|
Plagegeister aller Art und deren Bekämpfung: Viren überleben FormatierungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.08.2007, 22:58 | #1 |
| Viren überleben Formatierung Hi! erstmal meine Kiste: Winxp SP2 Abit NF-M2S Mobo 1 gb ram Amd x2 4600+ xpertvision geforce 7600gs So und nun zu meinem Wehwehchen: Vor einigen tagen kackte mein rechner plötzlich und unerwartet ab. Vorher starteten sich so meiner meinung nach mindestens 10 verschiedene viren(o.Ä) auf einmal. Nach dem reboot hatte ich dann ne nette online dating verknüpfung aufm desktop und bestimmt 10 *.tmp prozesse am laufen, nichts ging mehr. viele der *.tmp dateien sind in /windows/temp...nach löschung mit killbox sind sie nach einem neustart wieder da(Systemwiederherstellung auf allen laufwerken deaktiviert) Nach einigen fehlgeschlagenen scans und schließlich dem endgültigem tod meines computers ( nach deaktivierung von "pc bei bei fehler neustarten" oder so im boot menü erschien beim booten ein zur hälfte flimmernder, nicht ganz lesbarer bluescreen der mir freundlicherweise mitteilte das winlogon.exe gekillt wurde -.-"). Ich muss zugeben das ich selbst dran schuld bin weil ich vorher überheblicherweise weder firewall noch antivirus drauf hatte...naja schließlich in den sauren appel gebissen und windows partition formatiert....aber pustekuchen, nach ein paar minuten bzw. treiberinstallationen meldete mir windoof dann bei fast jedem programm das ich installieren wollte das ich für die erstellung diverser registry schlüssel keine rechte hätte und das ich auch kein recht hätte irgendwo dateien zu erstellen....AVG antivirus sowie nero erzählten mir das ihre dateien vermutlich durch einen Virus modifiziert worden wären und sich selbst beenden müssten. Bei Antivir, nach nochmaligem kill der partition C:, kam übrigens der selbe schmus...irgentwann hab ich es dann doch geschafft irgendwie zu scannen und hab auch meiner meinung nach einige viren entfernt....jedenfalls meldete das AVG...also danach nochmal formatiert und vor dem online gehen zone alarm und antivir installiert.....antivir ist mittlerweile wieder tot dafür läuft zone alarm...heute erstmal mit knoppicillin 5 alle partitionen gescannt....da wo antivir/AVG dateien findet, diese aber nicht entfernen kann, findet knoppi nichts. Hab grade mit F-Secure Blacklight nach Rootkits gescannt, aber auch nichts gefunden. übrigens kann ich cmd nicht öffnen, es erscheint nur für bruchteile von sekunden um dann wieder zu verschwinden. Vor dem letzten Format konnte ich in der Systemsteuerung(nur noch klassische ansicht!?!) bis auf die Verwaltung keine der Optionen mehr öffnen...ich bekomme andauernd fehler in allen programmen und mein pc ist schon beim explorer saulahm (was bei meinem rechner und nem frischen windoof ja eigentlich nicht sein sollte) der taskmanager war auch im arsch, habe ich aber mittels registry fix wiederbelebt... Hat einer ne idee wie ich meinen PC wieder sauberbekomme? kann die anderen beiden partitionen nur schlecht formatieren weil da bestimmt 100 gb files drauf sind die ich nicht verlieren will...und 25 dvds brennen will ich auhc nicht... Hier noch mein hijackthislog: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:55:51, on 25.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Programme\Java\jre1.6.0_02\bin\jusched.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\WINDOWS\system32\ctfmon.exe D:\Programme\ICQ6\ICQ.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Winamp\winamp.exe D:\WINDOWS\system32\msiexec.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - D:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4188 bytes <--- ist laut homepage auswertung aber sauber Hoffe jemand kann mir helfen.... N3cr0 |
25.08.2007, 23:58 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Viren überleben Formatierung Hallo.
__________________Zitat:
Zitat:
Du musst viel "früher" anfangen: System aktuell halten (Patches zeitnah einspielen) - das gilt v.a. wenn du mit einem frischen WinXP ins Internet willst, da sollte zumindest das Sp2 installiert sein vor der allerersten Internetverbindung Wenn du also nach dem Neuaufsetzen wieder Schädlingsbefall hast, dann liegt das entweder am Patchlevel und der herstellung einer (ungeschützten) Internetverbindung, oder du hattest versifftest Zeug auf der aneren, nicht formatierten Datenpartition ausgeführt. Ich wär dafür du setzt nochmal neu auf, aber richtig. Offline SP2 installieren (von einer sauberen Quelle!!!), und bevor du weiteres machst, alle ausführbaren Dateien auf der Zweitpartition löschen - Bilder, Musik, Videos oder Office Dokumente kannste behalten, den Rest runterschmeißen (alle evtl. Programme und Spiele nat. auch!)
__________________ |
26.08.2007, 12:07 | #3 |
| Viren überleben Formatierung Da muss ich ganz kurz wiedersprechen. Es gibt Viren (so einen hat ich auch) die sich in einen unpartitionierten Bereich auf der Festplatte einschleichen (8 mb groß) den man nicht formatieren kann. Dort versteckt sich dann der Virus. Also das hat mir jemand erzählt. Natürlich könntest du mal probieren die Platte zu formatieren, alle Massenspeicher auszustecken und dann die BAtterie aus dem Motherboard für ca. 5 min zu entfernen. Dann neuinstallieren und neue Biostreiber druff. Das hat bei mir geholfen. Außerdem hat ich noch ein Pogramm namens True Sword 4. Das hat super geholfen.
__________________ |
26.08.2007, 13:00 | #4 |
| Viren überleben Formatierung Wäre neu, dass sich ein Virus in unpartitionierten Bereich schreiben kann |
26.08.2007, 15:17 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Viren überleben Formatierung V.a. das da dann ohne Dateisystem auch drauf zugegriffen werden kann Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Viren überleben Formatierung |
adobe, adobe reader, antivirus, bho, bluescree, bluescreen, booten, desktop, ellung, entfernen, explorer, f-secure, fehler, firefox, hijack, hkus\s-1-5-18, homepage, im arsch, internet, internet explorer, kis, logon.exe, monitor, mozilla, mozilla firefox, nicht öffnen, programm, prozesse, registry, rundll, s-1-5-18, sekunden, taskmanager, tot, trend micro, viren, windows xp, zone alarm |