|
Virus (Name?) Hallo! ich habe folgendes Problem: ich habe mir ein Programm per P2P/Torrent runtergeladen. eigentlich bin ich immer vorsichtig, doch die Setup-Datei enthielt einen Virus. es wurden mehrere Dateien von AntiVir beim Installieren bereits gefunden, welche ich dann direkt löschte. Ich weiß daher leider nicht mehr die Namen, aber der Ort war C:\ Soweit ich mich erinnere waren alle Dateien (6 an der Zahl (?)) .exe-Dateien. Jetzt habe ich folgende Probleme/abnormale Vorkommnisse: - meine DFÜ-Verbindung wurde mir als >24h angezeigt (war mal 1 Tag 8 Std. x Min.), was ja nicht sein kann, da jeder Provider nach 24h automatisch die Verbindung trennt! - IE: beim öffnen, kommt lediglich das folgende bekannte Fenster: "Internet Explorer hat ein Problem festgestellt......" und dann die üblichen Buttons: "SENDEN" und "NICHT SENDEN" - FF (Firefox): manchmal ging das Internet mit FF, aber nur kurz, und wenn dann nur langsam, und irgendwann wurde die Verbindung unterbrochen. Meldung: "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde..." - wenn ich C:\ (wie üblich die Startpartition) per Doppelklick auf das Symbol im Arbeitsplatz öffnen will, kommt folgende Fehlermeldung: http://f.imagehost.org/0402/FEHLER.jpg bei D:\ und E:\ passiert einfach garnichts. per Adresszeile kann ich sowohl per Texteingabe, als auch per Klick alles öffnen. AntiVir (vollständige Systemprüfung) fand nichts mehr, aber das Problem besteht weiterhin. Ich habe jetzt auch CCleaner und HiJackThis ausgeführt. - CCleaner mehrmals bis keine Fehler mehr angezeigt wurden. - HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:58:26, on 17.02.2009 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\pdf24\PDFBackend.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w**.google.de/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FF342B-CB77-4632-89B2-86E6468501F1}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 5297 bytes ------------------------------------------------------------------------- Eine Reparatur per WIN XP-SETUP brachte auch nichts. Vielen Dank für jede Hilfe! spikey2 |
Hallo und :hallo: Zitat:
Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Zitat:
Und schon wieder diese Ukrainischen IP's im DNS Server. Genau die Gleiche wie bei mir und Isabella (Threads hier im Forum). Ich frage mich immernoch wo ich mir sowas eingefangen habe, denn ich hatte nichts gedownloaded (lol was für 'nen blödes denglisches Wort). Viel Erfolg beim loswerden.. weiß selber noch nicht, ob mein System wieder reine ist. Aber bei den netten Profis hier, klappt das sicher! :dankeschoen: Liebe Grüße |
ok, gut. jetzt noch eine Frage: wozu alle Geräte anschließen? |
Hi, ist schnell erklärt, nennt sich autorun.inf und wird gleichmäßig von Deinem lieben Gast (mit sicher selbst als aufzurufende Andwendung) auf alle seid der Infektione angeschlossenen Geräte verteilt, so dass er sich darüber "fortpflanzen" kann. Daher alles anhängen was seid der Infektion dran war und den Rest comboFix überlassen.... Sonst kommst Du nach erfolgter Bereinigung mit einem verseuchten USB-Stick oder USB-Festplatte an und fragst Dich, wieso der ganze Sch.... wieder von vorne anfängt.... Chris and out |
danke für die schnelle antwort! :) dann muss ich erstmal überlegen, was ich da angeschlossen hatte... ist schon ein paar tage her. |
@Chris4you Danke fürs Einspringen. Du bist mir sympathisch. :) @spikey Du sollst nicht denken, du sollst alles anschliessen. ciao, andreas |
sorry, hatte die letzten wochen wenig zeit. wollte das problem jetzt angehen: schaltete den PC ein. der rechner zeigte mir bereits beim Hochfahren ("DOS-Teil") folgende Meldung an: BOOT DISK FAILURE. INSERT SYSTEM DISK AND PRESS ENTER. ich legte ne win-startdiskette ein, enter - nix. neustart. diesmal kam es nicht. nur das leider übliche sehr lange (nicht normal lange, sondern einiges länger!) angezeigte "Windows wird gestartet..." bevor der Benutzer-Bildschirm erscheint. allgemeine Frage zur Sicherheit doch nochmal voraus: meinem MAC (POWER PC!) kann der Virus nicht schaden, ne ? da ich die zur Beseitigung benötigten Programme auf dem Mac vom Netz ziehe, da ich ja mit dem PC garnicht mehr ins Netz komme, und dann per USB-Stick auf den PC ziehen will. @john.doe: aber schon alle, die ab zeitpunkt der infektion angeschlossen waren, oder ? da sie ja autorun.inf und somit den virus enthalten könnten?! |
Zitat:
ciao, andreas |
@john.doe: danke! |
Zitat:
ich bin mir schon der Bedeutung des Wortes "alle" bewußt! du schriebst ja erst, ich solle "alle ab Infektion" anschließen. Es war dann schon geklärt, dass es lediglich die womöglich/evtl. infizierten Geräte betrifft. Nur danach kam noch obiges Zitat. Also fragte ich dann doch nochmal nach. Sicher ist sicher... Gut, geklärt. Problem jetzt: Ich komme jetzt garnicht mehr in WIN rein. an "DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER" führt jetzt irgendwie kein Weg vorbei :( hab schon verschiedene Sachen probiert, die sonst bei einem nicht der Erwartung entsprechend reagierenden PC funktionieren, die zwar keine logische Erklärung haben, aber dennoch oft funktionieren. Wie CD/DVD-Schubladen auf beim Start, Diskette rein. Den Start mittels Schalter am Netzteil unterbrechen. Kurz warten und Neustart. Neustart ohne Warten Direkt Neustart mittels Reset-Taste, etc. NIX :/ |
Zitat:
Schau mal ins BIOS, von welchem Medium zuerst gebootet wird. Falls es die Festplatte ist, dann ändere das auf CD. Lege die Windows CD ein und führe eine Reparaturinstallation durch. ciao, andreas |
ja, das mit dem schalter&netzteil ist dann halt so eine verzweiflungstat, wenn nichts anderes hilft. ist absolut nicht logisch! aber es hilft :D das mit der reparatur hatte ich ja zuvor bereits gemacht, weil durch den virus das system zum teil im Ar*** war. Durch dier Rep.Inst. war es auch nicht sonderslich funktionstüchtig, aber ich kam wenigstens ins System hinein. SP 1 konnte ich installieren, nur bei SP 2 machte er einfach nicht weiter. dann konnte ich wie gesagt ins system. alles "lief" (also mit einem bein hinkend;) ) und dann kam plötzlich aus dem nichts diese fehlermeldung beim start, ohne, dass ich irgendwelche änderungen am system vornahm (neue progs inst. o.ä.) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board