Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Riesen Virenproblem, Bitte um Hilfe! (https://www.trojaner-board.de/12843-riesen-virenproblem-bitte-um-hilfe.html)

Jack999 27.01.2005 07:14

Riesen Virenproblem, Bitte um Hilfe!
 
Hallo Leute,
ich habe mir gestern ein Virus eingefangen. Folgendes passiert, wenn ich meinen PC starte:

- Er bleibt beim Willkommen-Bildschirm von Xp stehen. Dann (nach ca. 20 sek.) kommt mein Hintergrundbild und ein Fehler "Couldn't intelisize service" (oder so ähnlich), wenn ich auf ok gehe, passiert weiter nichts. Dann resette ich den PC, lasse Scandisk durchlaufen, und dann ist alles wie gewohnt (nur dauerts ca. 20 Sek länger als normal)

Folgendes habe ich versucht:
- Ad-Aware Se -> 3 Objekte -> gelöscht
- Norton AntiVirus2004 -> über 200 Objekte -> gelöscht (normal habe ich nie Viren nur jetzt habe ich mir gleich so viele eingefangen?!)
- Autostart geprüft

Ohne Erfolg. Ich habe einen Verdacht. Und zwar steht bei AdAware bei "Prozessmodule geladen" eine sehr hohe Zahl. Etw. über 900-1000. Ich meine mich zu erinnern, dass früher nur 200 da waren... Übrigens stehen bei NAV2004 im Detail die Namen der Viren. Die 200 Objekte sind irgendwelche Cracks, keygens, usw. Habe die noch nie gesehen.

Schonmal Danke im Voraus!

Gruß

Kim999 27.01.2005 08:05

http://www.hijackthis.de/downloads/h...is199_beta.zip
Downloaden, entpacken, starten, scannen und das Log hier posten :)
Dann sehen wir weiter, ob da etwas ungutes im Hintergrund läuft :)

big_surfer 27.01.2005 09:37

Ich empfehle in so einem Fall immer folgende Vorgehensweise:

Da alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft).

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung deaktivieren und im abgesicherten Modus booten. Nochmal Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage

Jack999 27.01.2005 13:05

Vielen Dank für so schnelle Hilfe:
HiJackthis:
Logfile of HijackThis v1.99.0
Scan saved at 12:39:25, on 27.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.msn.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097074173265
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B591237-336F-4D07-B38F-D069BE6A71BD}: NameServer = 62.53.190.68 193.189.244.205
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Spybot
5 Probleme:
DSO Exploit - 5 Einträge
Cool www search. aff winshow - 1 Eintr.
DyFuCA Internet optimizer - 2 Eintr. <- sehr verdächtig :confused: :lach:
DyFuCA - 1 Eintr.
I search Powerscan - 1 Eintr.

Ich werde alles löschen und nochmal mit a² prüfen und hier posten....
Msconfig bereits geprüft, alles wie immer.

Mfg

Jack999 27.01.2005 14:59

Habe alles probiert die fehlermeldung erscheint immer noch. Die Fehlermeldung heißt jedoch anders: LOADER Couldn't intilisize service :heulen:

Gibt es einen anderen weg?

"Ich habe einen Verdacht. Und zwar steht bei AdAware bei "Prozessmodule geladen" eine sehr hohe Zahl. Etw. über 900-1000. Ich meine mich zu erinnern, dass früher nur 200 da waren..."

ist die zahl 900 bei adaware normal?

chaosman 27.01.2005 20:22

@Jack999
DSO Exploit bei spybot ist ein Bug.

lade dir escan download hier
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Jack999 29.01.2005 12:55

Vielen Dank für die Antworten! Habe das Problem selbst gelöst (formatiert) :-)

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131