hallo,


also das ist nun wohl etwas lang und kompliziert:
gestern spinnte mein pc auf einmal wie verrückt
rum. programme liessen sich nicht öffnen oder
öffneten sich etwa 30x mit einemm einzigen klick.
ein antivirscan ergab, dass ich den wurm vbs/newlove.a auf dem system habe. liess die infizierten dateien löschen und nun scheint der
pc wieder in ordnung. (habe auch noch scans mit
spybot, adaware, anderen virenscannern durchge-
führt, was keine ergebnisse brachte). ausser,
dass spybot viele meldungen über 'regristrierungsdatenbank-änderungen' und
'dateien sichern' brachte. zudem meldet antivir viele warnungen, dass sich dateien nicht öffnen
lassen bzw. der zugriff verweigert wurde.
ich bin nicht sehr bewandert in der materie, aber
mir scheinen diese meldungen seltsam. auch seltsam
ist, 1. dassich dieses newlove-ding angeblich nur
über mail-attachments und outlook verbreitet: beides ist bei mir ausgeschlossen.2.dieses vieh
kursierte etwa vor 4 jahren (habe es aber defenitiv erst seit höchstens 2 tagen drauf) 3.
die typische vorgehensweise dieses wurms, nämlich
dateien mit 0 zu überschreiben und gewisse einträge in der registry sind nicht sichtbar gott sei dank)

aber: nachdem antivir den wurm gekillt hat (was laut berichtenn schwer sein soll, da er polymorph ist und seinen code ständig verändert)hatte ich
noch einige probleme die online verbindung herzustellen und explorer.exe lief eine ganze weile mit einer cpu-auslastung von 100% (konnte fast nichts öffnen, da der pc so überlastet war).
nun läuft alles wieder wie geschmirt, aber komisch
kommt mir das ganze doch vor. hat antivir den wurm/trojaner/virus falsch eingestuft und es verbirgt sich etwas anderes dahinter ? (programme
nicht öffnen zu können oder sie gleich 30 mal zu
öffnen gehört nämlich nicht zu den merkmalen des
vbs/newlove.a) bin total ratlos, im moment ist zwar alles ruhig (ganz plötzlich, ohne dass ich
etwas gelöscht oder verändert habe)aber habe schiss dass sich da trotzdem was eingenistet hat.

falls jemand ne ahnung hat was da los ist(war)
wäre ich echt wahnsinnig dankbar !!!
hier noch mein logfile von hijack, bei dem ich als
laie aber nichts auffälliges finden konnte:


ogfile of HijackThis v1.97.7
Scan saved at 14:02:32, on 09.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\Rar$EX00.391\DRIVES~1.EXE
C:\WINDOWS\System32\PowerDesk8\PDeskNet.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Coloreal\Coloreal Visual\Coloreal4Matrox.exe
C:\Programme\Matrox\eDualHead\eDualHead Toolbar.exe
C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programme\Wacom\TabUserW.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\DOKUME~1\MICROS~1\Desktop\NEUMOZ~1\mozilla.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Microsoft\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Nero DriveSpeed] C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\Rar$EX00.391\DRIVES~1.EXE
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\PowerDesk.exe /silent
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.7\THGuard.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Coloreal Visual.lnk = ?
O4 - Global Startup: eDualHead Toolbar.lnk = C:\Programme\Matrox\eDualHead\eDualHead Toolbar.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: TabUserW.lnk = C:\Programme\Wacom\TabUserW.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .doc: c:\progra~1\netscape\commun~1\program\PLUGINS\NPDOC.DLL
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - hxxp://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98673C86-7705-43CE-98F2-3846F4781DB8}: NameServer = 217.237.150.225 194.25.2.129


die
*sanne

Hi sanne28,

willkommen an Board. [img]smile.gif[/img]

Ich konnte nichts auffälliges feststellen; das muß aber nichts heißen.

Allerdings hast Du seeeehr viele Sachen im Autostart stehen, u.a. Einträge von Panda AV und AVPE. Bitte nicht zwei Virenwächter gleichzeitig laufen lassen, die können sich gegenseitig behindern.

Insgesamt sehr viele Schutzprogramme. Sieht mir ein bißchen nach Overkill aus. Weniger ist manchmal mehr.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie