Tja, man sollte nicht die wiederholte warnung des Virenprogramms ignorieren :-P

Nu hab ich diesen wunderschönen Virus aufn Hals...
Ist im Grunde nicht weiter schlimm da ich ohnehin meinen rechner die tage mal neu machen wollte, aber wenn ich ihn vorher weg bekommen würde wäre das dann wenigstens keine qual! Eine Frage am Rande: Kann der Virus sich, wenn ich Daten beibehalte auf das frische Windows dann übertragen? Wie kann ich auf nummer sicher gehen?

So, erstmal der LOG-File

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20: VIRUS ALERT!, on 19.08.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
I:\ICQ\ICQLite.exe
I:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Revoltec\FightMouse\Panel.exe
C:\WINDOWS\Vista Style\UberIcon\UberIcon Manager.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\WINDOWS\USB Adapter 108\Gcc.exe
C:\Programme\JetAudio\JetAudio.exe
I:\Microsoft Office\OFFICE11\ONENOTEM.EXE
I:\Thunderbird\thunderbird.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\Vista Style\RocketDock\RocketDock.exe
C:\Programme\SpeedFan\speedfan.exe
I:\NetMeter\NetMeter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\VLC-Player\vlc.exe
I:\TuneUp Utilities 2008\Integrator.exe
I:\TuneUp Utilities 2008\ProcessManager.exe
I:\Mozilla Firefox\firefox.exe
I:\HijackThis\HijackThis.exe
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: QXK Olive - {14FA812F-A03D-4ACE-A134-EC65959D1546} - C:\WINDOWS\twmxbsqrpeg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: rafbsvnx - {C1BA55E4-0DD3-4F21-A036-94F6DEEB9F89} - C:\WINDOWS\rafbsvnx.dll
O4 - HKLM\..\Run: [ICQ Lite] "I:\ICQ\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "I:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FightMouse Advanced] C:\Programme\Revoltec\FightMouse\Panel.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Reader 8.1\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\Vista Style\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] I:\ICQ\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: 109_pulsedriver_-_whistle_song.mp3
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = I:\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: RocketDock.lnk = C:\WINDOWS\Vista Style\RocketDock\RocketDock.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: Verknüpfung mit NetMeter.lnk = I:\NetMeter\NetMeter.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\WINDOWS\USB Adapter 108\Gcc.exe
O4 - Global Startup: jetAudio.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = I:\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Mozilla Firefox.lnk = I:\Mozilla Firefox\firefox.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = I:\Thunderbird\thunderbird.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\ICQ\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D477C07-9C9C-4F14-BF11-7998047CFDE3}: NameServer = 4.2.2.2,4.2.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D477C07-9C9C-4F14-BF11-7998047CFDE3}: NameServer = 4.2.2.2,4.2.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D477C07-9C9C-4F14-BF11-7998047CFDE3}: NameServer = 4.2.2.2,4.2.2.1
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Programme\Gemeinsame Dateien\BinarySense\hlAPP.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: tsxngabr - {1528F0DC-81B6-4177-AEDF-FA0AC1C72884} - C:\WINDOWS\tsxngabr.dll
O21 - SSODL: vtqnxfko - {95D7D003-82E6-4B54-A7D1-8FA0B2616BC2} - C:\WINDOWS\vtqnxfko.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HDDlife HDD Access service - BinarySense, Inc. - C:\Programme\Gemeinsame Dateien\BinarySense\hldasvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\System32\PSIService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: soft Xpansion Print2Document (WPEServ) - soft Xpansion - C:\Programme\Gemeinsame Dateien\WPE\wpeserv.exe

--
End of file - 8106 bytes
         

PS: Danke im Voraus.

Hallöle XP38.

Dein Windows ist alles andere als aktuell. Mit so einer Krücke im Netz surfen ist Wahnsinn!

Wenn du den Rechner eh neu machen möchtest dann solltest du nicht noch einen Helfer abmühen..

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

WOW, danke für die schnelle Antwort!
Ja, prinzipiell hätt ich nicht posten müssen, aber ich wollte wissen ob ich den Virus (bekämpfen und dann) ignorieren kann. Denn ich sichere eigentlich so gut wie alle Daten (Filme, Musik, etc.) und das is nicht wenig.

Ok, ich weis wie agressiv Viren sein können, aber mich würde interessieren (falls ihr das wisst) wie ich diesen hier einschätzen muss.
Ist er wirklich ein "Fake"Virus? Quasi eine Simulation. Denn so kommts mir vor. Der will ja krampfhaft das ich da was downloade - ich schätze mal dann den richtigen Virus. Oder?

Weil: Alles löschen (formatieren) geht 1. nicht und 2. wäre das ein ganzschöner Verlust (allein 300GB Filme).

Also: Wie bösartig ist Fake.Privdanger?

Danke schonmal für die bisherige Antwort, werde mich gleich an die Arbeit machen.

Zitat:

Ja, prinzipiell hätt ich nicht posten müssen, aber ich wollte wissen ob ich den Virus (bekämpfen und dann) ignorieren kann. Denn ich sichere eigentlich so gut wie alle Daten (Filme, Musik, etc.) und das is nicht wenig.

Könntest du, das ist aber nicht das eigentliche Problem, was man am Logfile erkennen kann.

Zitat:

Ist er wirklich ein "Fake"Virus? Quasi eine Simulation. Denn so kommts mir vor. Der will ja krampfhaft das ich da was downloade - ich schätze mal dann den richtigen Virus. Oder?

Nö, in dem Sinne nicht. Nur ein Trojaner, der ständig Malware nachläd und sich als Antivirenprogramm ausgibt. Klassisches Beispiel ist XP Antivirus 2008.

Zitat:

Weil: Alles löschen (formatieren) geht 1. nicht und 2. wäre das ein ganzschöner Verlust (allein 300GB Filme).

Das darfst du, weil du auf SP2/3 grundsätzlich verzichtet hast.

Zitat:

Also: Wie bösartig ist Fake.Privdanger?

Google hilft

OK, danke. Ich warte einfach ab was nach dem Plattmachen noch da is. :-P

*gespannt sei*

Zitat:

OK, danke. Ich warte einfach ab was nach dem Plattmachen noch da is.

Nichts. Du musst nur die Service Packs aufspielen (offline!). Dann die anderen Sicherheitsupdates durchführen.