|
Plagegeister aller Art und deren Bekämpfung: Hilfe bei 14 virenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.03.2008, 20:03 | #1 |
| Hilfe bei 14 viren Guten Tag, Ich habe ein sehr großes Problem und zwar habe ich allerhand vieren weil mein kleiner Bruder (14) Sich diverse Key logger von irgend welchen komischen Seiten heruntergeladen hat, auf meinen Rechner . Soweit sogut nun ist aber das Problem das ich 0 Ahnung von Vieren habe, und auch net weiss ob ich die einfach löschen darf, also alle .exe und .zip Datein habe ich gelöscht, aber bei dem Rest bin ich mir unsicher, es wäre auch nett wenn ihr mir sagen könntet was die noch vorhandenen Vieren Bewirken , vielen Dank im Voraus. Hier die Berichte von Anti vir und SDfix : So der Antivir Bericht großes Grinsen : Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HDD> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <Volume> Beginne mit der Suche in 'E:\' <DATA> E:\Dokumente und Einstellungen\Malte Klepper\Eigene Dateien\Meine empfangenen Dateien\Steam account with all games.zip [0] Archivtyp: ZIP --> Steam account with all games/License agreement.exe [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.PD --> Steam account with all games/Readme.exe [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.PD [INFO] Eine Sicherungskopie wurde unter dem Namen 48461563.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Eigene Dateien\111601.zip [0] Archivtyp: ZIP --> tduhack2.0/tduhack2.exe [FUND] Ist das Trojanische Pferd TR/Keylog.HotKeysHook.CO [INFO] Eine Sicherungskopie wurde unter dem Namen 48121603.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Eigene Dateien\Azureus Downloads\OptixPro1.32\OptixPro1.32.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Optix.Pro.131 [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Eigene Dateien\Azureus Downloads\OptixPro1.32\Builder\alternativecgilogger.zip [0] Archivtyp: ZIP --> back4/cgi_log.php [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Optix.Pro.131 --> back4/config.inc.php [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/OptixPro.131.A --> back4/install.php [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/OptixPro.131.B [INFO] Eine Sicherungskopie wurde unter dem Namen 48551763.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Eigene Dateien\Azureus Downloads\OptixPro1.32\Builder\Builder.exe [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Optix.Gen [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Eigene Dateien\Azureus Downloads\OptixPro1.32\Client\Client.exe [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Optix.Pro.1.3.3 [INFO] Eine Sicherungskopie wurde unter dem Namen 484a1787.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Eigene Dateien\Azureus Downloads\sht\tools\nstealth\NStealth-5-2b24.exe [FUND] Enthält Erkennungsmuster des Droppers DR/NStealth.52 [INFO] Eine Sicherungskopie wurde unter dem Namen 485517a6.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Eigene Dateien\Downloads\90281.zip [0] Archivtyp: ZIP --> unl-nfsctrn.exe [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Shell.P [INFO] Eine Sicherungskopie wurde unter dem Namen 48131795.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Eigene Dateien\ICQ\456315802\ReceivedFiles\215959870 Flo\1152882800_Money Trainer.rar [0] Archivtyp: RAR --> Money Trainer.exe [FUND] Ist das Trojanische Pferd TR/Keylogger.HotKeysHook.A.33 [INFO] Eine Sicherungskopie wurde unter dem Namen 48161840.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. E:\Dokumente und Einstellungen\Malte.SN114572230311\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pntcmgv7.default\Cac he\05075A53d01 [FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4811186e.qua' verschoben! E:\Dokumente und Einstellungen\Malte.SN114572230311\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pntcmgv7.default\Cac he\1C0F496Cd01 [0] Archivtyp: ZIP --> unl-nfsctrn.exe [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Shell.P [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48111886.qua' verschoben! E:\Dokumente und Einstellungen\Malte.SN114572230311\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A98BQPE5\ad2[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4813198f.qua' verschoben! E:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP110\A0055325.e xe [FUND] Enthält Erkennungsmuster des Droppers DR/Optix.Pro.131 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48111c4e.qua' verschoben! E:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP110\A0055326.e xe [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Optix.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48111c51.qua' verschoben! E:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP110\A0055327.e xe [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Optix.Pro.1.3.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48111c53.qua' verschoben! E:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP110\A0055328.e xe [FUND] Enthält Erkennungsmuster des Droppers DR/NStealth.52 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48111c55.qua' verschoben! Ende des Suchlaufs: Mittwoch, 19. März 2008 14:59 Benötigte Zeit: 3:29:17 min Der Suchlauf wurde vollständig durchgeführt. EDIT: SDfix is fertig Report aber zu lang habs jetz geuppt. Report: SophosReport.txt ... at uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ... vielen Dank im Vorraus CoreQuad |
19.03.2008, 20:12 | #2 |
| Hilfe bei 14 viren Hi,
__________________Ich würde dir avast! antivirus empfehlen hat mir auch geholfen(ich hatte über 30 Viren)Das seubert den ganzen Pc von Viren und den Meisten Trojaner und Würmer.Man kann es auf dieser Seite kostenlos downloaden. Avast Antivirus - Home Edition 4.7.1098 - Freeware - ZDNet.de, Downloads, Utilities, Antivirus lg Ivo |
19.03.2008, 20:24 | #3 |
| Hilfe bei 14 viren Und ich würde dir empfehlen ein Hijackthis-Log zu posten. So wie das alle hier machen sollen um hilfreich bedient werden zu können.
