Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virenbefall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.02.2008, 13:22   #1
Briefträger_42
 
Virenbefall - Standard

Virenbefall



hallo leute, sorry wegen dem threadtitel aber was soll ich schon reinschreiben? unser rechner wird von einigen krankheiten geplagt die ich nicht wirklich einordnen kann. ich hoffe dass ich mein problem ausreichend schildern kann.
also über diesen rechner surfen bei uns nicht wenig leute im netz - keine ahnung wer da was runtergeladen, installiert oder eingetsellt hat.

folgende sachen ereignen sich seit einiger zeit oft:
- es öffnen sich seiten/fenster (diese sorte wo man keine adresse eingeben kann - die man nur minimieren oder schließen kann), ähnlich den normalen werbe popups, obwohl gar kein browser auf ist. wenn man also den rechner eine weile unangetastet stehen lässt, sind nach einiger zeit einige dieser seiten auf. inhalt sind irgendwelche werbeangebote, von jakobs kafferöstung, über ebay bis hin zu dating services.
zusatz: diese fenster haben eine art "namen": Ad Server by Ringtonaz
- der browser hat einen popupblocker der beim blocken immer einen bestimmten ton erzeugt. dann wird ja normalerweise angezeigt dass ein popup geblockt wurde. in letzter zeit erscheint dieser ton auch ohne jegliche anzeige und auch ohne irgendwelche aktivitäten innerhalb des browsers. grade wo ich diesen text bis hierhin geschrieben habe 3 mal.
- firefox sowie internetexplorer laufen seit update derselben teilweise arg langsam und instabil

ich habe Windows XP und benutze Antivir Classic
das antivir findet in letzter zeit häufig viren die alle in nem temporären ordner liegen. gestern bei nem systemcheck 61 stück. ich klicke dann immer auf "löschen" um die datei zu löschen (ich hoffe das ist richtig?) aber es werden immer wieder neue gefunden - meistens genau 2 nacheinander.
leider habe ich keine pfadadresse - die würde ich nachliefern sobald wieder was kommt.

mit dem spybot search and destroy komme ich nicht so wirklich zurecht. beim systemstart will das spybot immer eine aktion blocken die sich in einer endlosschleife wiederholt. ich habe dann ein "automatisches blocken" angeordnet was zur folge hat dass mein ganzer bildschirm mit nachrichten darüber, dass eine aktion geblockt wurde zugeschwemmt wird. den spybot kann ich dadurch nur über den taskmanager beenden. (bitte fragt nicht welche aktionen der spybot blocken sollte ich habe da schon lange keinen überblick mehr )
wenn ich ihn wieder starte und einen systemcheck durchführe bekomme ich immer wieder das gleiche ergebnis, dass ein haufen einträge gefunden wurde. es sind dabei immer "verfolgende cookies" (unter anderem auch 2 sex-irgendwas cookies - ich ahne schlimmes) und ein eintrag der CoolToolBar heißt.
ich klicke dann auf "markierte probleme beheben", und mir wird angezeigt das dies erfolgreich war. doch bei wiederholtem systemcheck sind wieder diverse einträge vorhanden.

grade in diesem moment taucht wieder eine antivir virenwarnung auf:
C:\Dokumente und Einstellungen\PC1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHT...\iframe3[1].htm
IE steht wohl für internet explorer. den benutzen wir genauso wie firefox.
und wir benutzen nur die windowsXPeigene firewall.

hijackthis scheint in diesem forum standard zu sein. leider kann ich es nicht runterladen. wenn ich auf die seite gehe, stürzen beide browser komplett ab.

ich möchte ungern die festplatte formatieren müssen. hoffe jemand kann mir helfen. bin nicht wirklich bewandert auf dem gebiet also sorry falls ich angaben die wichtig sind vergessen habe. fragt einfach nochmal nach! danke schonmal!

Geändert von Briefträger_42 (04.02.2008 um 13:33 Uhr)

Alt 04.02.2008, 17:10   #2
KarlKarl
/// Helfer-Team
 
Virenbefall - Standard

Virenbefall



Hi,

also ohne die technischem Informationen von Hijackthis (oder eventuell einem anderen vergleichbaren Programm) wird es wohl auf eine Neuinstallation hinauslaufen. Was Du schilderst, sagt zwar klar, dass manches nicht in Ordnung ist, aber nicht, was.

Ich weiss ja nicht, welchen Hijackthis-Link Du probiert hast, vielleicht klappt es ja mit einem der folgenden.

Fertige ein HijackThis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Jetzt benenne die Datei Hijackthis.exe um in HJT.exe. Dieser Schritt ist erforderlich geworden, da es Malware gibt, die das Programm ansonsten erkennt und sich vor ihm versteckt. Alle anderen Programme schließen, nun HJT.exe starten, auf "Scan" klicken und das Log hier posten. Füge vor dem Log diese Zeile ein
Zitat:
[CODE]
und dahinter diese
Zitat:
[/CODE]
Die Trendmicro-Version von Hijackthis: Trendmicro Hijackthis

"Löschen" ist bei Antivir die verkehrte Option, es könnte mal passieren, dass es einen Fehlalarm auf eine Systemdatei gibt (schon vorgekommen), dann ist sie weg und das System tot. "Quarantäne" oder "Zugriff verweigern" ist angemessen.

