|
Plagegeister aller Art und deren Bekämpfung: Virus kündigt sich anWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.03.2006, 12:53 | #1 |
| Virus kündigt sich an Hallo, Erstens hallo, ich bin hier ein neuer. Hier mein Problem und gleichzeitig Bitte um Hilfestellung: Ich benutze WinXP auf meinem Heim-Desktoprechner und die Gratisversion der Sygate Firewall. Den Sicherheitsdienst von Windows (der Windowsfirewall aus SP2) hab ich mit XPAntispy schon vor längerem deaktiviert, damit sich die Firewallsysteme nicht in die Quere kommen können. Als ich vor einer Woche große FTP-Probleme hatte (mittlerweile denke ich, es lag am remote server), hab ich leichtsinnigerweise die Firewall für etwa eine Viertelstunde völlig abgedreht. Durch diese Aktion hab ich mir anscheinend "was eingefangen". Es war ein Linux Apache-Server. Kann es prinzipiell sein, daß man sich von dort auch einen Virus holen kann, oder ist er wahrscheinlicher irgendwie anders reingekommen? Die Symptome: Voerst unauffällig. Nach zwei-drei Boots bemerkte meine Freundin einen Leistungsabfall. Ich sah dann etwas später nach: 100% CPU-Last. DrWatson braucht noch dazu ziemlich viel Speicher. Ich hab ihn abgedreht, damit war die CPU-Last wieder normal (3% idle). Und der Speicher wurde klarerweise wieder frei, bis auf ~200 MB, die das XP so braucht. Später fiel mir auf, daß mehrere Clones von svchost.exe gleichzeitig laufen. Insg. 6 oder so, im Drittelmix als Systemdienst, lokaler Dienst oder Netzwerkdienst. Wenn man da den falschen abdreht, fährt das System automatisch runter. Ich bin mit dem Problem ziemlich unbeholfen, bis jetzt hab ich nur versucht, den DrWatson woanders hinzuschieben, daß ihn das Sys. nicht findet, nutzt aber nix, der wird mit jedem Reboot wieder neu erstellt. Sonst hab ich halt auf div. Websites herumgesucht, konnte aber keinen Remove Tool o. ä. finden, der auf mein Prob. zutrifft. Noch was fiel mir auf: Es gibt einen Ordner .../system32/prefetch, da lag eine Datei mit Erstellungsdatum von eben diesem Tag drin, als ich die Firewall abdrehte. Sind das Backups? Weiß wer eine gute Seite, mit der man von außen seinen Rechner scannen kann? Oder ist das zu gefährlich, wenn ich weiter online gehe? |
06.03.2006, 17:16 | #2 |
| Virus kündigt sich an Moin,
__________________für mich hört sich das nicht so an als hättest du dir was eingefangen. Was macht denn Dr.Watson für eine Fehlermeldung? Zu dem Thema "system32/prefetch" http://www.computer-tipps.net/windows76.html kannst du da was erfahren. Poste aber mal bitte ein HijackThis Logfile. LG HDW p.s. Onlinescann: http://www.trojaner-board.de/showthread.php?t=24192 Geändert von Haengdichweg (06.03.2006 um 17:53 Uhr) |
06.03.2006, 19:49 | #3 |
| Virus kündigt sich an @peregrim
__________________poste doch mal ein hjt logfile nach anleitung in meiner signatur
__________________ |
06.03.2006, 22:26 | #4 |
| Virus kündigt sich an Hier das LOG-File: --------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 21:57:20, on 06.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Alcatel\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Miranda IM\miranda32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe C:\Temp\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137094567608 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137095008264 O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe ---------------------------------- @Haengdichweg: Danke für den Link, ich werd mir das einmal bei Gelegenheit durchlesen. Daß es ein Virus oder dgl. ist, glaub ich schon, weil er auch meine Sygate Firewall jetzt jedesmal killt, nachdem Win hochgefahren ist. Auch hat er aus irgendeinem Grund das Icon, mit dem ich mein ADSL-Modem verbinde vom Desktop gelöscht (). Der Verbindungsclient ist aber noch da und funktioniert... |
06.03.2006, 23:41 | #5 |
> MalwareDB | Virus kündigt sich an Hallo, scanne folgende Dateien bei Jotti online und oste das Ergebnis: C:\WINDOWS\system32\sw20.exe C:\WINDOWS\system32\sw24.exe Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
08.03.2006, 19:00 | #6 |
| Virus kündigt sich an Hallo, Gestern wollte ichs mit Jotti versuchen. Leider kann ich aber nicht mehr online gehen. Ich kann mich zwar normal einwählen (ADSL), aber meine Browser (IE und Opera gleichermaßen) gehen nicht mehr, es ist so, als wäre keine Verbindung vorhanden. Hat jemand einen anderen Vorschlag, denn schön langsam wirds leider brenzlig, und ich bräucht den Rechner eigentlich schon dauernd...? Ciao, Peregrin. |
08.03.2006, 19:38 | #7 |
/// Helfer-Team | Virus kündigt sich an Da Du ja posten kannst, hast Du auch eine Verbindung ins Internet. Deshalb mache den escan: http://www.trojaner-board.de/showthread.php?t=17492. Du kannst es ja per Stick oder CD übertragen. Dann kann man mehr sehen.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
12.03.2006, 22:28 | #8 |
| Virus kündigt sich an Hallo, Letztendlich hab ich die Kiste neu aufgesetzt, ich glaub, so hab ich noch besser Zeit gespart... Vielen Dank jedenfalls für eure Unterstützung. Viele Grüße, Peregrin. |
12.03.2006, 22:59 | #9 |
> MalwareDB | Virus kündigt sich an
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
Themen zu Virus kündigt sich an |
100%, automatisch, datei, deaktiviert, drwatson, ellung, falsche, gefährlich, gen, lag, linux, mehrere, online, ordner, problem, reboot, remote, scan, seite, server, sp2, svchost.exe, tool, virus, websites, windows, winxp |