installiert. Könnte man als Adware bezeichnen.[/I]
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www1.uploadserver.info/premium/uploader/ImageUploader4.cab

 

....dann hoffe ich mal, dass die Veränderungen an meinem System nichts Schlimmes bedeuten....!

 

HijackThis legt Sicherungen der Einträge an. Die können über "View the List of Backups" wiederhergestellt werden, wenn es nötig ist.

Du musst auch nicht alles Zitieren. Fullquotes werden hier nicht gerne gesehen.

 

empfohlenen Programmen gescannt. Es wurde jedoch nichts gefunden.
Ich habe aber immer noch z. B. die 2 Ordner Dokumente und Einstellungen und Documents and settings (immer wieder kommen ordner jetzt 2 sprachig in doppelter variante vor).
Das unangenehme ist, ich habe keinen zugriff mehr auf meinen ordner dokumente und einstellungen.
gibt es hier einen profi, der tipps zur abhilfe geben kann ?

...danke deoroller für deine hinweise...!

 

Versuche mal den Besitz zu übernehmen.
http://support.microsoft.com/kb/308421/de
edit: bei Vista http://www.wintotal.de/Tipps/index.php?id=1311

 

werde ich ausprobieren. Wird bei mir als Anfänger lange dauern.....!

Kennt jeman einen Ordner Panther under c:\windows ? Der Ordner sieht seltsam aus und enthält dateien, die datumsmäßig alle am "befallstag" ausgewiesen sind....
im taskmanager finde ich under Prozesse: "sink to receive asynchronous callbacks for wmiclient application" Ist das normal ?
Mein Rechner war heute nach dem botten fast eine 1/4 stunde saulangsam und kaum benutzbar.
Jetzt läuft er aber wieder....
Ich traue dem Braten noch nicht ganz !
.....falls noch irgendjemand irgendeinen Tipp hat, bitte posten ! Danke !

Die Ordner Dokumente und Einstellungen und die englische Variante sind beide mit einem kleinen blauen Pfeil gekennzeichnet.....

 

Kopiere das mal nach Google: "sink to receive asynchronous callbacks for wmiclient application"

Den Ordner mit Inhalt würde ich mal auf eine andere Partition verschieben. Wenn dabei eine Datei nicht verschoben werden kann, hat noch ein Prozess Zugriff darauf. Dann kannst du mit Unlocker http://ccollomb.free.fr/unlocker/ feststellen und gucken ob er ungefährlich ist. Die PID ist das Identifikationsmerkmal, um den Prozess im Taskmanager oder besser Prozess Explorer http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx zu finden.

 

den Ordner Dokumente und Einstellungen konnte ich verschieben, aber seltsamerweise ist er auf dem Ziellaufwerk dann verschwunden !
..unlock zeigt bei den gesperrten ordnern nichts an.
ich kann die berechtigungen für diese gesperrten ordner auch nicht freigeben, am ende heißt es im, vorgang kann nicht durchgeführt werden.
besitz konnte ich auch nicht übernehmen...
den autostart für usb konnte ich auch noch nicht wegbekommen.....

 

"Panther" meine ich. "Dokumente und Einstellungen" würde ich da lassen, wo er ist. Bei einem Neustart kann es sonst böse enden.

 

jetzt habe ich documents and settings verschoben....
und finde es nicht wieder......

 

Ordner Dokumente und Einstellungen zu finden ?
Die beiden Ordner mit kleinem PFeil sind ja alle mit 0 Byte (also leer) ausgewiesen. Irgendwo muss ich doch einen richtigen Ordner mit dem Namen haben.
Bei Programme habe ich auch einen mit Pfeil und einen wo ich reinkomme, mit den üblichen Programmen !

 

Das habe ich noch nicht erlebt. Also den Speicherort von "Eigene Dateien" kann man über Rechtsklick auf das Symbol fest legen.

Du kannst mal das versuchen
Path-Variablen werden nicht mehr richtig aufgelöst
http://www.winfaq.de/faq_html/Content/tip1000/tip1054.htm

 

muss mir wohl professionelle Hilfe holen. Kann man irgendeine Kette z. B. Atelco empfehlen ?
Hatte jetzt beim neubooten blauen bildschirm und dachte schon es wäre aus, bin dann aber durch alte konfiguration....wieder reingekommen, hat aber ewig gedauert.
habe jetzt schiss nochmal zu booten
muss ich aber wohl mal.
wuesste mal gerne wo der ordner "dokumente und einstellungen" ist.
Danke für die Tipps !

 

ich den ordner nicht finde, der heißt unter vista benutzer....
das virus hat mir xp ordner reingehauen, die 0 byte groß sind, einen blauen pfeil haben und nicht zu öffnen sind.
und das verschieben des einen vorhin, hat wohl den beinahcrash verursacht.
was bezwecken diese neuen ordner nur ?
seltsames teil !

 

Über die Umgebungsvariable kannst du den verschwundenen Ordner möglicherweise wiederfinden.
http://www.winfaq.de/faq_html/Content/tip0000/tip0328.htm