[Windows XP-32 bit] conhost.exe - Virus [GELÖST]

[simone30]

Guten Morgen!

Bin ganz neu hier und hoffe sehr, daß ihr mir helfen könnt.

Und zwar:

Seit gestern läuft mein Internet plötzlich sehr, sehr langsam. Immer, wenn ich irgendwelche Seiten öffnen möchte, öffnet sich nicht die gewünschte Seite sondern es kommt irgend ein Popup-Fenster.

Da mir Internet Explorer schon länger auf die Nerven geht, wollt ich mir Firefox runterladen und installieren. Doch es kam die Fehlermeldung "keine gültige Win32-Anwendung".

Also wollt ich ein Hijackthis machen, weil mir das alles verdächtig vorkam. Runtergeladen u. da auch wieder "keine gültige Win32 Anwendung"

Kann kein Programm mehr installieren

Ach ja... und dann hat plötztlich auch noch angefangen unser Multifunktionsgerät ganz von allein Kopien rauszuspucken

Also hab ich heut morgen eine Virenüberprüfung mit Trojan-Killer gemacht (hatt ich schon aufn PC)..... und der hat nun folgendes gefunden:

- - -

X Threat.Startup [conhost] trojan.AP => Trojaner
(C:\dokumente u. einstellungen\user\anwendungsdaten\microsoft\conhost.exe)

xTrojan.Win32x.spy => Trojaner
(C:\Dokumente u. eisntellungen\user\anwendungsdaten\dwm.exe

xTrojan.Win32x.spy => Trojaner
(C:\DOKUME~1\LOKALE~1\Temp\csrss.exe

x FakeAVx.PCSecurity2011 => Rogue
(Registry:\HKLM\Software\Microsoft\Windows\CurrentVersion\Runconhost

- - - -

Könnt ihr mir bitte weiterhelfen??? Wie kann ich diese Dinger wieder entfernen?

Mit Trojankiller gehts leider nicht. Ist nur testversion u. zum entfernen müsste man das Programm kaufen.

Ich weiss... das beste wäre wenn ich Windows neu installieren würde. Aber das geht momentan echt nicht.

Ist mein Büro-PC u. ich brauch ihn momentan dringend zum arbeiten.

Hab mir fest vorgenommen, im August wenn wir das Büro geschlossen haben, die Neuinstallation vorzunehmen.

Deshalb wär echt super wenn ihr mir inwzischen helfen könnten, die Dinger zu enfernen.

Ganz lieben Dank

[WhiteKnight]

Hallo

Bitte Phase I abarbeiten
Anleitung zum Löschen von Viren / Thread erstellen
Reporte posten

[simone30]

ok, danke.

Also hier schon mal die Logfiles.

LOG.TXT

Entfernt zur Entlastung der Datenbank ~ WK

[simone30]

doppelpost entfernt ~ WK

[simone30]

Entfernt zur Entlastung der Datenbank ~ WK

[WhiteKnight]

Hallo

Bitte noch den Report von Malwarebytes posten

dann den PC neustarten

und nun erstelle einen log v. Hijackthis Anleitung und poste diesen

[simone30]

Malwarebytes läuft immer noch....

.... aber mir wird schon ganz schlecht da steht daß er bereits 39 infizierte Objekte gefunden hat. HILFE!!!

Dabei hab ich ja eigentlich Avira und erst gestern nen kompletten Scan gemacht u. er hat nix gefunden. Na toll!!!!!

Sieht nicht gut aus, oder?

Eine Frage hab ich noch..... in eurer Anleitung steht, daß man danach alles gefundene löschen soll u. den PC neu starten.

Kann man das einfach so machen????? Hab so angst, daß dann durchs löschen womöglich der PC gar nicht mehr startet u. ich überhaupt nicht mehr ins Windows reinkomme

[WhiteKnight]

Hi

Zum Thema Avira komme ich noch.

