|
Plagegeister aller Art und deren Bekämpfung: Nach Login nur Hintergrund - Virus gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.05.2007, 21:43 | #1 |
| Nach Login nur Hintergrund - Virus gefunden Hallo! Ein Bekannter bat mich mit folgendem Problem um Hilfe: Wenn der PC mit WinXP Prof. (SP2) hochgefahren wird, kommt er noch ganz normal zum Bildschirm, wo er sich einloggen kann (es sind mehrere Benutzerkonten eingerichtet). Gibt er dort sein Passwort ein, fängt der PC an zu laden (ca. 30 Sekunden) und schaltet letztendlich noch um auf die Windows-Oberfläche. Dort ist allerdings nur der Hintergrund zu sehen, keine Desktop-Symbole etc. Nicht einmal den Task-Manager kann man aufrufen, einfach gar nichts. Man kann nur im abgesicherten Modus starten. Ich habe nun im abgesicherten Modus mit MWAV (eScan) auf Viren etc geprüft und dabei ca. 30 Dateien gefunden, die mit Varianten des "Email-Worm.Win32.Warezov" infiziert waren. Ich habe von dem Scan ein ca. 16 MB großes Log-File gespeichert. Die infizierten Dateien wurden gelöscht und bei einem erneuten Scan wurde auch nichts mehr gefunden. Leider besteht das o.g. Problem nach wie vor. Kann sich das jemand erklären? Kommt das Problem vielleicht gar nicht von dem Virus? Ich habe nun eben noch (im abgesicherten Modus) mit HijackThis gescannt. Hier das Log-File: Logfile of HijackThis v1.99.1 Scan saved at 22:25:48, on 22.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Temp\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [cscrsc.exe] C:\WINDOWS\system32\sys_rsc.exe -s O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [prt.exe] C:\WINDOWS\system32\prt.exe s O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B82B45A9-F8F0-411F-B368-647B9DA4CBAC}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll ipsemsw3.dll e1.dll confxxn.dll confzxc.dll zxcstat.dll lv73l11.dll diagisr.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Kann uns hier jemand weiterhelfen? Danke! grtz BuggerT |
22.05.2007, 22:12 | #2 |
| Nach Login nur Hintergrund - Virus gefunden Überprüfe mal folgende Sachen bei :
__________________h**p://virusscan.jotti.org/ O4 - HKLM\..\Run: [prt.exe] C:\WINDOWS\system32\prt.exe s O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe O4 - HKLM\..\Run: [cscrsc.exe] C:\WINDOWS\system32\sys_rsc.exe -s |
22.05.2007, 22:24 | #3 |
| Nach Login nur Hintergrund - Virus gefunden Ach ja, das hier hört sich wirklich nach Warezow/Stration an:
__________________O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll ipsemsw3.dll e1.dll confxxn.dll confzxc.dll zxcstat.dll lv73l11.dll diagisr.dll Auswirkungen: • Lädt Dateien herunter • Erstellt schädliche Dateien • Verfügt über eigene Email Engine • Änderung an der Registry • Stiehlt Informationen • Ermöglicht unbefugten Zugriff auf den Computer Ich trau mich das zwar gar nicht zu schreiben, aber in diesem Falle würde ich Neuaufsetzen! |
23.05.2007, 00:44 | #4 | |||
| Nach Login nur Hintergrund - Virus gefundenZitat:
Zitat:
- ipsemsw3.dll - e1.dll - confxxn.dll - zxcstat.dll Zitat:
Gibt es noch Hoffnung auf Rettung? Wie sollte ich weiter vorgehen? Danke! grtz BuggerT |
23.05.2007, 22:17 | #5 |
| Nach Login nur Hintergrund - Virus gefunden So, es scheint, als hätte ich das ganze nun halbwegs im Griff. Die im Log unter Q20 aufgeführten DLLs waren allesamt infiziert (außer Outpost natürlich). Ich habe also die Dateien gelöscht und die Einträge gefixt. Dasselbe mit den auffälligen Q4-Einträgen. Danach konnte man sich wieder ganz normal einloggen. Nun habe ich noch mit Nod32 (Demo) und Kaspersky Personal Pro (lizensiert) intensiv gescannt und die letzten Überreste hoffentlich entfernt. Zu guter Letzt habe ich noch die Windows-Sicherheitsupdates auf aktuellen Stand gebracht . Im Moment funktioniert alles bestens und die verschiedenen Scanner finden auch keine verdächtigen Dateien mehr. Vermutlich werde ich den Rechner meinem Bekannten morgen so zurückgeben. Danke für die Hilfe! grtz BuggerT |
Themen zu Nach Login nur Hintergrund - Virus gefunden |
abgesicherten modus, adobe, appinit_dlls, aufrufe, bho, bildschirm, canon, ctfmon.exe, excel, explorer, feedback, firewall, hijack, hijackthis, infiziert, infizierte, internet, internet explorer, kaspersky, log-file, mehrere, nach login, problem, rundll, sekunden, software, system, task-manager, temp, urlsearchhook, viren, virus, virus gefunden, windows xp |