Hallo zusammen,
letzte Woche habe ich mir mit meinem Laptop wohl einen fetten Oster-Virus eingefangen
Ich fang mal ganz von vorne an:
Ganz normaler Tag, ich surfe im Internet. Plötzlich kommt eine Fehlermeldung meines Antivirensystems (
Panda Platinum Internet Security 2010) mit "Einbruchsversuch abgewehrt". Ich hab mir nichts weiter dabei gedacht, das ist eigentlich schon an der Tagesordnung. Kurz darauf kommt eine nächste Meldung, diesmal von Windows. "xipnebdv.exe hat ein Problem festgestellt und muss beendet werden" Hä? Was ist das bitte? Habe ich noch nie gehört.
Nagut, die Festplatte hat schon arg gerattert worauf ich schließen musste, dass da schon etwas im Anflug war, der PC reagierte jetzt nur noch schwach.
Und promt kam die nächste Fehlermeldung: "Sie haben sich entschlossen, das Programm macwrxsone.tmp, das nicht reagiert, zu beenden." und "Die Anweisung in "0x1000157e" verweist auf Speicher in "0x003f4000". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden. Klicken Sie auf "OK" um das Programm zu beenden"
Na prima, da hatte ich den Salat. Der Computer reagierte auf NICHTS mehr. Ich wusste nicht was ich machen sollte, also hab ich einfach mal die Stromversorgung gekappt, und neu gestartet.
Und siehe da:
Er fährt nicht mehr hoch
Die ersten 10Sekunden ist alles normal, aber dann kommt für einen kurzen Augenblick (zu kurz um zu erkennen was darinsteht) ein Bluescreen und er startet wieder von neuem. Auf "normalem" Wege habe ich keine Chance in Windows zu kommen.
Meine durchschnittlichen PC-Kentnisse sagten mir, "probiers doch mal im Abgesicherten Modus".
Alles klar, neu gestartet, F8 gedrückt und im Abgesicherten Modus hochgefahren. Tzja, denkste : Der fährt auch nur im Abgesicherten Modus hoch, wenn ich "Cancel loading SPTD.sys" auswähle.
TATAA! Ich war im Abgesichertem Modus.
Dann mal schnell mit meinem Panda nach Viren scannen lassen. Ergebniss: ca 40mal die Hucke voll bekommen, einige davon konnte er nicht desinfizieren -> habe ich an PandaLabs zum desinfizieren geschickt. Jedoch hat mich eine Datei SEHR stutzig gemacht, namens "OLD13B.tmp. Dieses "HackerTool" wurde gefunden, im Ordner [i]C:\WINDOWS\system32\drivers\ Panda sagt mir auch folgendes: "Malware-Name: Rootkit/Agent.NMS, Ursache: Hacker-Tools, Status: Malware"
Puuh, da musste ich erst mal schlucken. Naja, da ich ja eine Original Version von Panda IS besitze, habe ich denen erstmal eine Email geschrieben und mein Problem exakt geschildert. Zwei Stunden später bekam ich eine nette Email mit drei verschiedenen Lösungsansätzen. Habe alles ausprobiert, jedoch ohne Erfolg. Ich schreib wieder an Panda, habe jedoch bis heute keine Antwort bekommen (sehr seltsam, vielleicht dauert das auch noch ein wenig)
Habe im abgesicherten Modus noch schnell ein
Hijackthis-Log durchlaufen lassen, könnt ihr hier finden:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:58, on 31.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: **** (8.00.6001.18702)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Panda Security\Panda Internet Security 2010\apvxdwin.exe
C:\Programme\Panda Security\Panda Internet Security 2010\WebProxy.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\ctfmon.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\2.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\2.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2010\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2010\Inicio.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: cbssreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwssvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Security International - c:\programme\panda security\panda internet security 2010\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\PskSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\TPSrv.exe
--
End of file - 7491 bytes
|
Lange Rede kurzer Sinn:
Mein Laptop fährt nicht mehr hoch, formatieren kommt für mich nicht in Frage. Ich habe anscheinend ne Menge Viren/Trojaner sonstigen drauf, und bekomm sie nicht weg.
Ich hoffe wirklich, dass sich jemand hier die Mühe macht, meinen doch schon längeren Text einmal sorgfältig durchzugehen und dann versucht mir zu helfen. Ich bin auf den Laptop dringend angewiesen.
Falls es noch wichtig ist, es handelt sich bei dem betroffenem Gerät um:
Acer Extensa, Intel Celeron processor 900 (2,2GHz, 800MHz FSB, 1MB L2 Cache), Mobile Intel Graphics Media Accelerator, 1GB DDR2, 160GB HDD
mit Windows XP Service Pack 3
07.04.2010, 09:56
Baum-Darstellung