Hallo
Also ich habe ein komisches riesiges Problem. Ich habe so wie es aussieht einen Trojaner oder Virus auf unseren PCs. Ich denke mal er verteilt sich über die Dateifreigabe und auch über USB Sticks.
Wenn ich z.B auf http://windowsupdate.microsoft.com/ gehen will um die Windows Updates zu beziehen lande ich auf Google? Das passiert mit IE, Firefox und Opera.
Sogar bei unserem neuen PC den wir erst seit dieser Woche haben kommt man, wenn man auf Windows Update im Startmenu klickt auf Google. Der neue PC ist nur am gleichen Router, Dateifreigabe oder ähnliches wurde nicht eingerichtet. Er hat nur ein paar Daten per USB Stick bekommen.
Beim neuen PC haben wir auch den Norton Antivirus drauf, aber der verweigert auch die Updates. Er sagt das er keine Verbindung zum Internet bekommt. Bei unseren anderen PCs haben wir den kostenlosen Antivir. Dieser verweigert auch seit neustem die Updates.
Wir hatten auch mal kurz den Laptop von der Freundin meines Bruders dran, sie konnte dort den Kaspersky nicht Updaten. So zur Info, sie hat Vista.

Kommischerweise braucht der svchost etwas mehr Leistung als sonst und die Comodo Firewall sagt, das er bei Systemstart ins Internet geht. Er macht aber etwas überdurchschnittlich viel Traffic....


Ich hoffe ihr könnt mir irgendwie helfen. Ich habe das Problemsogut es geht geschildert.
Das ganze macht mir relativ angst, vorallem weil mein Vater E-Banking macht.

Kann mir den niemand helfen. Ich kann keine Windows Updates beziehen oder sonst etwas von microsoft.com downloaden. Ich komme ja nichteinmal auf Skydrive oder spases....


edit: ich komme ja nichteinmal auf http://www.malwarebytes.org ?!!!?

Zitat:

Das ganze macht mir relativ angst, vorallem weil mein Vater E-Banking macht.

Das sollte es auch.

Hallo erstmal.

Eine Bereinigung ist möglich, unter deinen Umständen aber empfehlenswert!
Besser wäre es den Rechner nauaufzusetzen!

Zitat:

die Comodo Firewall sagt, das er bei Systemstart ins Internet geht.

Hat Comodo erst mit Beginn der Infektion angefangen die svchost anzuzeigen oder davor auch schon?

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hmm also leider kommt Neuaufsetzen nicht in Frage, da bei einem PC keine Windows CD mitgegeben wurde und bei den anderen die letzten Schlüssel noch aktiv ist. Man darf ihn ja nur ein paar mal benutzen.


Hier mal das MBR Log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Ich konnte noch den Malwarebytes von einer anderen Seite Downloaden und starten:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1696
Windows 5.1.2600 Service Pack 3

27.01.2009 08:47:53
mbam-log-2009-01-27 (08-47-53).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 152764
Laufzeit: 2 hour(s), 28 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 7
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\AleWinSecure.EXE (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{a93a1ba9-9ee8-469f-a9fe-fd1c26700bda} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a1789eb6-b263-4bd6-8830-d3daaf78949a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1d2cc793-b043-4dd2-a52c-3d9ade61bbbd} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7be6b643-6201-4cf7-b8b1-d79ffae57cba} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{58696980-c6b3-4ad2-ab53-718f1c3c57ca} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{97641909-2311-4513-8581-f5c84b3f05f2} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\alewinsecure.winsecure (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\alewinsecure.winsecure.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a75e294e-c047-4d29-b07e-37b792881bef} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9b71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a75e294e-c047-4d29-b07e-37b792881bef} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.70 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a4950ca3-d55c-433c-a458-1cf8882856d2}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.70 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.70 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a4950ca3-d55c-433c-a458-1cf8882856d2}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.70 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.70 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a4950ca3-d55c-433c-a458-1cf8882856d2}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.70 85.255.112.147 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\win32GI (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\*USERNAME*\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\AutoUpdateWin31.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\server.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\win32GI\klog.dat (Backdoor.Bifrose) -> Quarantined and deleted successfully.



Das wegen dem svchost weiss ich nicht. Kann auch sein das der schon früher ins internet wollte.

edit:

Hilfe ich komme nun auf garkeine Website mehr ausser auf eure????!!!!!!!!


edit2: also es geht garnichts ausser trojaner-board, xboxfront.de und halobase.de . youtube google und alles andere sind nicht mehr erreichbar?!?

Verstehe mich nicht falsch, aber irgendwann ist Schluss mit Lustig und die Kosten einer XP-CD bzw. neuen Key stehen in keinem Verhältnis zum Verlust privater Daten bzw. einem leeren Konto.

feabi, dein Rechner ist höchstgradig kompromitiert! Da läuft Bifrost drauf. Der ermöglicht Vollen Zugriff auf dein System! Damit ist dein rechner nicht mehr zu retten da keiner sagen kann was alles verändert wurde.

Trenne den Rechner umgehend physikalisch vom Netz -> LAN-Stecker ziehen und ändere alle deine Passwörter und Zugansaccounts!
Alles was auf deinem PC an daten ist musst du nun als öffentlich betrachen.
Der Angreifer kann sogar sehen was wir hier grade schreiben.!.

Setzte das Systemumgehend nach Anleitung neu auf!