Hilfe w32/stanit

[30534a]

Hilfe
Ich weiß einfach nicht mehr weiter.
Ich hab XP Professional
Seit ca 1 Woche ist es so, das sich mein Pc irgendwann "aufhängt".
Es geht dann wirklich fast nichts mehr.
Ich kann dann noch die geöffneten Fenster schließen und das wars dann.
Es lässt sich weder der Task Manager öffnen, noch kann ich den PC herunterfahren. Da hilft dann nur noch das Knöpfchen drücken.
Gestern hat dann Antivir den Virus W32/Stanit gefunden (1x)
Danach bin ich dann gleich zu Google und hab mich da durchgewühlt, daraufhin hab ich mir dann NOD32 runtergeladen und durchlaufen lassen, das Ding ist dann alle 20 Sekunden angesprungen und hat ein Virus nach dem nächsten gefunden, alle mit dem Namen W32/xxx die Endung war immer eine andere. Ich hab hier mal ein paar kopiert :
C:\WINDOWS\amm06.ocx ist infiziert mit Anwendung Win32/Adware.MediaMotor. Die Datei kann nicht gesäubert, nur gelöscht werden
C:\WINDOWS\unstall.exe ist infiziert mit Anwendung Win32/Adware.MediaMotor.
C:\WINDOWS\system32\vms_ps.dll ist infiziert mit Anwendung Win32/Adware.Look2Me
C:\WINDOWS\system32\drivers\Wingen\LSASS.exe ist infiziert mit Anwendung Win32/HideWindow

Ich hab dann auch fleißig alles weggelöscht und nochmal durchlaufen lassen ... kein Fund.
Dann hab ich den PC runtergefahren und ne halbe Stunde später blieb wieder alles hängen.
Ich hab dann alles nochmal im abgesicherten Modus probiert, wieder 8 Funde, wieder gelöscht und alles nochmal durchlaufen lassen(keine Funde)
Aber ich werde das Teil einfach nicht los.
Hatte einer von euch dieses Teil vielleicht auch schon Mal und weiß ein wirksames Mittel?
Die Platte platt machen ist im Moment nicht möglich, da ich keine Wechselplatte habe und zu viele wichtige Daten auf dem PC sind.
lg Anja

[Totte]

Bevor du sowas entfernst, musst du die systemwiederherstellung deaktivieren, sonst kommen die immer wieder. Auch die Run-Verzeichnisse der registry bearbeiten, kann man gut mit hijackthis

[30534a]

Zitat:

Zitat von Totte

Bevor du sowas entfernst, musst du die systemwiederherstellung deaktivieren, sonst kommen die immer wieder. Auch die Run-Verzeichnisse der registry bearbeiten, kann man gut mit hijackthis

Ja, das hatte ich bei Google auch gelesen.
Das haben dann auch ne Menge anderer versucht, die das Problem auch haben, das blöde Teil kam aber trotzdem wieder.
Selbst beim Platte platt machen, kam der teilweise wieder.
Ich hatte gehofft, das irgendwer ein wirkames Tool zum entfernen weiß.
lg Anja

[Totte]

Die "Dinger" verstecken sich oft in gedownloadeten Tools/Programmen...
Und solange du die auf der Platte hast und weiternutzt, kommt es auch immer wieder.

[rotti1970]

ich versuch dir erstmal teilweise zu helfen

Look2me entfernen. Dazu brauchst du dieses Programm: http://www.atribune.org/content/view/28/

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html durchlaufen lassen und wenn gefragt wird nach neustart ,neustarten.

denn lade dir mal hijackthis,http://www.chip.de/downloads/c1_downloads_13011934.html

und poste den log hier oder per pn.

[30534a]

Zitat:

Zitat von rotti1970

ich versuch dir erstmal teilweise zu helfen

Look2me entfernen. Dazu brauchst du dieses Programm: http://www.atribune.org/content/view/28/

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html durchlaufen lassen und wenn gefragt wird nach neustart ,neustarten.

denn lade dir mal hijackthis,http://www.chip.de/downloads/c1_downloads_13011934.html

und poste den log hier oder per pn.

Hi
Danke fürs posten
Ich glaube ich bin das Teil erstmal los.
Ich hab vorhin im abgesicherten Modus mit deaktivierter Systemwiederherstellung nochmal alles durchlaufen lassen.
Und toi toi toi bis jetzt keine Probleme
Falls datt Ding dann jetzt wieder erwarten doch noch auftaucht, dann werde ich das was Du in Deinem Post vorgeschlagen hast machen.
lg Anja

[rotti1970]

noch einen tip, immer schon dein windows up to date halten. denn bleibt dir vieles fern.

[30534a]

Hi
Das Teil ist natürlich doch noch da.
Das nehme ich jedenfalls an, denn die Probleme bestehen weiterhin.
Das merkwürdige ist nur, keins von meinen Antiviren Programmen, ein extra Removal tool, oder Deine Programme finden noch was.
Und was auch komisch ist, mal geht nach 2 Minuten schon gar nichts mehr und mal hab ich 3 Stunden Ruhe.
Bevor ich jetzt gleich wieder den PC runterfahren muß, poste ich schnell die Log Datei von Highjackthis.

