liebe virus-experten,

ich habe den pc einer bekannten hier, den ich gestern mit hilfe von hijackthis, spybot s&d, antivir (eine uralt-version von vor etlichen monaten war vorhanden habe sie upgedatet), ewido, sysclean und ad-aware SE bereits von vielen vielen schädlingen befreit habe.
(hauptproblem war gewesen, daß während der letzten monate die gesamte festplatte mit 18 GB an unbekannten, versteckten daten vollgelaufen war, so daß der pc nicht mehr funktionieren konnte - wie sich herausstellte, waren diese im versteckten systemverzeichnis c:\Dokumente und Einstellungen\vanessa\Complete gespeichert, ca. 78000 exe-dateien! lauter dateien mit porno-video-namen und viren-inhalt, sicher wurden sie dort anderen arglosen usern zum download angeboten - nur gut daß das alles über eine flatrate lief, sonst wäre es wohl teuer geworden! )

ich habe auch win32sec ausgeführt (f. "pc im netzwerk").
das letzte problem scheint zu sein, daß bei jedem reboot des PCs die windows firewall abgeschaltet wird! es erscheint auch kurz das warnfenster, daß der pc evtl. gefährdet ist, aber inzwischen nur noch sehr kurz, evtl. auch gar nicht mehr. will man die FW starten, kommt eine meldung, daß der entsprechende dienst nicht läuft.

es sind also immer noch viren-restbestände auf der platte.
gemäß der hier gefundenen anleitung habe ich per mvav und find.bat die angehängten infos gewonnen.

mir läuft leider die zeit davon -
wie kriege ich die restlichen schädlinge am schnellsten (und möglichst kostenlos) gekillt?

ich bedanke mich schon mal im voraus für eure liebenswürdige hilfe!!

beste grüße
starman (jörg)



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 22 01:36:15 2006 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken.
Wed Feb 22 01:36:19 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:20 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:21 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:21 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:21 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:22 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:37 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*
Wed Feb 22 01:36:37 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44233a0d.qua
Wed Feb 22 01:36:38 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44283b80.qua
... und etliche weitere dieser art, die wohl hier nicht wichtig sind ...
Wed Feb 22 01:45:12 2006 => File C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temp\tsinstall_4_0_4_0_b4.exe infected by "Trojan-Downloader.Win32.TSUpdate.n" Virus! Action Taken: No Action Taken.
Wed Feb 22 01:46:21 2006 => File C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPAVGDMR\tsinstall_4_0_4_0_b4[1].exe infected by "Trojan-Downloader.Win32.TSUpdate.n" Virus! Action Taken: No Action Taken.
Wed Feb 22 02:08:56 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 22 01:31:57 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Wed Feb 22 01:36:14 2006 => Offending Key found: HKLM\Software\limewire !!!
Wed Feb 22 01:36:14 2006 => Offending Key found: HKCU\Software\kazaa !!!
Wed Feb 22 01:36:15 2006 => Offending file found: C:\installer.exe
Wed Feb 22 01:36:19 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\temporary internet files\content.ie5\6pohuped\popsetarray[1].htm
Wed Feb 22 01:36:20 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\temporary internet files\content.ie5\fgmn61xi\popsetarray[1].htm
Wed Feb 22 01:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\temporary internet files\content.ie5\wpavgdmr\popsetarray[1].htm
Wed Feb 22 01:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temporary Internet Files\content.ie5\6pohuped\popsetarray[1].htm
Wed Feb 22 01:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temporary Internet Files\content.ie5\fgmn61xi\popsetarray[1].htm
Wed Feb 22 01:36:22 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temporary Internet Files\content.ie5\wpavgdmr\popsetarray[1].htm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 22 02:08:56 2006 => Total Objects Scanned: 27434
Wed Feb 22 02:08:56 2006 => Total Critical Objects: 12
Wed Feb 22 02:08:56 2006 => Total Disinfected Objects: 0
Wed Feb 22 02:08:56 2006 => Total Deleted Objects: 0
Wed Feb 22 02:08:56 2006 => Total Errors: 75
Wed Feb 22 02:08:56 2006 => Time Elapsed: 00:37:41
Wed Feb 22 01:30:22 2006 => Virus Database Date: 2/22/2006
Wed Feb 22 02:08:56 2006 => Virus Database Date: 2/22/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Zitat:

Zitat von starman

(hauptproblem war gewesen, daß während der letzten monate die gesamte festplatte mit 18 GB an unbekannten, versteckten daten vollgelaufen war, so daß der pc nicht mehr funktionieren konnte - wie sich herausstellte, waren diese im versteckten systemverzeichnis c:\Dokumente und Einstellungen\vanessa\Complete gespeichert, ca. 78000 exe-dateien! lauter dateien mit porno-video-namen und viren-inhalt, sicher wurden sie dort anderen arglosen usern zum download angeboten - nur gut daß das alles über eine flatrate lief, sonst wäre es wohl teuer geworden! )

Angesichts dieser Beschreibung wundert mich Deine ruhige Formulierungsweise doch sehr.

Zitat:

Zitat von starman

(es sind also immer noch viren-restbestände auf der platte.
gemäß der hier gefundenen anleitung habe ich per mvav und find.bat die angehängten infos gewonnen.

mir läuft leider die zeit davon -
wie kriege ich die restlichen schädlinge am schnellsten (und möglichst kostenlos) gekillt?

Es gibt nur eine einzige Möglichkeit: System neu aufsetzen.

Ansonten kannst Du noch hoffen, dass nicht irgendwann das BKA vor der Tür steht....

gibt es wirklich kein mittel gegen die gelisteten schädlinge?
mir ist schon klar, daß inzwischen allerhand passiert sein kann -
MUSS es ja aber nicht, oder?
ich würde lieber erst einmal die funde entfernen und den pc dann bei aktiver firewall und installiertem virenwächter (lieber antivir oder avast? über letzteren habe ich in letzter zeit gutes gehört!?) ein weilchen beobachten - falls er dann wieder muckt, bleibt mir wohl keine andere wahl als die komplette neuinstallation...

Hi, misch mich mal kurz ein:
starman, mach nicht lang rum, sondern folge einfach dem Rat von HSV-Andy!
Du siehst ja, daß der Rechner schon mißbraucht wurde. Was willst Du da noch beobachten? Mach die Möhre platt und setze gemäß dieser Anleitung das System neu auf! Geht schneller und ist wesentlich ungefährlicher...
cacatoa

ob der pc WIRKLICH mißbraucht ist, weiß ich ja nicht mit sicherheit... nur weil er sich die vielen dateien geholt hat muß er ja nicht unbedingt als server funktioniert haben, er lief hinter nem dsl-router, da ist das gar nicht so einfach.

aber ok, ich gebe auf, werde das ding neu aufsetzen, das ist natürlich das sicherste.

vielen dank für eure einschätzungen!

gruß
jörg