| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Pc voller VirenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
01.08.2007, 10:48
| #1 |
| Gesperrt |  Pc voller Viren Hi, ich habe folgendes Problem: Nach einiger Zeit im Internet kommt eine Fehlermeldung. Generic Host Process for win32 service wurde beendet. Dann geht das Internet nicht mehr. Ausserdem bekomme ich ständig Meldungen von Antivir, dass Viren, Trojaner usw gefunden wurden. Hier einmal das HijackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:30:36, on 01.08.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\mdm.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\dllhost.exe C:\WINDOWS\system32\scwatcher.exe C:\WINDOWS\System32\wpabaln.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.alice-dsl.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{C15E884A-1E4E-498B-A174-8497618E934A}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaurpl.exe (file missing) O23 - Service: Microsoft dllhost Service - Unknown owner - C:\WINDOWS\dllhost.exe O23 - Service: TCP/IP Network Throttle (NetThrottle) - Unknown owner - C:\WINDOWS\system32\netthrot.exe (file missing) -- End of file - 3755 bytes Wollte Viren auch schon per Hand löschen, dann kommt aber eine Meldung zugriff verweigert. Ich hoffe ihr könnt mir weiterhelfen. Danke schonmal. |
|
01.08.2007, 10:52
| #2 |
| Gesperrt | Pc voller Viren C:\WINDOWS\System32\mdm.exe
__________________C:\WINDOWS\dllhost.exe C:\WINDOWS\system32\scwatcher.exe C:\WINDOWS\System32\wpabaln.exe Lad das mal bei Virustotal hoch, und dann poste den das Ergebnis hier... |
|
01.08.2007, 11:00
| #3 |
| Gesperrt | Pc voller Viren Danke für die schnell Antwort! :aplaus:
__________________So sieh das Ergebnis von mdm.exe aus: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 BackDoor.Generic7.VVR BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 W32/Ibot.A!tr F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 Trojan-Spy.Win32.Agent.pz Kaspersky 4.0.2.24 2007.08.01 - McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 W32/Ircbot.BAC.worm Prevx1 V2 2007.08.01 Trojan.Banker Rising 19.34.22.00 2007.08.01 Backdoor.Win32.SdBot.kwu Sophos 4.19.0 2007.08.01 Troj/IBot-A Sunbelt 2.2.907.0 2007.07.31 - Symantec 10 2007.08.01 W32.Spybot.Worm TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 - |
|
01.08.2007, 11:04
| #4 |
| Gesperrt | Pc voller Viren Jetzt kommt das von dllhost.exe: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 HEUR/Crypted Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 - BitDefender 7.2 2007.08.01 Application.Packer.Themida.B CAT-QuickHeal 9.00 2007.07.31 (Suspicious) - DNAScan ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 Backdoor.VB.EV Kaspersky 4.0.2.24 2007.08.01 - McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 W32/IRCbot.BAY.worm Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Crypted |
|
01.08.2007, 11:06
| #5 |
| Gesperrt | Pc voller Viren sieht nicht so gut aus...mal sehen was mit den anderen Dateien ist... Wenn sich der Verdacht von dem Backdoorbefall bestätigt, solltest du dein PC neu aufstezen... |
|
01.08.2007, 11:10
| #6 |
| Gesperrt | Pc voller Viren Jetzt das von scwatcher.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 Win32/IRCBot.worm.variant AntiVir 7.4.0.54 2007.08.01 HEUR/Crypted Authentium 4.93.8 2007.07.31 Possibly a new variant of W32/Backdoor-based Avast 4.7.1029.0 2007.07.31 Win32:SdBot-gen44 AVG 7.5.0.476 2007.07.31 IRC/BackDoor.SdBot3.CRG BitDefender 7.2 2007.08.01 DeepScan:Generic.Sdbot.99C92EC4 CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 Trojan.SdBot-6511 DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 Backdoor.Win32.SdBot.qt Ikarus T3.1.1.8 2007.08.01 Backdoor.Win32.SdBot.qt Kaspersky 4.0.2.24 2007.08.01 Backdoor.Win32.SdBot.qt McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 probably a variant of Win32/Genetik Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 - Rising 19.34.22.00 2007.08.01 Backdoor.SdBot.wix Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 - Symantec 10 2007.08.01 W32.Spybot.Worm TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Crypted |
|
01.08.2007, 17:56
| #7 |
| Gesperrt | Pc voller Viren Hi, wollte jetzt die Festplatte formatieren. Das geht aber nicht da der PC nicht automatisch von der CD bootet. Könnt ihr mir weiterhelfen? |
|
01.08.2007, 18:04
| #8 |
 | Pc voller Viren Hast du denn im Bios die erste Bootpriorität auf dein CD/DVD Laufwerk gestellt?  |
|
01.08.2007, 18:06
| #9 |
| Gesperrt | Pc voller Viren Nein, Ok dann mach ich das mal. Dann nach dem formatieren und Installation wieder umstellen? |
|
01.08.2007, 18:08
| #10 |
| | Pc voller Viren Nicht nötig, aber du kannst das wieder zurückstellen. Solange die Festplatte auch als Bootpriorität drinsteht (am besten als 2tes), kannst du die Einstellungen behalten. |
|
| Themen zu Pc voller Viren |
| antivir, avira, bho, explorer, generic, generic host, generic host process, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, löschen, micro, microsoft, problem, programme, s-1-5-18, security, software, system, system32, tcp/ip, trend micro, trojaner, viren, windows, windows xp |
Hybrid-Darstellung
