|
Problem mit Explorer / Viren en masse seit gegrüßt ! ich bin vor kurzem von einem längeren aufenthalt in den usa zurückgekehrt. während meiner abwesenheit war der pc in der obhut meines bruders was dazu führte , dass er formatiert wurde und er nach der reinstallation kein virenschutz draufgemacht hat. nun hab ich antivir draufgemacht und musste überrascht feststellen, dass soviele viren draufsind dass der rechner dauerpiept und eigentlich nichtmehr benutzbar ist. also habe ich antivir wieder deinstalliert. NUN GUT jetz habe ich selber nochmal formatiert und antivir nochmals draufgemacht und BAM schonwieder ! soviele viren dass garnichts mehr geht. (Wie geht das überhaupt ?) ich habe die forumsuche benutzt und nichts vergleichbares gefunden. ausserdem glaube ich dass das problem so intensiv ist dass es besonderer aufmerksamkeit würdig ist ;) dazu muss ich noch sagen dass die explorerleiste , sowie das desktop nicht angezeigt wird. nurnoch msn messanger ging (-.-) durch den ich zum explorer bin und jetz hier reintippe. sorry dass ich das problem so implizit darstelle. aber ich hab absolut keine idee wie ich das problem angehen soll, welche programme oder seiten ich am besten nutzen sollte etc. hoffe ihr könnt mir helfen grüsse LZO |
hi el zeto Also als erste solltest du einmal ein Hijackthis logfile posten (den Link findest du in meiner Signatur). Dann lasse bitte einmal Malwarebytes laufen (ebenfalls in meinr Signatur zu finden) :daumenhoc Denn report von Malwarebytes bitte posten, danke. |
hi :) mir is aufgefallen das hier schon des öfteren solche gründe für viren genannt wurden... hört doch einfach mal auf immer alles auf die geschwister zu schieben^^ im ernst jetz kann doch nich sein ^^ und ansonsten frag ich mich echt was eure geschwister wohl machen das sie viren auf den rechner bekommen -.- |
hier das hijackthisprotokoll Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:59:22, on 03.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system\tes.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\dllcache\explorer.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=69157 O1 - Hosts: 124.238.254.113 www.10280011.com O1 - Hosts: 124.238.254.113 10280011.com O1 - Hosts: 124.238.254.113 www.10289900.com O1 - Hosts: 124.238.254.113 10289900.com O1 - Hosts: 124.238.254.113 www.78877788.com O1 - Hosts: 124.238.254.113 78877788.com O1 - Hosts: 124.238.254.113 www.11051122.com O1 - Hosts: 124.238.254.113 11051122.com O1 - Hosts: 124.238.254.113 1.ehai01.com O1 - Hosts: 124.238.254.113 da.ehai01.com O1 - Hosts: 124.238.254.113 ehai01.com O1 - Hosts: 124.238.254.113 2008.sekart.cn O1 - Hosts: 124.238.254.113 www.sekart.cn O1 - Hosts: 124.238.254.113 sekart.cn O1 - Hosts: 124.238.254.113 www.11309988.com O1 - Hosts: 124.238.254.113 www.12100088.com O1 - Hosts: 124.238.254.113 www.12108899.com O1 - Hosts: 124.238.254.113 d2.llsging.com O1 - Hosts: 124.238.254.113 llsging.com O1 - Hosts: 124.238.254.113 dd.749571.com O1 - Hosts: 124.238.254.113 749571.com O1 - Hosts: 124.238.254.113 pr.749571.com O1 - Hosts: 124.238.254.113 txwm1204.com O1 - Hosts: 124.238.254.113 www.txwm1204.com O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {6167F471-EF2B-41DD-A5E5-C26ACDB5C096} - C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [TBMonEx] C:\WINDOWS\Fonts\00-50-8D-5A-C6-22\system\wdfmgr.exe O4 - HKLM\..\Run: [inudhya] C:\WINDOWS\Fonts\00-50-8D-5A-C6-22\system\soundma.exe O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe O4 - HKLM\..\Run: [SHAProc] C:\WINDOWS\SHAProc.exe O4 - HKLM\..\Run: [PTSShell] C:\WINDOWS\PTSShell.exe O4 - HKLM\..\Run: [WSockDrv32] C:\WINDOWS\WSockDrv32.exe O4 - HKLM\..\Run: [AVPSrv] C:\WINDOWS\AVPSrv.exE O4 - HKLM\..\Run: [LotusHlp] C:\WINDOWS\LotusHlp.exe O4 - HKLM\..\Run: [NAVMon32] C:\WINDOWS\NAVMon32.exE O4 - HKLM\..\Run: [Kvsc3] C:\WINDOWS\Kvsc3.exE O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe O4 - HKLM\..\Run: [InternetExe] C:\Dokumente und Einstellungen\Administrator\motou.exe O4 - HKLM\..\Run: [kkaddmin] C:\WINDOWS\Fonts\00-50-8D-5A-C6-22\system\fbd.exe O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe O4 - HKLM\..\Run: [fmsbbqi] C:\WINDOWS\fmsbbqi.exe O4 - HKLM\..\Run: [tciocp32] C:\WINDOWS\tciocp32.exe O4 - HKLM\..\Run: [mfchlp32] C:\WINDOWS\mfchlp32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O20 - AppInit_DLLs: mrjhtjd.dll,qrhhb.dll,xdfntt.dll,hgfhk.dll,hjaiq.dll,kduy.dll,frntrn.dll,dnteh.dll,chmfcmh.dll,jwlah.dll,crugd.dll,lariytrz.dll,thurh.dll,mgmgmm.dll,o qrthc.