|
Pc voller Viren Hi, ich habe folgendes Problem: Nach einiger Zeit im Internet kommt eine Fehlermeldung. Generic Host Process for win32 service wurde beendet. Dann geht das Internet nicht mehr. Ausserdem bekomme ich ständig Meldungen von Antivir, dass Viren, Trojaner usw gefunden wurden. Hier einmal das HijackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:30:36, on 01.08.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\mdm.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\dllhost.exe C:\WINDOWS\system32\scwatcher.exe C:\WINDOWS\System32\wpabaln.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.alice-dsl.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{C15E884A-1E4E-498B-A174-8497618E934A}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaurpl.exe (file missing) O23 - Service: Microsoft dllhost Service - Unknown owner - C:\WINDOWS\dllhost.exe O23 - Service: TCP/IP Network Throttle (NetThrottle) - Unknown owner - C:\WINDOWS\system32\netthrot.exe (file missing) -- End of file - 3755 bytes Wollte Viren auch schon per Hand löschen, dann kommt aber eine Meldung zugriff verweigert. Ich hoffe ihr könnt mir weiterhelfen. Danke schonmal. |
C:\WINDOWS\System32\mdm.exe C:\WINDOWS\dllhost.exe C:\WINDOWS\system32\scwatcher.exe C:\WINDOWS\System32\wpabaln.exe Lad das mal bei Virustotal hoch, und dann poste den das Ergebnis hier... |
Danke für die schnell Antwort! :aplaus: So sieh das Ergebnis von mdm.exe aus: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 BackDoor.Generic7.VVR BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 W32/Ibot.A!tr F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 Trojan-Spy.Win32.Agent.pz Kaspersky 4.0.2.24 2007.08.01 - McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 W32/Ircbot.BAC.worm Prevx1 V2 2007.08.01 Trojan.Banker Rising 19.34.22.00 2007.08.01 Backdoor.Win32.SdBot.kwu Sophos 4.19.0 2007.08.01 Troj/IBot-A Sunbelt 2.2.907.0 2007.07.31 - Symantec 10 2007.08.01 W32.Spybot.Worm TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 - |
Jetzt kommt das von dllhost.exe: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 HEUR/Crypted Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 - BitDefender 7.2 2007.08.01 Application.Packer.Themida.B CAT-QuickHeal 9.00 2007.07.31 (Suspicious) - DNAScan ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 Backdoor.VB.EV Kaspersky 4.0.2.24 2007.08.01 - McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 W32/IRCbot.BAY.worm Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Crypted |
sieht nicht so gut aus...mal sehen was mit den anderen Dateien ist... Wenn sich der Verdacht von dem Backdoorbefall bestätigt, solltest du dein PC neu aufstezen... |
Jetzt das von scwatcher.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 Win32/IRCBot.worm.variant AntiVir 7.4.0.54 2007.08.01 HEUR/Crypted Authentium 4.93.8 2007.07.31 Possibly a new variant of W32/Backdoor-based Avast 4.7.1029.0 2007.07.31 Win32:SdBot-gen44 AVG 7.5.0.476 2007.07.31 IRC/BackDoor.SdBot3.CRG BitDefender 7.2 2007.08.01 DeepScan:Generic.Sdbot.99C92EC4 CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 Trojan.SdBot-6511 DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 Backdoor.Win32.SdBot.qt Ikarus T3.1.1.8 2007.08.01 Backdoor.Win32.SdBot.qt Kaspersky 4.0.2.24 2007.08.01 Backdoor.Win32.SdBot.qt McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 probably a variant of Win32/Genetik Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 - Rising 19.34.22.00 2007.08.01 Backdoor.SdBot.wix Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 - Symantec 10 2007.08.01 W32.Spybot.Worm TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Crypted |
