Virusproblem

Hallo zusammen!
Heute habe ich das Service Pack 3 update installiert und gleichzeitig ad aware (seit längerem nicht benutzt gehabt) geupdatet. Währenddessen bin ich im Internet gewesen und bin auf ein aufpoppendes "Virenscanprogramm" reingefallen und habe mir dadurch den hier schon diskutierten "You have got a security problem!" Virus eingefangen. Nach Lesen der Beiträge dachte ich zunächst das es mir gelungen sei das Problem zu beheben weil die Virenwarnungssystemeldung und auch das rote Schild bei der Programmanzeige neben der Uhr (sorry für mein PC-Laiendeutsch....) verschwunden waren. Ich habe allerdings seit dem einen anderen Befund: Über den Startbutton kann ich Arbeitsplatz und Systemsteuerung nicht mehr aufrufen!! Hängt das mit dem Virus evtl zusammen?`Oder ist da was schief gelaufen mit dem Service Pack 3 installieren?
Hab nun ein Hijackthis-File hergestellt welches ich anhänge. Vielen Dank für schnelle Hilfe (PC platt machen wäre keine große....)

Holger

 

Hallo Viruscompi

Den folgenden Eintrag fixen:

• O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll

Aktualisiere bitte auch dein Java Runtime Environment. Aktuell ist JRE 6.0 Update 7. Erhältst du eine Fehlermeldung, wenn du versuchst, den Arbeitsplatz bzw. die Systemsteuerung aufzurufen? Wenn ja, wie lautet diese?

Gruß
Nevok

 

Du benutzt Opera. Da sind eine Menge Einträge überflüssig, die nur den IE betreffen:

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metager2.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Wer seine Nutzungsgewohnheiten nicht preisgeben will, legt besser den Google Updater Service still und meidet Anwendungen von Google, Yahoo und anderen, die regelmäßig nach Hause telefoniert.

Java von Sun ist veraltet, trotz SunJavaUpdateScheduller im Autostart.
Wird der vielleicht von ZoneAlarm blockiert?
http://www.pcwelt.de/forum/1629471-post5.html

 

Viele Dank Nevok,

hab die entsprechende Zeile gefixt und den rechner gebootet. danach ging der aufruf von arbeitsplatz und systemsteuerung wieder problemlos. (java hab ich dann auch geupdatet...)
zuvor gab es auch keine fehlermeldung. nur die sanduhr für ne sekunde und keine weitere reaktion. hing das denn noch mit dem virus zusammen?

und dann hätt ich noch die frage nach der sicherheit nach virenbefall: ist mein pc trotz möglicher restbestände des virus noch erträglich sicher mit zonealarm, antivir und ad aware? brauche hier keine supersicherheit aber wenn der rechner transparent wäre wie nur was wäre mir das natürlich nicht recht.

vielen danke nochmal!

holger

 

Zusätzlich zum Fixen sind auch die schädlichen Dateien zu entfernen, deren Autostarteinträge entfernt wurden. Sie könnten ansonsten versehentlich wieder gestartet werden.
Das AV-Programm sollte sie aber auch finden. Ist das nicht der Fall, sind weitere, noch unentdeckte Infektionen möglich, wie ein Rootkit.
Dann sollte der PC mit einer Notfall-CD mit aktuellem AV-Scanner gebootet und untersucht werden.
Das kann die Ultimate Boot CD for Windows leisten.
http://www.wintotal.de/Software/index.php?id=3375

 

besten dank auch an deoroller für die über den virus hinausgehenden tips!
bin wirklich begeistert über eure hilfsbereitschaft. nutzt ihr die hijackthis dateien um euch weiterzubilden wie so der feld wald und wiesencomputer aussehen und wo meist die fehler liegen oder was da so unnützes drauf ist oder ists für euch quasi virenforschung? bissl nutzen habt ihr doch sicher auch davon, oder?

beste grüße
holger

 

Ich lösche die Logs nach dem Kontrollieren sofort.
Ich komme eh nicht mehr dazu, da noch einmal rein zu gucken. Ein Hijacktis-Log ist eine Momentaufnahme, die bereits nach dem nächsten Neustart wieder anders aussehen kann.