trojanischer virus muss ich mein pc wegschmeissen :(

30.05.2008, 14:14

suna

...neu hier

Beiträge: 5

#1 bitte hilft mir ich versuche das problem es zu erklaeren
gestern ist meine tochter auf eine seite gegangen und das avast viurs program sagte es befindet sich ein virus auf ihren computer..

mein bildschirm ist weiss dort steht aus sicherheits grunden wurde destkop ausgeschaltet??nach mehrmaliger aufforderung zu löschen hat avast diesen virus eine zeit lang nicht gefunden.ich habe das virus program auf virus scuche gestartet er hat 40 probleme gelöscht ich war in dem moment erleichtert..

ich startete meinen pc neu doch dann kamm auf meinem pc ich weiss nicht wie ich es erklaeren soll...mehrere kleine nachrichten dort steht empfaenger die email adresse und der empfaenger email adresse immer nach neuen nachrichten aendert sich die email adressen...dort steht auf englisch der sommer kommt eine zeit zum sterben ..ewig mit solchen nachrichten wird momentan mein pc bombardiert....
ich habe auch feunde gefragt was ich jetzt machen soll man sagte pc wegschmeissen

ich habe auch schon versucht im abgesicherten modus rein zu kommen aber nichts funkioniert ich kann nicht mit dem feil auf abgesicherten modus klicken..

kann es helfen wenn ich es formatiere wenn ja ich habe auf f8 gedruck ich kamm wieder auf normal windows

ich hoffe auf eurer hilfe meine tochter hat angst wegen dem schreibem von töten usw ..

bitte hilft mir

mit fruendlichen grussen

gestresste mami

30.05.2008, 15:58

Argus

Ehrenmitglied

Beiträge: 6028

#2 Versuche mal Hijack This zu installieren

u] Erstellen eines Hijackthis-Logfiles [/u]

Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

30.05.2008, 16:54

suna

...neu hier

Themenstarter

Beiträge: 5

#3 erst mal ein dankeschön das du mir behilflich sein möchtest..ich versuche auf zwei pc dieses runterzuladen auf dem laptop hier seit einer halben stunde steht der downlad auf 72% est ladet irgendwie nicht weiter...

der infizierte pc von meiner tochter seit 40 min auf immer noch 52%

und ladet irgendwie nicht mehr weiter warum ?

ich habe es kopiert

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:38, on 30.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\herjek.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F3 - REG:win.ini: run=
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [herjek] C:\WINDOWS\herjek.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {58EF1388-AF07-4D13-A069-D107671B8819} - http://www.gamegarden.net/v4/ggsecure.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208600741655
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 3567 bytes

und das sind die ,die zuletz empfangene schreiben
es sind zwei button auf dem schreiben sie heissen

fortsetzen ....nicht senden

ich klicke immer auf nicht senden !!

Zuviele identische e-mails für die festgesetzte Zeit

Absender: <623mike.soules@misys.com>
Empfänger: aguilarnn@reedcandlecompany.com
Betreff: Be happy!Be really healthy!

Zuviele identische e-mails für die festgesetzte Zeit

Absender: <erhard.sandrine@canon.com.sg>
Empfänger: dseverance@mckan.com
Betreff: She will sure like how those pilules enhanced you.

Zuviele identische e-mails für die festgesetzte Zeit

Absender: <s.boveleth@aaig.com>
Empfänger: cirillbarn@vati.hu; gdavis@greenville.k12.sc.us
Betreff: Why doctors will never tell you the easiest way to health.

Zuviele identische e-mails für die festgesetzte Zeit

Absender: <hookey@adamarc.com>
Empfänger: <murphy@jnf.co.uk>
Betreff: When travveling abroad, do not forget to put in your pocket on or to blu colored-tabs!

Dieser Beitrag wurde am 30.05.2008 um 17:42 Uhr von suna editiert.

30.05.2008, 17:45

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Hallo suna

deaktiviere kurzzeitig den Spybot - Search & Destroy\TeaTimer.exe

-----------------------------------------------------

1.
öffne: OTMoveIt.exe
http://virus-protect.org/artikel/tools/otmoveIt.html
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\herjek.exe

Klicke auf den Roten MoveIt!

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O4 - HKCU\..\Run: [herjek] C:\WINDOWS\herjek.exe

3.
lade sdfix, boote in den abgesicherten modus, scanne dort mit sdfix + poste nach neustart in den normalmodus den report
http://virus-protect.org/artikel/tools/sdfix.html

4.
sdfix
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen
bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien
poste dann den report hier - "SophosReport.txt" (im SDFix-Ordner) -

5.
lade combofix, klicke die warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html

«
__________
MfG Sabina

rund um die PC-Sicherheit

30.05.2008, 19:28

suna

...neu hier

Themenstarter

Beiträge: 5

#5 sabina danke an euch alle fur eure muhe..

ich habe dieses programm runtergeladen

http://virus-protect.org/artikel/tools/otmoveIt.html

im rechten fenster steht dieses

File/Folder C:\WINDOWS\herjek.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05302008_191945

z.z habe ich erst das gemacht bin noch nicht so weit ..
ich hoffe ich vermassele es nicht und mache es nicht noch schlimmer

ich habe auf f5 gedrückt beim neustart und sehe auf meinem pc die asuwahl fur abgesicherten modus aber leider komme ich nicht mit dem feil nach oben es stock .. das heisst warscheinlich das ich uberhaupt nicht mehr ins abgesicherte modus gelangen werde ..oder ??

Dieser Beitrag wurde am 30.05.2008 um 19:42 Uhr von suna editiert.

30.05.2008, 22:07

Sabina

Ehrenmitglied

Beiträge: 29434

#6 «
man muss auf F8 drücken !
versuche es noch mal...

wenn es nicht klappt:
lade combofix, klicke die warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

31.05.2008, 09:18

suna

...neu hier

Themenstarter

Beiträge: 5

#7 sabina herzlichen dank an euch alle ihr seit echt super nett und hilfsbereit.
der forum wird zu meinem favoriten...
ich konnte leider das mit dem combofix nicht ausführen.
mein pc hat durchgeschlafen und schlaeft immer noch er wacht irgendwie nicht mehr auf..

als ich heute morgen das pc hochgefahren habe sass ich da und dachte oooo wie schön alles schwarz ..

es geht nichts mehr der trojanische virus echt der hammer in drei tagen alles ko.

meine tochter hat auch mitlerweile gelernt das sie von google auf nicht alle seiten gehen sollte...sie wollte ihre englisch hausaufgaben machen ging auf eine deutsch -englische übersetzungsseite und das wars ...

nochmals vielen vielen dank an euch alle..

ps ..ich habe noch eine tochter