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,gmnait.dll,hfjg.dll,xdndn.dll,rgfjj.dll,dscef.dll,xfng.dll,njritc.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn .dll,gjkhj.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,rhs.dll,atehhz.dll,gjjte.dll,xgnfn.dll,x fgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,hkfgh.dll,drghszd.dll,fngn.dll,xdhdg.dll ,zdbfbd.dll,fjyjy.dll,awef.dll,msepbe.dll, O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - c:\programme\nero\nero 7\nero backitup\nbservice.exe O23 - Service: Nonprotect - Unknown owner - C:\WINDOWS\system32\serv.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2004\WinStylerThemeSvc.exe O23 - Service: XDSERVER - Unknown owner - C:\WINDOWS\system\tes.exe -- End of file - 6922 bytes gleich noch das malware protokoll (sry für doppelpost) |
Das sieht ganz nach einem Trojan.Downloader aus, mach bitte zunächst folgendes: Dateien Online überprüfen lassen:
Zitat:
Und anschließend das hier: (ist ein kleiner Test was das Programm so alles findet!) Malwarebytes' Anti-Malware
|
Malwarebytes' Anti-Malware 1.10 Datenbank Version: 586 Scan Art: Komplett Scan (C:\|E:\|) Objekte gescannt: 91656 Scan Dauer: 1 hour(s), 7 minute(s), 46 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{6167f471-ef2b-41dd-a5e5-c26acdb5c096} (Spyware.OnlineGames) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6167f471-ef2b-41dd-a5e5-c26acdb5c096} (Spyware.OnlineGames) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fpids32 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fpids32 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpids32 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\APVXDWIN.EXE (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LUALL.EXE (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nmain.exe (Security.Hijack) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6167f471-ef2b-41dd-a5e5-c26acdb5c096} (Spyware.OnlineGames) -> No action taken. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\msosfpids32.sys (Rootkit.Agent) -> No action taken. C:\Dokumente und Einstellungen\Administrator\smss.com (Heuristics.Reserved.Word.Exploit) -> No action taken. C:\Dokumente und Einstellungen\Administrator\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken. |
>Hast du die Dateien auf Virustotal überprüfen lassen? Wenn nicht dann hole dieses bitte noch nach... ;) |
hier nun die protokolle von VIRUSTOTAL Datei serv.exe empfangen 2008.04.03 18:13:06 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/32 (12.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.3.3 2008.04.03 - AntiVir 7.6.0.80 2008.04.03 - Authentium 4.93.8 2008.04.03 - Avast 4.7.1098.0 2008.04.02 - AVG 7.5.0.516 2008.04.03 Agent.SRD BitDefender 7.2 2008.04.03 - CAT-QuickHeal 9.50 2008.04.02 - ClamAV 0.92.1 2008.04.03 - DrWeb 4.44.0.09170 2008.04.03 - eSafe 7.0.15.0 2008.04.01 - eTrust-Vet 31.3.5667 2008.04.03 - Ewido 4.0 2008.04.03 - F-Prot 4.4.2.54 2008.04.02 - F-Secure 6.70.13260.0 2008.04.03 - FileAdvisor 1 2008.04.03 - Fortinet 3.14.0.0 2008.04.03 W32/OnLineGames.TVY!tr.pws Ikarus T3.1.1.20 2008.04.03 - Kaspersky 7.0.0.125 2008.04.03 - McAfee 5265 2008.04.02 - Microsoft 1.3408 2008.04.03 - NOD32v2 2999 2008.04.03 Win32/Agent.NSW Norman 5.80.02 2008.04.03 - Panda 9.0.0.4 2008.04.03 - Prevx1 V2 2008.04.03 Heuristic: Suspicious Self Modifying File Rising 20.38.60.00 2008.04.03 - Sophos 4.28.0 2008.04.03 - Sunbelt 3.0.978.0 2008.03.18 - Symantec 10 2008.04.03 - TheHacker 6.2.92.263 2008.04.03 - VBA32 3.12.6.3 2008.03.25 - VirusBuster 4.3.26:9 2008.04.03 - Webwasher-Gateway 6.6.2 2008.04.03 - weitere Informationen File size: 16384 bytes MD5: c5267352295bd4906f104f645ae1efe3 SHA1: d7ea9315c2306ddfa9f38c7a556784ea40001f52 PEiD: Armadillo v1.71 Prevx info: 95720696.DAT - Prevx die datein im fonts order gibt es bei mir garnicht (trotz anzeige von verstecken ordnern und datein) |
habs doch alles mit antivir gebacken bekommen. danke trotzdem für die schnelle hilfe :blabla: el zeato ! |
Hallo, du hast einen völlig vermurgsten Rechner am Laufen und glaubst was genau noch hinbekommen zu haben ? Vordringliche Aufgabe für dich : ändere dein Surf,-und Klickverhalten schnellstens... ...und setze die verhundste Kiste neu auf ! Benutze dafür unsere Anleitung !! Irrlicht |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board