Wenn du bedenken hast poste erst den Report von Malwarebytes, ich schaue dann vorher ob man alles löschen kann.

[simone30]

super, vielen lieben Dank schonmal.

Malwarebytes läuft immer noch. Ich hoffe, es wird während der Mittagspause fertig. Ich poste dir dann gleich um 14 Uhr den Report.

Riesen dank nochmal u Mahlzeit

[simone30]

Jetzt hat er doch schon fertig.

Mein gott.... mir wird gerade extremst übel!!!!! Was hab ich denn da alles oben

Kann mir gar net vorstellen, daß man da noch was retten kann Ich schäme mich fast, das hier zu posten....... aber wie gesagt, ich dachte mit Avira wär ich eigentlich ganz sicher unterwegs.

Hier das Logfile


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6502
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
04.05.2011 11:59:22
mbam-log-2011-05-04 (11-59-14).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 249543
Laufzeit: 1 Stunde(n), 13 Minute(n), 40 Sekunde(n)
Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 35
Infizierte Speicherprozesse:
c:\dokumente und einstellungen\Otmar\anwendungsdaten\dwm.exe (Trojan.Downloader) -> 2176 -> No action taken.
c:\dokumente und einstellungen\Otmar\anwendungsdaten\microsoft\conhost.exe (Backdoor.Cycbot.Gen) -> 360 -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Cycbot.Gen) -> Value: conhost -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Cycbot.Gen) -> Bad: (C:\DOKUME~1\Otmar\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Dokumente und Einstellungen\Otmar\Lokale Einstellungen\Temp\csrss.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\dokumente und einstellungen\Otmar\anwendungsdaten\dwm.exe (Trojan.Downloader) -> No action taken.
c:\dokumente und einstellungen\Otmar\anwendungsdaten\microsoft\conhost.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0000057.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0000194.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0000370.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0001313.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0001444.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0001614.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0001818.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0001863.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP1\A0002005.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP3\A0005040.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP3\A0005062.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP3\A0007030.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP33\A0045201.sys (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP34\A0048851.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0007155.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0007246.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0007312.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0007551.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0007606.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0007681.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0007816.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0008046.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0008110.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP5\A0008198.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP7\A0009248.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP7\A0009497.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP7\A0009631.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP8\A0009696.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{aa05e9b0-9e9f-4c45-ace7-2995ba673b8e}\RP8\A0009758.dll (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Otmar\lokale einstellungen\Temp\ns8.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\dokumente und einstellungen\Otmar\lokale einstellungen\Temp\tasks\OB_IT.exe (Trojan.Downloader) -> No action taken.
c:\Miriam\SOFTWARE\datensicherung\keygen.exe (Riskware.Tool.CK) -> No action taken.

[WhiteKnight]

Ja bitte alles löschen lassen, dann pc neustart, dann HijackThis log posten

[simone30]

echt super daß hier so schnell geantwortet wird. Danke

So, hab jetzt auf alles gefundene entfernen geklickt u. anschließend den PC neu gestartet.

Wie gehts jetzt weiter???


PS: jetzt geht dafür das Internet nicht mehr. Wenn ich den Explorer öffne, kommt immer "website kann nicht angezeigt werden".
E-mails funktioniert aber.

und auf unserem büro-laptop, der wireless mit pc verbunden ist, funktioniert internet auch einwandfrei

[WhiteKnight]

mach mal:

Zitat:

Zitat von WhiteKnight

und nun erstelle einen log v. Hijackthis Anleitung und poste diesen

[simone30]

sorry, hab wohl grad tomaten auf den augen

hier das log meines hijackthis:

Entfernt zur Entlastung der Datenbank ~ WK

--
End of file - 9148 bytes

[WhiteKnight]

Hallo

Wird ja langsam besser.

Öffne nochmal Malwarebytes, gehe auf Aktualisierung und führe diese durch wenn vorhanden, mach dann einen Quickscan, alle Funde löschen lassen, Report posten.

Dann gehts weiter