Hallo erstmal, ich bin der Basti und habe ein Problem ;-)

Anscheinend habe ich ein ähnliches Problem wie es in letzter Zeit wohl öfter vorkommt, aber irgendwie scheint es sich um einen schwereren Fall zu handeln :S

Ich habe mir bereits dieses Thema: http://www.trojaner-board.de/67843-p...-trojaner.html
und damit verbunden auch dieses Thema: http://www.trojaner-board.de/59605-g...n-oeffnen.html
durchgelesen.

Ich benutze Microsoft Windows XP Media Center Edition SP2, und mein Problem begann ganz ähnlich:

Zuerst fiel mir auf dass Google-Links zu anderen Seiten umgeleitet werden, der Seitenaufbau weitaus länger dauert und ich Seiten diverser Antivirensoftware nicht mehr aufrufen kann (Seiten-Ladefehler, Verbindung fehlgeschlagen). Natürlich ist es nicht die Hosts Datei, wäre auch zu schön gewesen -.-
Achja, ich benutze Firefox..

Ich habe Avira und Spybot S&D installiert, Avira funktioniert wohl noch einwandfrei, Spybot S&D tut das genaue Gegenteil. Das Symbol rechts unten in der Taskleiste ist vorhanden, aber öffnen lässt sich das Programm nicht, updaten ebenfalls nicht.

Nun habe ich Avira erstmal einen kompletten Suchlauf machen lassen, hat auch 3 Sachen gefunden und gelöscht. Ob die Umleitungen der Links dadurch beseitigt wurden oder durch meine anderen Versuche weiss ich leider nicht mehr.
Nur leider lassen sich die Websites von Antivirensoftware immer noch nicht aufrufen, Antivirensoftware lässt sich nicht installieren/updaten/ausführen, und der Seitenaufbau ist recht langsam.

Nun habe ich mit List und Tücke über verschiedene Umwege verschiedene Programme geladen um das Problem zu beseitigen, eine Lösung hat das allerdings nicht nach sich gezogen.


Meine Versuche sind:

-Spybot S&D neu installieren. Wenn er sofort Updaten soll hauts nicht hin, ansonsten wird installiert aber das Programm lässt sich nicht öffnen. Es erscheint der Prozess kurz im Task-Manager, verschwindet aber sofort wieder.

-cwshredder.exe geladen und ausgeführt, der hat auch prompt 2 Sachen gefunden und behoben, das wars aber auch schon (Ich glaube das hat die Umleitung von Links behoben).

-HijackThis geladen und ausgeführt, automatisch analysieren lassen, aber nichts auffälliges gefunden, weil ich sonst nichts zu tun wusste nutzlose Dinge gelöscht.

-mbam-setup.exe geladen (was schon mal eineiges an Aufwand war, da die ganzen Downloadlinks nicht aufgerufen werden können), allerdings lies sich eines der gefunden Setups nicht ausführen, und bei den anderen habe ich folgendes Problem: Beim installieren bekomme ich diese Fehlermeldung (2mal):

2 mal auf "Wiederholen" gelickt und alles scheint in Ordnung, das Programm lässt sich aber wie Spybot S&D nicht ausführen. Tja, und nun?

-Ad-Aware geladen und installiert, funktioniert wohl einwandfrei, hat auch einiges gefunden, und zwar:
2x AdwareRelevant, kann erfolgreich in Quarantäne verschoben werden.
44x Cookies, kann ebenfalls beseitigt werden
2x Win32Backdoor.TDSS, wird als Malware deklariert, sind zwei Dateipfade angegeben. Lassen sich auch entfernen, allerdings teilt Ad-Aware mir mit ein Neustart sei nötig, danach sind die Dinger nur blöderweise wieder da..




Tja, wie gesagt, Malwarebytes lässt sich nicht ausführen, folglich: was soll ich tun?

Da ihr bei ComboFix ja immer so eine nette Warnung mit abgebt lass ich da mal vorerst lieber die Finger von...


Jetzt habe ich auch noch das Problem dass auf dem PC einige doch recht wichtige Dateien leigen, unter anderem noch nicht sicherheitskopierte Teile meiner Facharbeit. Kann ich die Dateien gefahrlos auf eine externe Festplatte oder einen USB-Stick ziehen, oder könnte sich das böse Vieh dann auch dort einnisten?


Ich Danke euch schon mal im Vorraus und hoffe auf eine Möglichkeit zur Entfernung der Sauerei, da ich eigentlich extremst im Facharbeits-Stress bin und mich nun schon den ganzen Abend mit diesem Mist herumschlagen darf.. :S



Und zu guter letzt noch meinen HijackThis-Log, vielleicht fällt euch ja doch was auf:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:02:03, on 20.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SMSC\SetIcon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161181998125
O17 - HKLM\System\CCS\Services\Tcpip\..\{19BE9141-085F-4A0E-B5DC-BB91E26394D6}: NameServer = 192.168.2.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6910 bytes

Diese Art kommt leider in letzter zeit häufiger vor, doch leider muss ich sagen, dass du Neuaufsetzen musst, da eine backdoor gefunden wurde.