Logfile of HijackThis v1.98.2
Scan saved at 22:10:41, on 15.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Eset\nod32kui.exe
C:\Dokumente und Einstellungen\Anja\Eigene Dateien\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [AutoStart-Manager] REM C:\Programme\LAB1.DE\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {084F552D-19EB-4668-9788-984CBC781A8F} - http://survey.otxresearch.com/Preloader.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/...s/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19fb8c6e...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128528652406
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/amp...1.11_en_dl.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game17.zylom.lycos.de/activex...amesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game17.zylom.lycos.de/activex/zylomloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab

[rotti1970]

ui kein SP2 installiert,solltest du nachhohlen

denn machst du nochmal denn scan und machst häckchen vor folgende einträge:

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O4 - HKCU\..\Run: [AutoStart-Manager] REM C:\Programme\LAB1.DE\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART

O16 - DPF: {084F552D-19EB-4668-9788-984CBC781A8F} - http://survey.otxresearch.com/Preloader.dll

denn unten auf fix checked klicken das diese gelöscht werden,

[30534a]

Hi
Erstmal danke.
Hab ich gemacht, aber ich denke mir wird wohl nichts anderes übrig bleiben, als tatsächlich einmal alles platt zu machen.
Ich lass jetzt gleich noch mal NOD32 im abgesicherten Modus durchlaufen, in der Hoffnung, das ich dieses kleine Mistding von einem Virus zu fassen kriege.
lg Anja

[rotti1970]

eventuell nochmal mit spybot search und destroy scannen,http://www.safer-networking.org/de/index.html

hab deinen hijacklog ma nen antivirenexperten gesand,kumple von mir, vielleicht hat der nochnen tip. diese schädlinge nutzen auf alle fälle nicht auf sp2 geupdatete systeme aus.

[30534a]

Zitat:

Zitat von rotti1970

eventuell nochmal mit spybot search und destroy scannen,http://www.safer-networking.org/de/index.html

hab deinen hijacklog ma nen antivirenexperten gesand,kumple von mir, vielleicht hat der nochnen tip. diese schädlinge nutzen auf alle fälle nicht auf sp2 geupdatete systeme aus.

...*lol*... ich hab schon alles durch, Spybot, Adaware, CWShredder, Antivir, NOD32 und nix .....
Na ja, schaun wir mal, irgendwie werde ich das Reil schon los.
Auf jeden Fall danke für Deine Hilfe.
lg Anja

[rotti1970]

nunja denn must du ehrlich gesagt etwas falsch machen, denn der cleaner den du laufen lassen solltest genau wie eingestellt,vernichtet die restoredaten auch die von dem adware/stanid. Vielleicht ist die Heuristik in AntiVir auch einfach zu hoch eingestellt?

aber ich habe hier noch das removaltool für adware/stanid gefunden

http://www.avira.com/en/products/AVI...r_Windows.html

[30534a]

Zitat:

Zitat von rotti1970

nunja denn must du ehrlich gesagt etwas falsch machen, denn der cleaner den du laufen lassen solltest genau wie eingestellt,vernichtet die restoredaten auch die von dem adware/stanid. Vielleicht ist die Heuristik in AntiVir auch einfach zu hoch eingestellt?

aber ich habe hier noch das removaltool für adware/stanid gefunden

http://www.avira.com/en/products/AVI...r_Windows.html

Das Removal Tool hab ich mir auch schon runtergeladen und durchlaufen lassen. ..... nix
Ich weiß auch ehrlich gesagt nicht mehr weiter.
Ich beschreibe jatzt einfach mal wie das abläuft.
Also : eigentlich passiert es immer nur wenn ich im Internet bin.
Auf einmal geht dann nix mehr, ich kann zwar zB aktualisieren anklicken, er fängt dann auch an, dann 2 Sekunden später wird das Fenster weiß und der Ladebalken bewegt sich nicht mehr. Ich kann dann weder den Task Manager öffnen, noch sonst irgendwas machen. (Fenster lassen sich aber normal schließen)
Das einzige was geht, ich kann schreiben, wenn ich zB. ICQ anhabe, kann ich weiter schreiben und die Nachricht auch versenden, das funktioniert komischerweise.
Also wie schon gesagt, es geht nix mehr ...... also hilft nur noch Notaus (Knopf drücken) Danach fährt der PC ganz normal wieder hoch.
Wenn ich dann mit dem Internet verbinden will (DSL 2000 Freenet) dauert das ellenlange, 2-3 mal steht dann da : Die Telefonleitung ist besetzt.
Irgendwann nach 3x abrechen und neu verbinden klappt es dann.
Ja und dann ist es unterschiedlich, mal ist nach 1Minute alles zu Ende und mal hab ich 3 Stunden Ruhe.
Ich hab jetzt gerade eben einen Online Viren Scan (Panda) gemacht, aber der hat auch nichts gefunden.
Na ja, Freitag bekomme ich eine andere Wechselfestplatte, das ich mir erstmal meine wichtigsten Daten runterziehen kann und dann muß ich eben formatieren, da führt wohl glaube ich kein Weg drann vorbei.
lg Anja

[rotti1970]

hhm erstell ma nur für dein "internetsurfen" nen eigenes benutzerkonto mit pw. vorher deine alte internetverbindung löschen und ne neue erstellen mit dem "surfkonto"vielleicht kann man das prob ja eingrenzen

nochnem tip :
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat:

cd\
dir "C:\WINDOWS\system32\drivers\Wingen" >>files.txt
notepad files.txt