Und von wpabaln.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 - BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 - Kaspersky 4.0.2.24 2007.08.01 - McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 - Prevx1 V2 2007.08.01 - Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 - Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 - |
AhnLab-V3 2007.7.31.1 2007.08.01 Win32/IRCBot.worm.variant hast du in letzter Zeit irgendwelche .rar oder .zip Archive in MSN angenommen und entpackt? (z.B. myphotos2007.rar images.zip usw...) |
Nein, ich hab gar kein msn... |
Aber ich habe eine zip Datei für PES runtergeladen. Aber normalerweise ist das immer vertrauenswürdig. |
hmm...das ist dann wiederum komisch...den du hast (villeicht auch nur angeblich) den MSN-Wurm drauf:confused: |
Das ist ja komisch :confused: Und was jetzt? |
Ich kann dir das jetzt nicht sagen... Warte einfach ein bisschen bist Sunny, myrtille oder cosinus kommen :) |
Ok, trotzdem danke. Kann man den MSN Wurm auch über e-mail bekommen. Wir haben nämlich Msn als E-mail (hotmail.com) |
Mit der Frage bin ich überfordert...Ich benutz kein MSN aber Hotmail... |
Ich schätze mal am besten ist, Festplatte formatieren und Windows neu installieren. Die Treieber dann am besten auf die exterene Festplatte packen. |
Warte noch, ich weiß nicht genau ob du jetzt wirklich den Virus hast oder nicht... Das ist ziemlich unklar, da nur einige Scanner bei VT anspringen... |
Ist das denn der einzigste Virus? Ich dacht da wären noch viel mehr drauf? |
Das ist im Moment egal...die 1 Million € Frage ist ob du wirklich Backdoorsoftware auf dem PC hast oder nicht |
Ok, dann werd ich heute Abend noch mal gucken... ;) |
Hallo Sauron, dein Problem besteht hauptsächlich darin, dass die das SP2 fehlt! Man schaut sich die Malware an die du aufm Rechner hast: hier,hier,hier und hier. (das sind noch nicht mal mehr alle) Und siehe da ein Großteil der Probleme kommt daher, dass bekannte Lücken in Windows ausgenutzt worden. Hättest du also SP2 gehabt, wäre die Chance, dass dein Rechner noch sauber ist recht hoch! In deinem Fall (und bei mehreren Backdoortrojanern solltest du auch nicht zögern!) kann man nur noch ein Neuaufsetzen empfehlen. Halte dich bitte genau an die verlinkte Anleitung, sonst bist du evtl schon wieder verseucht, bevor du das letzte Programm installiert hast! (Am wichtigsten ist: Keine ausführbaren Dateien sichern und SP2 offline auf deinem Rechner einspielen!) Ich würde an deiner Stelle noch die Passwörter ändern, einige Dateien kann ich nicht 100% zuordnen, weisen allerdings stark auf passwortstehlende Würmer hin: wie dieser oder auch der gefundene Sdbot! lg myrtille PS: Das sind die Einträge zu den Backdoors in deinem Log, jeder einzelne Eintrag würde ein Neuaufsetzten unumgänglich machen: Zitat:
|
Danke erstmal für die Antwort.Ja ist ein Passwortstehlender bei :-( . Werde dann nachher Festplatte formatieren und WIndows neu aufspielen. Wie sieht das denn mit den Treibern aus? Darf ich die sichern? |
Hi, wollte jetzt die Festplatte formatieren. Das geht aber nicht da der PC nicht automatisch von der CD bootet. Könnt ihr mir weiterhelfen? |
Hast du denn im Bios die erste Bootpriorität auf dein CD/DVD Laufwerk gestellt? :) |
Nein, Ok dann mach ich das mal. Dann nach dem formatieren und Installation wieder umstellen? |
Nicht nötig, aber du kannst das wieder zurückstellen. Solange die Festplatte auch als Bootpriorität drinsteht (am besten als 2tes), kannst du die Einstellungen behalten. |
Ok, danke jetzt gehts :party: |
Jetzt isser fröhlich am formatieren :Boogie: |
Formatieren und Installieren hat geklappt. Komischerweise dauert trotzdem alles ziemlich lange... wisst ihr woran das liegt? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board