Wie kann ich den Trojaner vbsys2.dll löschen ?

#1 Hallo Leute,

vor kurzem habe ich mir den Trojaner vbsys2.dll eingefangen bzw. die Datei vbsys2.dll ist von ihm befallen.

Mein Virenscan (Norton Antivirus, Internet Security 2005) hat den Trojaner zwar erkannt, kann ihn aber weder löschen, isolieren noch reperieren.

Meine Fragen:

1. Was kann dieser Trojaner anrichten, wenn ich ihn nicht beseitige.
2. Wie kann ich den Trojaner einfach entfernen.

Ich bin absoluter Computeranfänger und habe in diesem Forum schon einen Thread zu diesem Thema gefunden. Nachdem ich das Programm HiJack oder so ähnlich gestartet habe und ein öm ich glaub das nennt sich LOG gemacht habe weiss ich nicht welche Zeile ich anklicken soll.

Vielleicht nutzt es ja wenn ich hier ein LOG poste. ?!

Für eine einfache Beschreibung wie ich zum löschen des o.g. Trojaners vorgehen muss danke ich euch im vorraus.

#2 Ja, es ist sehr sinnvoll, das Log zu posten, denn anhand dessen können wir die weitere Vorgehensweise bestimmen
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo Leute,

folgende Gegebenheiten sind mir nachträglich noch aufgefallen.

1. Ab und zu öffnen sich durch den InternetExplorer pop ups.
2. Nach dem hochfahren meines Computers sind die Desktopdateien total durcheinander
3. Ich habe mir vor kurzem das Programm HiJackThis heruntergeladen. In der Taskanzeige taucht es auf und es wird angezeigt dass es aktiv ist, obwohl ich es deinstalliert also gelöscht habe.

Bitte um Hilfe

#4 Das hört sich nicht gut an. Bitte mach dann doch auch ein HJT-Log und poste es hier:
http://managor.de/hjt.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Hallo Managor,

ich habe meinen Computer mit HJT gescannt. Und vor JEDER gefundenen Datei ein Häckchen gemacht und anschließend irgendwas mit FIX gedrückt.

Jetzt ist mein Virenschutz deaktiviert.
NortonVirus zeigt an das ich NortonVirus erst aktivieren muss.

Zur Aktivierung ist eine Verbindung zum NortonVirus-Server notwendig.

NortonVirus hat mich angewiesen diese Verbingung herzustellen aber es kommt nur die Sanduhr also es lädt. Leider schon seit paar Minuten.

Was soll ich jetzt tun?
War es es großer Fehler überall Häckchen zu setzten im Programm HJT?

#6

Zitat

WeißerRaabe postete
War es es großer Fehler überall Häckchen zu setzten im Programm HJT?

Ja. Du solltest nur ein Log posten. Ich habe Dir nicht aufgetragen, alle Einträge zu entfernen.

Nun kann ich Dir nur noch den Rat geben, alle Programme neu zu installieren. Am besten mache gleich Windows ganz neu, dann bist Du auch den Virus los.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Hi Managor,

es war ziemlich ungeschickt von mir einfach alles anzukreuzen.

Ich habe von einem Chatter den Rat bekommen eine Systemwiederherstellung durchzuführen.

Mein Betriebssystem ist Windows XP-Professional

Start - Programme - Zubehör - Systemprogramme - Systemwiederherstellung

Mein überstürztes Handeln ist dadruch zu erklären, dass ich mich heute vorab in einem Computergeschäft über das HiJackThis-Programm informiert habe, und dass ich mir nach der Aussage des Verkäufers ("das Programm verwende ich auch - der findet alle Mülldateien, einfach alles anklicken und dann löschen") sicher war, dass ich nichts falsch machen könnte.

Na ja die Systemwiederherstellung habe ich erfolgreich abgeschlossen.
Anfangs blinkte nur ein Feld auf: Genetic System 32 funktoiniert nicht (oder so ähnlich)

Ich hab das Problem an Microsoft gesendet. Aber so wie es Aussieht funktioniert mein PC wieder.

Jetzt schaue ich noch nach, ob der Toijaner noch auf meinem Computer ist.

Dir vielen Dank für deine Antworten Managor und eine gute Nacht.


mfg WeißerRaabe (leider noch Computeranfänger)

#8 Hi WeißerRaabe,

das hättest Du auch einfacher haben können!
HijackThis macht nämlich von den gefixten Einträgen einen Backup. Einfach HJT öffnen => Config => Backups => alle Einträge anhaken => Restore drücken und die ursprünglichen Einträge werden wiederhergestellt.

Poste jedenfalls ein HJT Log (nach dem Scan "Save Log" drücken. Dann öffnet sich ein Textfenster, dessen Inhalt Du vollständig abkopierst mit Strg+a und Strg+c und anschließend hier einfügst mit Strg+v)

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#9 Hallo,
Norton Internet Security 2005 meldet mir eine Viruswarnmeldung:
C:\Windows\System32\vbsys2.dll
Virenname: Trojan Horse
Der Zugriff auf diese Datei wird verweigert.

Nun habe ich im Forum diverse Beiträge zu diesem Virus gefunden, aber ich bräuchte so eine Schritt für Schritt Anleitung wie ich diesen Virus beseitigen kann ohne dass ich die Festplatte formatieren muss.

Außerdem hätte ich gerne gewusst, welchen Schaden dieser Virus anrichtet bzw. anrichten kann.

Da ich nur ein einfacher "User" bin bitte Begrifflichkeiten wie "posten" bitte erklären oder mir einfach schreiben was zu tun ist.
Vielen Dank im voraus
Luc

#10 Hallo Luc,

erstelle ein HijackThis Log nach dieser Anleitung:
http://virus-protect.org/hjtkurz.html
Aber noch nichts fixen!

