| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virus komplett behoben???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.06.2008, 14:19
| #1 |
| |  Virus komplett behoben??? So erstmal hallo an alle, ich hatte heute mittag einen Virus auf dem PC. Die anzeichen dafür waren, dass neben der Uhr "VIRUS ALERT!" Stand und der Hintergrund meines Desktops nurnoch rot mit einem Symbol war. Als ich auf "Start" drückte erschien mir nur ca. die hälfte der eigentlichen symbole, daher konnte ich zum beispiel nicht auf Ausführen drücken und dinge wie der Arbeitsplatz fehlten auch, ein weiteres anzeichen war, dass ich die Icons auf dem Desktop nichtmehr anklicken konnte, wenn ich sie angeklickt hatte kam ich immer auf eine internetseite wo ich ein "Antivirenprogramm" runterladen sollte, was ich aber nicht tat. Und wenn ich auf webseiten wie google.de gehen wollte kam immer die meldung das diese seite gesperrt wäre wegen eines viruses. Den Taskmanager konnte ich ebenfalls nicht öffnen, da immer die meldung kam: "Der Taskmanager wurde durch den Administrator gesperrt" Natürlich habe ich all diesen Meldungen nicht getraut und habe den PC im abgesicherten Modus gestartet. Anschließend habe ich in Google nach einer lösung gesucht und auch eine (hier im Forum) gefunden. Ich habe SmitfraudFix laufen lassen und danach waren alle Fehlermeldungen u.ä. weg. Da ich mir aber trotzdem nicht sicher bin wollte ich fragen ob ihr noch irgendetwas "verdächtiges" finden könnt. also hier ist mal die rapport.txt logfile: SmitFraudFix v2.328 Scan done at 13:07:35,85, 23.06.2008 Run from C:\Programme\Mozilla Firefox\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri C:\WINDOWS\ksendlbtlgs.dll deleted. C:\WINDOWS\vrmdtneg.dll deleted. C:\WINDOWS\wpvmqosg.dll deleted. »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\neltabxw.exe Deleted C:\WINDOWS\privacy_danger\ Deleted C:\DOKUME~1\Dominik\Desktop\Error Cleaner.url Deleted C:\DOKUME~1\Dominik\Desktop\Privacy Protector.url Deleted C:\DOKUME~1\Dominik\Desktop\Spyware?Malware Protection.url Deleted C:\DOKUME~1\Dominik\FAVORI~1\Error Cleaner.url Deleted C:\DOKUME~1\Dominik\FAVORI~1\Privacy Protector.url Deleted C:\DOKUME~1\Dominik\FAVORI~1\Spyware?Malware Protection.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Paketplaner-Miniport DNS Server Search Order: 208.67.222.222 DNS Server Search Order: 208.67.220.220 HKLM\SYSTEM\CCS\Services\Tcpip\..\{8332EDE6-B3A1-4B07-B2DF-87F56FF63522}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{8332EDE6-B3A1-4B07-B2DF-87F56FF63522}: NameServer=208.67.222.222,208.67.220.220 HKLM\SYSTEM\CS1\Services\Tcpip\..\{8332EDE6-B3A1-4B07-B2DF-87F56FF63522}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{8332EDE6-B3A1-4B07-B2DF-87F56FF63522}: NameServer=208.67.222.222,208.67.220.220 HKLM\SYSTEM\CS3\Services\Tcpip\..\{8332EDE6-B3A1-4B07-B2DF-87F56FF63522}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{8332EDE6-B3A1-4B07-B2DF-87F56FF63522}: NameServer=208.67.222.222,208.67.220.220 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End und nun folgt noch die HijackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:29:19, on 23.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PSIService.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\Dokumente und Einstellungen\***\Desktop\nightly_23.11.2007\miranda32.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = E:\Programme\Hamachi\hamachi.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8332EDE6-B3A1-4B07-B2DF-87F56FF63522}: NameServer = 208.67.222.222,208.67.220.220 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O21 - SSODL: xvorfwbd - {5E3807F2-1D4B-440C-9439-66B259F1AB60} - C:\WINDOWS\xvorfwbd.dll O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - F:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe -- End of file - 5993 bytes Ich hoffe das alles beseitigt wurde... Vielen Dank schonmal im vorraus für alle Antworten  |
| Themen zu Virus komplett behoben??? |
| abgesicherten modus, analysis, attention, bho, bonjour, cdburnerxp, ctfmon.exe, error, excel, firefox, frage, gservice, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet security, kaspersky, logfile, malware, mozilla, mozilla firefox, nicht sicher, nicht öffnen, programm, realtek, registry, security, server, software, spyware, taskmanager, virus, virus alert, virus alert!, windows, windows xp, windows xp sp3, xp sp3 |
Baum-Darstellung