|
verlangsamter PC und Fehler durch Virus Ich weiß nicht, ob ich hier einfach so schreiben darf, aba ich tu es mal (bitte sagt mir, wenn ich was falsch mache) Hallo, Ich weiß gar nicht, wo ich anfangen soll: also, ich habe meinen pc eingeschaltet und zuerst wurde die darstellung von windows xp auf windows klassisch geändert. (windows xp ist nicht mehr zur auswahl verfügbar) Erst mal keine Ahnung, ob das etwas mit dem Problem zu tun hat. Danach wollte ich Kaspersky downloaden, doch die Verbindung war so langsam, dass kaspersky die verbindung automatisch beendet hat. Jetz habe ich mir eine ältere Version von Kaspersky von einer ComputerBild CD geholt und Installiert. Das Programm ist drauf, aber bei Doppelklick startet gar nichts. Avira Antivir habe ich mir gedownloadet, dass findet zwar Viren, jedoch sind meine Probleme auch nicht besser geworden. Der abgesicherte Modus funktioniert auch nicht. Der PC fährt nicht hoch! Eine Systemwiederherstellung habe ich versucht, doch der Button „Weiter“ will nicht funktionieren. (ich denke nicht, das es etwas mit XPSecurityCenter zu tun hat) Meine Soundkarte ist jetzt angeblich auch noch verschwunden! Hab mir jetz schon ziemlich viele Foren darüber durchgelesen, jedoch noch nichts brauchbares gefunden! Brauche dringend Hilfe!!!! Danke schonmal im Voraus |
Hallo bannth Lies dir dies bitte erst einmal durch http://www.trojaner-board.de/69886-a...-beachten.html :daumenhoc |
ja ich hab mir das jetzt durchgelesen (auch davor schon) was ist denn nicht korrekt? |
Zitat:
|
zu 2. ich habe doch nur ein Thema zu 3. das problem ist doch klar oder nicht? "ich habe einen sehr verlangsamten PC und den verdacht auf einen Virus" zu 4. was habt ihr gegen mein deutsch? oO zu 5. meine Programme sind sehr langsam; meine kaspersky will nicht starten; systemwiederherstellung unmöglich; abgesicherter modus nicht machbar; angeblich keine soundkarte installiert; |
Hallo, hatte bei meinem letzten Beitrag das gleiche Problem wie Du. Du bist auf der Seite mit den Verhaltensweisen nur zum Punkt 1. und seinen Subpunkten vorgedrungen (gutes Deutsch etc). Für Lektüre des Punktes 2 mußt Du die Seite runterscrollen... viele Grüße und viel Erfolg:) |
Zitat:
Das ist der Teil mit den Programmen... Die brauchen wir, weil eine Aussage wie: "meine Programme sind sehr langsam; meine kaspersky will nicht starten; systemwiederherstellung unmöglich; abgesicherter modus nicht machbar; angeblich keine soundkarte installiert;" sind nur bedingt aussagekräftig. |
ehm... ok zu den programmen: das wäre die textdatei zu hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:02:56, on 02.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\netdde.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\tlntsvr.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7B9B786B-7011-4428-AD09-2E415A183D14}: NameServer = 85.255.115.22,85.255.112.228 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4388 bytes anstatt des programms CCleaner habe ich etwas ähnliches/gleiches namens "PCShower" malwarebytes folgt noch ich hoffe damit könnt ihr was anfangen =( |
malwarebytes: alwarebytes' Anti-Malware 1.34 Datenbank Version: 1749 Windows 5.1.2600 Service Pack 2 02.03.2009 16:35:27 mbam-log-2009-03-02 (16-35-27).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 145526 Laufzeit: 54 minute(s), 56 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 7 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\RECYCLER\S-7-4-43-100026063-100024725-100021390-4448.com (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\gaopdxtmoytpqj.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\gaopdxfmqhylba.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\gaopdxnttkwkil.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\gaopdxyuvltobo.sys (Trojan.Agent) -> Quarantined and deleted successfully. |
Ich mache mich grade schlau: 85.255.112.228 org-name: UkrTeleGroup Ltd. address: UkrTeleGroup Ltd. address: Mechnikova 58/5 65029 Odessa |
das hijackthis-logfile sieht gar nicht gut aus, du wirst über eine ukrainsche ip umgeleitet, und bist somit also wahrscheinlich nicht mehr herr über deinen rechner: Zitat:
|
Das ist richtig!!! Ein ukrainischer Webhoster, der lange Zeit als Basis für einen sehr aktiven Typ von Malware diente, wurde nach Beschwerden von Security Fix an den verantwortlichen ISP, vom Netz genommen. Seit mindestens 2005 hatte UkrTeleGroup Ltd. hunderte von Webservern gehostet, welche die Kontrolle über ein breites Netzwerk von mit Malware infizierten Computern hatten. Im vorliegenden Fall ging es um Varianten des Trojaners DNSChanger aka Zlob, wie die Sicherheitsfirma McAfee erklärte. Dieser Trojaner ändert auf dem betroffenen System die Hosts Einträge und leitet damit die Computernutzer auf gefälschte Webseiten um Kreditkarten- oder Kontodaten abzugreifen. DNSChanger/Zlob blockiert außerdem den Zugriff auf sicherheitsrelevante Webseiten wie Antivirus Hersteller oder auch den Microsoft Update Dienst, so dass die Nutzer der infizierten Rechner keine Sicherheitsupdates einspielen oder sich Informationen zum Entfernen des Trojaners besorgen können. Der Trojaner DNSChanger/Zlob war laut dem Computer Sicherheitsunternehmen Sunbelt Software das 10. häufigste Malware Programm im Dezember 2008. Nach einem McAfee Bericht von Dezember 2008 wurden mehr als 400 DNS Server im Netzbereich von UkrTeleGroup gefunden. Das bedeutet das mehr als 10% des kompletten IP Bereiches für DNS Server ausgelegt war. Schon seit langem war die UkrTeleGroup vielen Sicherheitsexperten ein Dorn im Auge und schon 2006 gab es die Empfehlung den IP Bereich des Hosters komplett zu sperren. Nach der nun überfälligen Netzsperre ist leider kein Aufatmen angesagt. Die Gruppe hinter dem Trojaner hat ihre Basis inzwischen bereits verlegt, diesmal nach Lettland zu Zlkon.lv, so dass die neuen DNS Server wohl irgendwo zwischen 94.247.2.0 und 94.247.3.255 auftauchen werden. Quelle: netzhappen Ich hoffe ich kann dir gleich antworten.... Bin leider zeitlich etwas eingeschränkt...->gleich Kickertraining in der Kneipe:party: |
DNS-Einträge entfernen Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) -Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop. -installiere das Tool und achte darauf das "Run fixit" aktiviert ist. -klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!) -achte nun auf die Hinweise die gegeben werden ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board