__________________Im übrien hab ich beim Überlfiegen deines Antivir-Logs schon irgendwas mit Backdoor gelesen. In diesem Falle ist höchstwahrscheinlich das allerbeste nicht lange am System rumzudoktern, sondern es komplett neuaufzusetzen! Und zwar mit nach der Anleitung, die du ebenfalls auf den Seiten des Forums finden kannst! peace! |
19.03.2008, 20:33 | #4 | |
| Hilfe bei 14 virenZitat:
Wat neu aufsetzen??? Och nöö..., was isn mit mein ganzen Daten??? Die krieg ich nie im leben alle gesischert Wo find ich denn die besagte Anleitung hab nur ne Recovery CD gehtz trotzdem??? Geändert von CoreQuad (19.03.2008 um 20:43 Uhr) |
19.03.2008, 20:44 | #5 | |
| Hilfe bei 14 virenZitat:
Die Anleitung zum Neuaufsetzen findest du im Forumsordner für Anleitungen. Mach die Augen auf! Es sollte i.Ü. auch mit einer Recovery CD funktionieren, will ich meinen... |
19.03.2008, 20:49 | #6 |
| Hilfe bei 14 viren Danke, ja bin ich mir hab die einfach ma bei Hijackthis.de auswerten lassen^^... alles im grünen bereich^^ |
19.03.2008, 20:53 | #7 | ||
| Hilfe bei 14 virenZitat:
Zitat:
Und dann das Log selber ausgewertet? :aplaus: Und bei andern Usern sehr "hilfreiche" Kommentare ablassen..... Poste das Log..aber wenn Antivir nicht Lügt, hilft nur Neuaufsetzen des Systems! |
19.03.2008, 23:44 | #8 |
| Hilfe bei 14 viren Jep wollt ihn jetz neu aufsetzen, Hab auf Werksherstellung gedrückt aber es sind noch alte daten drauf!! ... was soll ich noch tun??? hab diesen vorgang jetzt 3x gemacht ber bringt nix... Steht so auch inna Anleitung vom PC ne andere Wahl gibts da net auf der Recovery CD @mellosun: was glaubst du net??? Naja ich weiss ich das ich i-wie nerve aba sorry..., is halt nur dumm das hier trotzdem noch Daten (ICQ, und 2 Games, Open office...) Drauf sind..., deshalb weiss ich ja net ob die Backdors und soo weg sin..., echt sry das das für manche hier ziemlich nervig is aba net jeder kennt sich sogut damit aus^^... Trotzdem vielen Dank Geändert von CoreQuad (19.03.2008 um 23:56 Uhr) |
20.03.2008, 07:43 | #9 |
| Hilfe bei 14 viren Und warum weigerst du dich so wehement, ein HJT-Log zu posten. Befürchtest du man könnte sehen, dass deine Programme alles unerlaubte Kopien sind? Müsste man ja annehmen. |
20.03.2008, 08:37 | #10 |
| Hilfe bei 14 viren Moin für mich klingt das eher wie nen Fußschuss da hat wohl jemand mit dem Optix rumgespielt... Prost |
20.03.2008, 09:08 | #11 |
| Hilfe bei 14 viren Was ist denn Optix???^^ @blow in: kiene angst hab hier nix illegales drauf^^, mom poste ma ein wenn ihr drauf besteht xD: Logfile of HijackThis v1.99.1 Scan saved at 09:10:42, on 20.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Zonelabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ICQ6\ICQ.exe D:\Programme\Vidalia Bundle\Privoxy\privoxy.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ZoneLabs\UpdClient.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE E:\DOKUME~1\afk\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - Global Startup: Privoxy.lnk = D:\Programme\Vidalia Bundle\Privoxy\privoxy.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\Zonelabs\vsmon.exe Soo..., Hoffe ihr könnt mir helfen aber nochmals 100dank das ihr euch die Zeit nehmt |
20.03.2008, 16:32 | #12 |
| Hilfe bei 14 viren dein ottografie is aba auch sehr nalässig. aba is glaub slog is sauba. was eh gal is wenne jetz neusetzt. .poing.beep. |
20.03.2008, 19:13 | #13 | |
| Hilfe bei 14 virenZitat:
Gruß CoreQuad Freak |
Themen zu Hilfe bei 14 viren |
.zip datei, antivir, content.ie5, dateien, diverse, drivers, einstellungen, firefox, free, gelöscht, icq, internet, key logger, löschen, mozilla, namen, problem, quara, seite, seiten, suche, suchlauf, system, system volume information, system32, vielen dank, viren, virus, warnung, windows, windows\system32\drivers, zu lang |