Öffne das Log mit dem Notepad (Texteditor) markiere alles (Strg+a), dann kopieren (Strg+c) und füge es hier in Deinen Thread ein (Strg+v).

Information zu diesem Trojaner findest Du hier http://www.sophos.com/virusinfo/analyses/trojadclickaz.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#11 Hallo Heron,
vielen Dank für deine schnelle Antwort.
Hier das Ergebnis von HijackThis.

Logfile of HijackThis v1.99.1
Scan saved at 11:01:34, on 16.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\rsss\estr.exe
C:\WINDOWS\System32\m?config.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Arnd\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D40352E3-CD52-E9DA-7A44-E9ECD8924EC1} - C:\WINDOWS\System32\tendys.dll (file missing)
O2 - BHO: (no name) - {D5035295-CD55-9BAD-7A46-96ECDAE04EB2} - C:\WINDOWS\System32\tendys.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Rlos] C:\Programme\rsss\estr.exe
O4 - HKCU\..\Run: [Fcj] C:\WINDOWS\System32\m?config.exe
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.scattiprivati.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.yeak.net
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/games/clients/y/dtt1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2456741B-1567-7682-A355-939856783603} - ms-its:mhtml:file://c:\default.mht*http://perou-voyage.com/free/load.chm::/tibs.exe
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=2854
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.service-url.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 205.188.146.145
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#12 Hi Luc,

Lade Dir bitte folgende Progs herunter und update sie:
AdAware
http://www.lavasoft.de/support/download/

Spybot S&D
http://www.safer-networking.org/de/download/index.htm

Weiterhin herunterladen
Killbox
http://virus-protect.org/killbox.html
CCleaner
http://virus-protect.org/temp.html

Öffne HijackThis und fixe (Häkchen setzen und "Fix checked" drücken) folgende Log-Einträge:
O2 - BHO: (no name) - {D40352E3-CD52-E9DA-7A44-E9ECD8924EC1} - C:\WINDOWS\System32\tendys.dll (file missing)
O2 - BHO: (no name) - {D5035295-CD55-9BAD-7A46-96ECDAE04EB2} - C:\WINDOWS\System32\tendys.dll (file missing)
O4 - HKCU\..\Run: [Fcj] C:\WINDOWS\System32\m?config.exe
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.scattiprivati.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2456741B-1567-7682-A355-939856783603} - ms-its:mhtml:file://c:\default.mht*http://perou-voyage.com/free/load.chm::/tibs.exe
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=2854
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.service-url.de/InstallationsAssistent.ocx
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

PC neu starten.


Lösche mit der Killbox gemäß der Anleitung die nachfolgenden Dateien (mit vollständiger Pfadangabe eingeben!)
C:\WINDOWS\System32\tendys.dll
C:\WINDOWS\System32\m?config.exe
c:\eied_s7.cab
c:\ex.cab
C:\WINDOWS\System32\vbsys2.dll

Lösche mit dem CCleaner temp-Dateien und Surfspuren.

Mache jeweils einen vollständigen Systemscan mit Ad-Aware und Spybot S&D und fixe die gefundenen Probleme.

eScanCheck
http://virus-protect.org/escan.html
Poste (= hier in den Thread kopieren) das Log dieses Scans.

Unbedingt die Windowsupdates machen
http://www.windowsupdate.com/
und Service Pack 2 (SP2) aufspielen!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#13 Hallo Heron,
zu
AdAware
http://www.lavasoft.de/support/download/
und
Spybot S&D
http://www.safer-networking.org/de/download/index.htm

bei beiden Seiten weiß ich nicht was ich zum downloaden anklicken soll. Wäre es Dir möglich mir mit einfachen Worten zu erklären was ich da anzuklicken habe?

Killbox und CCleaner habe ich heruntergeladen (killbox.exe und CCsetup124.exe).
Die von Dir genannten 20 Einträge habe ich "gefixt" (Häkchen gestzt und "Fix checked" gedrückt.). Anschließend habe ich den PC neu gestartet.
Mit der Killbox habe ich versucht die von Dir genannten dateien zu löschen. dabei erhielt ich folgende Kommentare:
C:\WINDOWS\System32\tendys.dll
=> löschen => Kommentar: This file does not seem to exist.

C:\WINDOWS\System32\m?config.exe
=> löschen => Kommentar: This file does not seem to exist.

c:\eied_s7.cab
=> löschen => Kommentar: File was deleted.

c:\ex.cab
=> löschen => Kommentar: This file does not seem to exist.

C:\WINDOWS\System32\vbsys2.dll
=> löschen => Kommentar: File was deleted.

Danach habe ich mit dem CCleaner sämtliche temp-Dateien und Surfspuren gelöscht.
Jetzt sollte der Schritt "vollständiger Systemscan mit Ad-Aware und Spybot S&D und die gefundenen Probleme fixen". Hbe ich nicht gemacht, da ich nicht weiß, was ich da wie downzuloaden habe.
Über weitere Hilfe wäre ich erfreut.
Gruß
Luc

#14 Bei Ad-Aware auf das Bild von PC-World klicken und dann weiterhangeln. Bei Spybot ungefähr in der Mitte der Seite bei Spybot S&D 1.4 rechts daneben auf "Hier herunterladen" klicken.

Danach den eScanCheck machen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#15 Luc

das muss man unbedingt auch mit HijackThis fixen:

O4 - HKCU\..\Run: [Rlos] C:\Programme\rsss\estr.exe
O16 - DPF: {2456741B-1567-7682-A355-939856783603} - ms-its:mhtml:file://c:\default.mht*http://perou-voyage.com/free/load.chm::/tibs.exe

wir schauen dann noch mal nach, was auf dem PC so ist:
arbeite die 4 Logs ab (poste sie bitte)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit