|
Plagegeister aller Art und deren Bekämpfung: Virus oder Schicksal?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.11.2008, 21:13 | #1 |
| Virus oder Schicksal? Hallo alle zusammen, ich möchte euch mal von einer lustigen bzw. tragischen Geschichte berichten. Ich habe ein Heimnetzwerk von vier Rechnern, die über einen Router mit integrierter Firewall verbunden sind. Das WLAN-Netzwerk wird mit WPA (TKIP) verschlüsselt. Zusätzlich ist ein NAS200 mit zwei Platten, die regelmäßig spiegeln und Backups machen installiert. Alle Rechner sind mit der Routersoftware und mit der aktuellen Avira Antivirsoftware ausgestattet. Auf Updates wird geachtet. Hier beginnt die Geschichte: Rechner eins (3 Jahre alt) hat zwei IDE Festplatten auf denen 200 GB Familienfotos und videos gespeichert sind. Der Rechner geht kaputt. Das System ist immer hoch und wieder runtergefahren mit Blue Screen. Abgesicherter Modus und Reperaturinstallation haben nicht funktioniert. Meinem Vater hats gereicht, er hat sich einen neuen Rechner zugelegt. Die Daten konnten durch einen Bekannten aus der Computerbrache gerettet werden. Auf der Windowsfestplatte war die Partitionstabelle kaputt. Rechner zwei (zwei Jahre alter Highend-Rechner) wird immer langsamer, er fährt nichtmehr runter, man kann kein Programm starten, selbst der shutdown Befehl funktioniert nicht. Grafikkarte und RAM hab ich ausgetauscht, funktioniert trotzdem nicht. Ich habe den Verdacht, dass die RAM-Blöcke im Dutt sind, deswegen hab ich Ubuntu runtergeladen und werd bald nen MEM-Test machen. Zwischenzeitig hatte ich die Windowsfestplatte von Rechner 1 drin, hat aber nicht funktioniert. Jetzt die Krönung: Zur Sicherheit wollte ich heute die geretteten Daten von Rechner 1 auf die Netzwerkfestplatte kopieren und siehe da das Ding ist lehr, vorher waren 150 GB anderer Daten drauf. Zwei eingerichtete Benutzerprofile waren weg. Die Software für den NAS200 hat mir angezeigt das Disk 2 nicht formatiert ist. Das Teil hat allerdings bis gestern noch gearbeitet. Hab mich sofort mit dem Kundendienst des Herstellers in Verbindung gesetzt, der hat mir gesagt ich soll Disk 2 formatieren, toll auch. Die zwei Festplatten hab ich an meinen Rechner angeschlossen, Ergebniss sie sind unpartioniert und zu 100% lehr. Hab jetzt wieder unseren Bekannten kontaktiert, der bekommt die beiden Festplatten im LAufe der Woche. Ich habe nun zwei Fragen an diese Forengemeinschaft: 1. Was für Möglichkeiten gibt es ein Heimnetzwerk und die vorhandenen Daten noch sicherer zu machen? 2. Gibt es irgendeinen Virus, der soviel zerstören kann, oder war es sogar ein Hacker, der die Netzwerkfestplatte formatiert hat (Diese war über DynamikDNS über das Internet zu erreichen)? Was meint ihr ist das einfach nur böser Zufall, dasss soviel in 3 Wochen passiert? Tipps und Hinweise sind sehr Willkommen. Aus lauter Panik hab ich jetzt meinen Rechner auf Herz und Nieren geprüft: HiJack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:07:40, on 21.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe c:\programme\avira\antivir personaledition classic\avcenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: RemoteShutDown Service (RemShutDownSvc) - Unknown owner - C:\WINDOWS\System32\remsdnsv.exe -- End of file - 5361 bytes AntiVir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 21. November 2008 19:49 Es wird nach 1044087 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: COMP Versionsinformationen: BUILD.DAT : 8.2.0.336 16933 Bytes 30.10.2008 11:40:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.7.2008 17:19:46 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.7.2008 17:19:45 LUKE.DLL : 8.1.4.5 164097 Bytes 18.7.2008 17:19:46 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.7.2008 17:19:46 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 19:54:52 ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 9.11.2008 20:47:39 ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16.11.2008 20:47:35 ANTIVIR3.VDF : 7.1.0.116 134144 Bytes 20.11.2008 20:47:38 Engineversion : 8.2.0.34 