| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Pc voller VirenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.08.2007, 10:48
| #1 |
| Gesperrt |  Pc voller Viren Hi, ich habe folgendes Problem: Nach einiger Zeit im Internet kommt eine Fehlermeldung. Generic Host Process for win32 service wurde beendet. Dann geht das Internet nicht mehr. Ausserdem bekomme ich ständig Meldungen von Antivir, dass Viren, Trojaner usw gefunden wurden. Hier einmal das HijackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:30:36, on 01.08.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\mdm.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\dllhost.exe C:\WINDOWS\system32\scwatcher.exe C:\WINDOWS\System32\wpabaln.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.alice-dsl.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{C15E884A-1E4E-498B-A174-8497618E934A}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaurpl.exe (file missing) O23 - Service: Microsoft dllhost Service - Unknown owner - C:\WINDOWS\dllhost.exe O23 - Service: TCP/IP Network Throttle (NetThrottle) - Unknown owner - C:\WINDOWS\system32\netthrot.exe (file missing) -- End of file - 3755 bytes Wollte Viren auch schon per Hand löschen, dann kommt aber eine Meldung zugriff verweigert. Ich hoffe ihr könnt mir weiterhelfen. Danke schonmal. |
|
01.08.2007, 10:52
| #2 |
| Gesperrt | Pc voller Viren C:\WINDOWS\System32\mdm.exe
__________________C:\WINDOWS\dllhost.exe C:\WINDOWS\system32\scwatcher.exe C:\WINDOWS\System32\wpabaln.exe Lad das mal bei Virustotal hoch, und dann poste den das Ergebnis hier... |
|
01.08.2007, 11:00
| #3 |
| Gesperrt | Pc voller Viren Danke für die schnell Antwort! :aplaus:
__________________So sieh das Ergebnis von mdm.exe aus: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 BackDoor.Generic7.VVR BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 W32/Ibot.A!tr F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 Trojan-Spy.Win32.Agent.pz Kaspersky 4.0.2.24 2007.08.01 - McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 W32/Ircbot.BAC.worm Prevx1 V2 2007.08.01 Trojan.Banker Rising 19.34.22.00 2007.08.01 Backdoor.Win32.SdBot.kwu Sophos 4.19.0 2007.08.01 Troj/IBot-A Sunbelt 2.2.907.0 2007.07.31 - Symantec 10 2007.08.01 W32.Spybot.Worm TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 - |
|
01.08.2007, 11:04
| #4 |
| Gesperrt | Pc voller Viren Jetzt kommt das von dllhost.exe: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 HEUR/Crypted Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 - BitDefender 7.2 2007.08.01 Application.Packer.Themida.B CAT-QuickHeal 9.00 2007.07.31 (Suspicious) - DNAScan ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 Backdoor.VB.EV Kaspersky 4.0.2.24 2007.08.01 - McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 W32/IRCbot.BAY.worm Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Crypted |
|
01.08.2007, 11:06
| #5 |
| Gesperrt | Pc voller Viren sieht nicht so gut aus...mal sehen was mit den anderen Dateien ist... Wenn sich der Verdacht von dem Backdoorbefall bestätigt, solltest du dein PC neu aufstezen... |
|
01.08.2007, 11:10
| #6 |
| Gesperrt | Pc voller Viren Jetzt das von scwatcher.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 Win32/IRCBot.worm.variant AntiVir 7.4.0.54 2007.08.01 HEUR/Crypted Authentium 4.93.8 2007.07.31 Possibly a new variant of W32/Backdoor-based Avast 4.7.1029.0 2007.07.31 Win32:SdBot-gen44 AVG 7.5.0.476 2007.07.31 IRC/BackDoor.SdBot3.CRG BitDefender 7.2 2007.08.01 DeepScan:Generic.Sdbot.99C92EC4 CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 Trojan.SdBot-6511 DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 Backdoor.Win32.SdBot.qt Ikarus T3.1.1.8 2007.08.01 Backdoor.Win32.SdBot.qt Kaspersky 4.0.2.24 2007.08.01 Backdoor.Win32.SdBot.qt McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 probably a variant of Win32/Genetik Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 - Rising 19.34.22.00 2007.08.01 Backdoor.SdBot.wix Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 - Symantec 10 2007.08.01 W32.Spybot.Worm TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Crypted |
|
01.08.2007, 11:11
| #7 |
| Gesperrt | Pc voller Viren Und von wpabaln.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.7.31.1 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 - BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 - Kaspersky 4.0.2.24 2007.08.01 - McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 - Prevx1 V2 2007.08.01 - Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 - Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 - |
|
01.08.2007, 11:12
| #8 |
| Gesperrt | Pc voller Viren AhnLab-V3 2007.7.31.1 2007.08.01 Win32/IRCBot.worm.variant hast du in letzter Zeit irgendwelche .rar oder .zip Archive in MSN angenommen und entpackt? (z.B. myphotos2007.rar images.zip usw...) |
|
01.08.2007, 11:14
| #9 |
| Gesperrt | Pc voller Viren Nein, ich hab gar kein msn... |
|
01.08.2007, 11:24
| #10 |
| Gesperrt | Pc voller Viren Aber ich habe eine zip Datei für PES runtergeladen. Aber normalerweise ist das immer vertrauenswürdig. |
|
01.08.2007, 11:25
| #11 |
| Gesperrt | Pc voller Viren hmm...das ist dann wiederum komisch...den du hast (villeicht auch nur angeblich) den MSN-Wurm drauf  |
|
01.08.2007, 11:27
| #12 |
| Gesperrt | Pc voller Viren Das ist ja komisch Und was jetzt? |
|
01.08.2007, 11:31
| #13 |
| Gesperrt | Pc voller Viren Ich kann dir das jetzt nicht sagen... Warte einfach ein bisschen bist Sunny, myrtille oder cosinus kommen  |
|
01.08.2007, 11:39
| #14 |
| Gesperrt | Pc voller Viren Ok, trotzdem danke. Kann man den MSN Wurm auch über e-mail bekommen. Wir haben nämlich Msn als E-mail (hotmail.com) |
|
01.08.2007, 11:50
| #15 |
| Gesperrt | Pc voller Viren Mit der Frage bin ich überfordert...Ich benutz kein MSN aber Hotmail... |
|
| Themen zu Pc voller Viren |
| antivir, avira, bho, explorer, generic, generic host, generic host process, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, löschen, micro, microsoft, problem, programme, s-1-5-18, security, software, system, system32, tcp/ip, trend micro, trojaner, viren, windows, windows xp |
Linear-Darstellung
