Wie bekomme ich folgenden Virus weg?

Deluxe-Soldier · 11. Juli 2006

Hallo,

habe folgendes Problem: Ich habe einen Prozess am laufen der IEXPLORE.EXE heisst und ich bin mir zu 100 % sicher das es kein Windows Prozess ist sondern Virus oder Trojaner:

hier der hijack logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:14:55, on 11.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\explorer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Stephan2\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {96D95DED-0A4F-DE58-043A-E28AD3AC4470} - C:\DOKUME~1\Stephan2\ANWEND~1\GREATA~1\acedate.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\\\etb\\pokapoka79.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Online Flag Cash Does] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stop sixth online flag\hole mapi.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [Bib dent] C:\DOKUME~1\Stephan2\ANWEND~1\GPLNOU~1\Blue this.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RapidShare-Download - res://C:\DOKUME~1\Stephan2\LOKALE~1\Temp\ir_ext_temp_0\AutoPlay\Docs\more-rapid.exe/RsMenExt.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - AppInit_DLLs: kespigvitep37zk.dll.dll.dll.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Kann mir einer vlt. erklären wie ich den wegbekomme den Antivir und Ad-Aware können ihn nicht löschen oder finden ihn erst gar nicht ): 10er ist natürlich selbstverständlich.

Mfg
Deluxe-Soldier

Anzeige

darkman0816 · 11. Juli 2006

hi,
da kann ich dich beruhigen, der Prozess ist kein Virus, der muss sein.
Guck mal hier, da kannst du alle prozesse zuordnen, bzw sehen von wem der Prozess kommt:

entweder hier:

http://217.160.190.230/html/cpu-overview.html

oder da:

http://www.reger24.de/processes.php?filter=I

hoffe ich konnte entwarnen, und vielleicht nen 10 ergattern um diese negativ bewertungen von nicht netten Usern zu entschärfen...danke

Deluxe-Soldier · 11. Juli 2006

Vielen dank 10er Bewertung ist raus für so schnelle hilfe selbstverständlich. Aber eine frage hab ich noch warum kann ich den Prozess dann nicht beenden wenn ich ihn beenden will erscheint er immer wieder neu ? und vorher war der nie da das ist das komische und vor allem nicht doppelt weisst du vlt. eine erklärung dafür wäre spitze.

darkman0816 · 11. Juli 2006

da der Prozess zum Internet Explorer gehört, wird er sicher immer dann wieder da sein, sobald du den IE auf hattest. Hört sich komisch an, aber hattest du wo es 2 mal drin war, vielleicht 2 Internet Explorer Fenster auf ?
Sonst wüsste ich jetzt auch keine andere Möglichkeit, bzw Erklärung.

-----------------------
darkman

Deluxe-Soldier · 11. Juli 2006

Nein hatte ich nicht das ist ja das komische aber hab jetzt ne erklärung dafür.
Das kam bei der Auswertung von Hijackthis raus:

O4 - HKLM\..\Run: [System service79] C:\WINDOWS\\\etb\\pokapoka79.exe

Diese Prozess verursacht 2 getarnte prozesse die IEXPLORE.EXE heissen denke ich ich hatte diesen trojaner schon mal drauf ): hab ihn aber mit einem utility remover wegbekommen habs aber eben ausprobiert es funktioniert nicht mehr ): weiss einer ne möglichkeit wie ich den pokapoka79.exe entfernen kann?

HolloW · 11. Juli 2006

hi

ich kenne diese probs mit den viren und hatte auch schon heftige aber leider konnte mir keiner helfen!!

so und nun zu dir das beste is du googelst mal nach diesem virus (pokapoka79.exe entfernen) du findest aufjeden was

ich habe nur das für dich da is jemand der hat fast den selben (pokapoka75.exe) und hat ihn entfernt bekommen klick

daedalus · 11. Juli 2006

gibt übrigens auch viren, die systemdateien befallen.. auch iexplore.exe, also nich vorschnell verharmlosen

Deluxe-Soldier · 11. Juli 2006

@daedalus & hollow ihr habt beide 10er bewertung bekommen

@daedalus du hast vollkommen recht auch normale prozesse können befallen werden

Leider hab ich immer noch keine möglichkeit gefunden ihn zu removen und die die ich gefunden habe funktionieren nicht ): hoffentlich weiss einer noch ne möglichkeit und kann mir vlt. helfen.

..........................................................................................................................

Ok, hat sich erledigt habe ihn runterbekommen (momentan siehts mal so aus) denke aber es hat funktioniert gott sei dank werde morgen en thread aufmachen und das programm uppen mit dem ich den pokapoka79.exe endlich löschen konnte so das er nie wieder kommt. Danke nochmal die an alle die versucht haben mir zu helfen mit viel glück hab ichs am ende doch allein geschafft ^^

Mit freundlichen Grüssen
Deluxe-Soldier

Nützliche Suchen

Wie bekomme ich folgenden Virus weg?

Videos zum Themenbereich