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 20:22:05 AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 20:47:41 AESCN.DLL : 8.1.1.5 123251 Bytes 7.11.2008 20:48:11 AERDL.DLL : 8.1.1.3 438645 Bytes 5.11.2008 20:49:16 AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 20:47:41 AEOFFICE.DLL : 8.1.0.30 196986 Bytes 7.11.2008 20:48:10 AEHEUR.DLL : 8.1.0.71 1487222 Bytes 7.11.2008 20:48:09 AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 20:47:37 AEGEN.DLL : 8.1.1.4 319861 Bytes 18.11.2008 20:47:37 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 20:22:00 AECORE.DLL : 8.1.5.0 172407 Bytes 18.11.2008 20:47:36 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 20:21:59 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.7.2008 17:19:46 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.7.2008 17:19:45 AVREP.DLL : 8.0.0.2 98344 Bytes 31.7.2008 22:57:40 AVREG.DLL : 8.0.0.1 33537 Bytes 18.7.2008 17:19:45 AVARKT.DLL : 1.0.0.23 307457 Bytes 18.4.2008 20:16:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.7.2008 17:19:45 SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.4.2008 20:16:19 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.7.2008 17:19:46 NETNT.DLL : 8.0.0.1 7937 Bytes 18.4.2008 20:16:19 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.7.2008 17:19:43 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.7.2008 17:19:44 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Freitag, 21. November 2008 19:49 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'locator.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FritzDsl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '33' Prozesse mit '33' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '57' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Volume> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Jahncke\Desktop\go\mtxl1493_fullsetup.rar [0] Archivtyp: RAR --> mtxl1493_fullsetup.exe [FUND] Ist das Trojanische Pferd TR/Agent.1877531 [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Jahncke\Lokale Einstellungen\Anwendungsdaten\CurseClient\wowdb.dll [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. C:\RECYCLER\S-1-5-21-484763869-1972579041-839522115-1003\Dc29.exe\FiFA 08 Crack.exe [0] Archivtyp: NSIS --> [TempDir]/is159426.exe [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0ACC7B31-2F4C-45B9-A473-4839D411C64F}\RP229\A0046974.exe [0] Archivtyp: NSIS --> [TempDir]/is159426.exe [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0ACC7B31-2F4C-45B9-A473-4839D411C64F}\RP230\A0050988.dll [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0ACC7B31-2F4C-45B9-A473-4839D411C64F}\RP230\A0050990.exe [0] Archivtyp: NSIS --> [TempDir]/is159426.exe [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Freitag, 21. November 2008 20:59 Benötigte Zeit: 1:09:21 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 11306 Verzeichnisse wurden überprüft 581003 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 6 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 580996 Dateien ohne Befall 6222 Archive wurden durchsucht 1 Warnungen 6 Hinweise |
21.11.2008, 21:20 | #2 | |
Gast | Virus oder Schicksal?Zitat:
|
21.11.2008, 21:22 | #3 |
| Virus oder Schicksal? Ist erst seit zwei Tagen drauf und wurde schon gelöscht.
__________________edit: Ich hab mir gerade so gedacht da ich den Trojaner Dropper.Gen drauf hatte, kann es sein das jemand die Passwörter vom NAS200 aufgezeichnet und diesen Mist mit der Netzwerkfestplatte angestellt hat? |
21.11.2008, 21:25 | #4 |
Gast | Virus oder Schicksal? Sowas sollte überhaupt nicht auf dem System sein. Wurde das Ding ausgeführt? |
21.11.2008, 21:27 | #5 |
| Virus oder Schicksal? ja, aber die Probleme mit den Rechnern waren vorher schon. |
Themen zu Virus oder Schicksal? |
100%, avira, bho, desktop, down, dsl, festplatte, firefox, frage, google, hijackthis, internet, internet explorer, kunde, mozilla, nt.dll, programm, prozesse, registry, server, sicherheit, starten, suchlauf, system, updates, verweise, virus, virus gefunden, warnung, windows xp |