Hallo zusammen!

Ich glaube ich habe mir gestern beim surfen einen Virus eingefangen. Und zwar ist gestern kurz meine Internetverbindung zusammengebrochen, die über einen WLAN-Router läuft. Seitdem komme ich nicht mehr ins Internet.

Mir wird zwar angezeigt, dass eine Internetverbindung besteht (Übertragungsrate herrvorragend 100%) aber es öffnen sich keine Seiten und updaten kann ich auch nichts.

Ich habe dann mal Antivir rüberlaufen lassen (letzte Aktualisierung war am 15.05.06) der hatte auch einen Virus gefunden und gelöscht, aber das Problemm besteht weiterhin.

Im Task Manager habe ich sehr viele svchost.exe Prozesse, die sich immer wieder aufbauen, außerdem bekomme ich die Anzeige, dass der Computer sich innerhalb einer Minute ausschaltet, sobald ich einen bestimmten Prozess beende (weiß leider nicht mehr welcher). Das riecht doch noch nach einen Virus oder?

Der Laptop von meiner Freundin, der über den selben Router geht, hat seit gestern übrigens auch das Problem.

Ich danke euch schon jetzt für jede Antwort!

Edit: Seit dem Vorfall gestern, habe ich auch Probleme mit dem Sound. Kann über Computer keine Musik mehr hören. Es kommt kein Ton und ich bekomme per Fehlermeldung einen Hinweis mir einen neuen Treiber auf einer dubiosen Seite (irgendetwas mit geocity.com glaube ich) zu besorgen. Ich weiß allerdings nicht, ob dies im Zusammenhang mit der Internetproblematik steht.
Bin zurzeit übrigens über einen Uni-Rechner im Internet, hätte also die Möglichkeit mir Programme o.ä per USB-Stick auf meinen Rechner zu ziehen.

Gruss Schmorst

mOIn Schmorst,
gib doch bitte noch bekannt welchen Fund dein AV Programm gemacht hat und wo sie gefunden wurden.
Versuche mal irgentwie ein HijackThis Log
http://www.trojaner-board.de/showthread.php?t=17493
von deinem Rechner zu machen und hierher zu posten
MFG aus HH

Hallo,

danke für die schnelle Antwort. Ich habe mir eben HijackThis auf USB-Stick gezogen, werde heute abend es bei meiner Kiste mal rüberlaufen lassen.

Ich werde morgen leider erst das Ergebnis posten können, da ich dafür ja wieder in die Uni fahren muss.

Bis morgen also

Gruß Schmorst

Hallo zusammen!

So habe HijackThis rüberlaufen lassen und folgendes kam dabei heraus:

Logfile of HijackThis v1.99.1
Scan saved at 18:45:46, on 18.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MSI\Media Center Deluxe II\WinIRXHelper.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xxx.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = xxx://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WWNExporter] C:\Programme\WWNExporter\WWNExporter.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Office\FINDFAST.EXE
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = ?
O4 - Global Startup: WinIRXHelper.lnk = C:\Programme\MSI\Media Center Deluxe II\WinIRXHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://xxx.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.2.76.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe


Ach ja und Antivir hatte folgendes gemeldet:

Der Suchlauf über die ausgewählten Dateien wird begonnen:

D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Clipart\Populaer\SCHLOSS.WMF
[FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF
[INFO] Die Datei wurde gelöscht.


Ich danke euch schon jetzt für eure Hilfe!
Gruß Schmorst

mOIn Schmorst,
hast nur einige bestimmte Datein scannen lassen oder einen komplettscann
gemacht? Komplett--> dann poste das gesamte Log von AntiVir bitte.

Deine Freundin hat dieselben Probleme mit dem Sound und nicht ins I-Net zukönnen oder wenn man einen Dienst beendet das die Kiste runterfährt ?

Hast du versucht im IExplorer die Adressen mal manuell einzugeben ?
klappt auch nicht dann versuch mal nen alternativ Browser zu benutzen
(z.B. Firefox http://www.firefox-browser.de/windows.php).

Ich hoffe du hast zeitnah alle Patches von MS eingespielt wg. dem
WMF Exploit (ich weiß leider nicht was er anrichtet).

Ich denke ihr solltet bis geklärt ist was für Bösewichter Ihr zu Gast habt euer Netzwerk auflösen (einige verbreiten sich über Netzwerkfreigaben).
MFG aus HH