| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: VirenbefallWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.10.2008, 23:32
| #1 |
 |  Virenbefall Rein routiene-mäßig habe ich wie jede Woche, eScan, den Rootkit Eliminator von Blacklight usw drüber gelassen. Ich war dann auch ganz von den Socken, als ich dass Ergebniss des eScans sah: 5 Viren haben sich allem anschein nach auf meinem Rechner eingenistet. leider ist es mir nicht möglich das eScan Logfile durch die bat Datei auswerten zu lassen, es funktioniert bei mir ganz schlicht und einfach nicht. HJT Logfile habe ich allerdings: PS. würde mich sehr über Hilfe freuen, brauche den PC dringenst zum Arbeiten. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:13:37, on 13.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\agrsmsvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe F:\SuperAntiSpyware\SUPERAntiSpyware.exe C:\Dokumente und Einstellungen\XXXX\Desktop\drweb-cureit.exe C:\DOKUME~1\XXXX~1\LOKALE~1\Temp\RarSFX0\_start.exe C:\DOKUME~1\XXXX~1\LOKALE~1\Temp\RarSFX0\setup.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\XXXX\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [mwavscan_autoscan] "C:\DOKUME~1\ANCALA~1\LOKALE~1\Temp\mexe.com" /s /AUTORUNBOOT O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - F:\SuperAntiSpyware\SASWINLO.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 6012 bytes |
|
13.10.2008, 08:21
| #2 |
| | Virenbefall So, hier noch ein eScan log, hoffe dass erleichtert die Arbeit:
__________________~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 12 Okt 2008 21:42:01 - System found infected with video activex access Trojan (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen. 12 Okt 2008 21:42:17 - System found infected with regsort Corrupted Adware/Spyware (hklm\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen. 12 Okt 2008 21:42:18 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 12 Okt 2008 21:42:06 - Offending Key found: HKCR\magnet !!! 12 Okt 2008 21:42:17 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\explorer\alwaysunloaddll 12 Okt 2008 21:42:18 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\run/alcmtr 12 Okt 2008 21:31:38 - OS: Windows XP [OS Install Date: 26 Aug 2008 18:58:46] 12 Okt 2008 21:32:34 - OS: Windows XP [OS Install Date: 26 Aug 2008 18:58:46] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|
13.10.2008, 14:34
| #3 |
| | Virenbefall Die Vieren haben sich leider anscheinend auch in die Registry rein geschrieben und in die Systemwiederherstellung;
__________________Hab sie mal via regedit aus der Registry gelöscht und die Systemwiederherstellung gelöscht. Allerdings, wenn ich wieder einen Scan mit MWAV mache, scheinen sie trotzdem noch auf  Bitte um Hilfe! Ist mein Arbeits-PC und möchte es mit allen möglichen Mitteln vermeiden ihn neu aufsetzten zu müssen; da dass eine Heidenarbeit wäre. Herzlichst ancalangar |
|
13.10.2008, 19:51
| #4 |
| | Virenbefall Ich würde mich wirklich sehr über einen Rat zumindest oÄ freuen, es drängt schon sehr! Alles was mir auch nur irgendwie in den Sinn gekommen ist habe ich schon ausprobiert. Soeben habe ich noch ZoneAlarm runtergeladen und es den Spyware und Viren-Check durchführen lassen, allerdings auch Ergebnisslos. Des Weiteren kommt mir vor, mein Internet bzw vorallem der Aufbau von neuen Seiten, ist stark verlangsamt.  |
|
14.10.2008, 09:06
| #5 |
| | Virenbefall Kann mir niemand helfen?  Hab nun auch SmitFraudFix drüber laufen lassen, leider ohne nennenswerte Ergebnisse Bin mit meinem Latein völlig am Ende! |
|
| Themen zu Virenbefall |
| ad-aware, agere systems, antivir, antivirus, auswerten, avgnt, avgnt.exe, avira, bho, bonjour, desktop, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nicht möglich, rarsfx0, rootkit, rundll, senden, server, software, system, urlsearchhook, viren, virenbefal, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