Bitte lies dir das durch, meistens werden damit alle Fragen beantwortet:
http://www.trojaner-board.de/51262-a...sicherung.html

und

http://www.trojaner-board.de/65029-t...-handlung.html

Hallo
Bevor ihr neu Aufsetzt probiert noch mal
"SUPERAntiSpyware Free Edition"
Mein Problem war ganz ähnlich

Nein! Da ist eine Backdoor im Spiel!

Wenn du dir den zweiten Link den ich vorher gepostet hab durchliest dann wirds dir vielleicht klar.

Hmm, das gefällt mir gar nicht, nicht weil es ein grösseres Problem darstellt den PC neu aufzusetzten, sondern weil das einfach Zeit ist die ich im Moment nicht habe. Wie der Grossteil der Leute hab ich natürlich zu spät mit der Facharbeit angefangen, und bin nun mördermässig im Stress..

Habs einfach mal versucht, aber alle Seiten von denen ich SUPERAntiSpyware ziehen könnte sind ebenfalls blockiert, hab dann doch eine gefunden, allerdings bekomm ich beim Ausführen des Setups die Fehlermeldung "SUPERAntiSpyware hat ein Problem festgestellt und muss beendet werden..."

Nur zur Sicherheit nochmal:

Ich kann also alle persönlichen Dateien auf meine externe Festplatte ziehen, ohne Gefahr dass ich den Virus mitverschleppe (würd die Dateien halt vorher alle mal von Avira bzw Ad-Aware durchleuchten lassen).


Und nunja, inwieweit wäre es denn zu verantworten einfach mit dem Pc weiterzuarbeiten? Hab noch 10 Tage Stress, danach könnte ich mich ausführlich darum kümmern. Ich führe sowieso weder Onlinebanking noch ähnliches durch, und ob ein wildfremder die Passwörter zu ein paar Foren-Accounts kennt wäre mir recht schnuppe ^^
Gibts da sonst zwingende Gründe die dagegensprechen den PC erstmal noch etwas weiterzubenutzen?

Thx, für eure Hilfe erstmal.


Achja: Ärzte ftw ^^

Bei Backdoor würd ich auf jedenfall NEUINSTALLIEREN!

Auch wenn man meint, sie wäre weg....es könnte sein, das da trotzdem noch ws drauf ist!

Es ist so, dass Bereinigen kostet mehr Stress und mehr Aufwand und mehr Zeit als Neuaufsetzen.

Vor allem wenn du an dem PC arbeitest wäre es meiner Meinung nach unverantwortlich, wenn jemand wichtige Daten in die Hände bkommt, außerdem kann es sein dass durch die Backdoor neue Malware nachgeladen wird.

Diese Anleitung zeigt was man machen soll mit Daten die einen wichtig sind vor dem Neuaufsetzen :
http://www.trojaner-board.de/51262-a...sicherung.html

nebenbei Ad-Aware kannst du vergessen.

So, da ich doch an diesem PC weiterarbeiten muss (Laptop hat keine serielle Schnittstelle die ich für meine Facharbeit brauch) hab ich jetz doch erstmal alles neu aufgesetzt. Soweit alles super (eigentlich setze ich meinen pc sowieso recht gerne mal neu auf, dann is wieder so schön Ordnung ^^).

Jetzt hab ich mich hier nochmal umgesehen, die Anleitungen durchstöbert, aber eine Sache fehlt mir:

Habe zwar alle Sicherheitsvorkehrungen die in der Anleitung zum neu aufsetzen stehen beachtet, aber es gibt wenn ich das richtig sehe nirgendswo eine Anleitung welche (Kombination aus) Anivirensoftware/Firewall und ähnliches einen Rundum-Schutz bietet.

Ich hab jetzt erstmal alle Windows Updates durchgeführt, die Windows-Firewall läuft, Avira hab ich installiert und mithilfe der entsprechenden Anleitung auf die "Agressive Einstellung" gesetzt.
Was ich mich auch früher schon gefragt habe: Reicht das aus (mal von mit Verstand surfen als Vorsichtmassname abgesehen)?
Oder sollte ich für besseren Schutz noch etwas anderes installieren, zB ein zweites Programm dass sich auf Spyware oder was auch imemr spezialisiert hat, eine andere Firewall oder so?

Wie gesagt, bisher bin ich mit Avira und der Windows-Firewall immer gut zurecht gekommen, wenn da aber noch ne Verbesserung drin ist wäre das natürlich schön zu wissen =)

Danke schonmal für alle Antworten.

Basti

Achja, fast vergessen:

Die auf ner externen Festplatte gesicherten Dateien (alles Dokumente, Bilder u.ä.) sind sauber? Würde intuitiv die Festplatte anschliessen und einmal Avira drüberlaufen lassen. Anschliessend halt das was ich brauch rüberziehen. Wäre das so die korrekte Vorgehensweise?

Also Avira und Windows Firewall bilden einen ausreichenden Schutz in Begleitschaft mit brain.exe! Mit brain.exe bräuchte man nicht einmal ein AV-Programm, denn die meiste Malware kommt ja nicht einfach so auf den Rechner.

Wenn die Dateien auf der externen Festplatte keine ausführbaren sind und aus sicheren Quellen kommen (also keine P2P), dann kannst du sie mal mit Avira prüfen lassen.

hier gibts mehr Infos:
http://www.trojaner-board.de/68951-a...tml#post407964
dich betreffen jetzt nur noch ein paar Punkte.