Doppelklick auf den Regenschirm in der Taskleiste, Im Kontrollcenter nun Menü Extras -> Konfiguration (oder gleich F8). Links oben das Feld für "Expertenmodus" anhaken, da ansonsten einige der benötigten Optionen nicht sichtbar sind. Stelle nun folgende Optionen ein, notiere die alten, um sie später wieder zurücksetzen zu können:
Scanner
  • Suche: Hier wähle "Alle Dateien", unter "Weitere Einstellungen" alles anhaken.
    • Weitere Aktionen: Falls dich das Gepiepe bei Funden nerven könnte, schalte "Akustische Warnung" aus.
    • Archive: "Archive durchsuchen", "Alle Archiv-Typen", "Smart Extensions" anhaken, "Rekursionstiefe einschränken" soll nicht angehakt sein.
    • Ausnahmen: In dem Fenster rechts soll nichts stehen, eventuell vorhandene Einträge markieren und mit Klick auf "Löschen" entfernen.
    • Heuristik: "Makrovirenheuristik" und "Win32 Dateiheuristik" anhaken, dadrunter "Erkennungsstufe hoch" wählen.
  • Report: Die Protokollierung auf "Standard" setzen.
Allgemeines
  • Erweiterte Gefahrenkategorien: "Alle aktivieren".
Antivirupdate machen, in den abgesicherten Modus (ohne Netzwerktreiber) starten, von Antivir das System komplett scannen lassen, Scanbericht speichern. Zurück in den normalen Modus und Scanbericht posten.

Gruß, Karl
__________________


Alt 07.02.2008, 13:37   #3
Briefträger_42
 
Virenbefall - Standard

Virenbefall



hi, sorry dass ich mich erst jetzt melde aber ich habe viel zu tun.
ich habe es nun geschafft HijackThis auszuführen und werde ein log anhängen. wäre schön wenn sich das jemand mal ansieht und vielleicht auch hinweise auf ncht benötigte sachen die ich entfernen sollte gibt. ich habe leider keinen überblick mehr über diesen rechner.

die antivireinstellungen habe ich übernommen und nun einens sytemcheck gemacht. das log sende ich mit.
allerdings weiß ich nicht wie ich in den abgesicherten modus (von XP?) gelange und/oder ohne netzwerktreiber boote. vielleicht reichen auch vorerst die gelieferten informationen.

würde es eventuelle sinn machen die browser zu deinstallieren und neu zu installieren?

so der antivirscan mit den neuen einstellungen hat nichts neues gebracht. ich poste daher nochmal einen bericht vom letzten mal.
und ich habe auch mal einen blick in das log des HijackThis berichtes geworfen.
habe da einen eintrag mit nem pfeil markiert der verdächtig nach dieser
"Ad served by ringtonads" geschichte aussieht.

ich hoffe das ist richtig, dass ich die dateien hier reinkopiere. anscheinend kann ich sie nicht anhängen (?).

Zitat:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 5. Februar 2008 22:13

Es wird nach 1093948 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000148896-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: PC1
Computername: PC1

Beginn des Suchlaufs: Dienstag, 5. Februar 2008 22:13

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Orb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OrbTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'M-AudioTaskBarIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIAAE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\PC1\Lokale Einstellungen\Temp\tmp10.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.8
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4818d345.qua' verschoben!
C:\Dokumente und Einstellungen\PC1\Lokale Einstellungen\Temp\tmp1E.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.8
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4818d348.qua' verschoben!
C:\Dokumente und Einstellungen\PC1\Lokale Einstellungen\Temp\tmp33.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.8
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4818d34a.qua' verschoben!
C:\Dokumente und Einstellungen\PC1\Lokale Einstellungen\Temp\tmp4.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.8
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4818d381.qua' verschoben!
C:\Dokumente und Einstellungen\PC1\Lokale Einstellungen\Temp\tmp6.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.8
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4818d385.qua' verschoben!
C:\Dokumente und Einstellungen\PC1\Lokale Einstellungen\Temp\tmp76.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.8
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4967bea6.qua' verschoben!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\' <Expansion>


Ende des Suchlaufs: Dienstag, 5. Februar 2008 23:08
Benötigte Zeit: 54:59 min

Der Suchlauf wurde vollständig durchgeführt.

8424 Verzeichnisse wurden überprüft
338428 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
338422 Dateien ohne Befall
1266 Archive wurden durchsucht
1 Warnungen
0 Hinweise
und hier das hijacklog:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:10, on 07.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Winamp Remote\bin\Orb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Antivirus\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten - Service - Shopping bei T-Online
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~2\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
==> O2 - BHO: rightonads optimizer - {7D9362F8-77D8-4b29-97B5-621D550890C0} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Antivirus\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\NetMeeting\msnmsgr.exe" /background
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1170780040246
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photoup...che=20071219-1
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/sof...iveXPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab57213.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O21 - SSODL: printers - {0DC3C72B-F822-4E68-80A7-48F5EA675197} - libcintles3.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 8989 bytes
__________________

Alt 07.02.2008, 14:14   #4
irrlicht
 
Virenbefall - Standard

Virenbefall



Hallo,
es könnte danach aussehen :AdRotator/IconAds

Du mußt erst den Teatimer von Spybot Search and Destroy ausschalten !
Danach dein AV Programm updaten > in den "abgesicherten Modus" wechseln und komplettsuche starten.
Überdenke deinen Einsatz von "XP Antispy"...das Programm hält nicht was es verspricht und kann mehr kaputt machen als dir lieb sein kann...
Falls du es deinstallieren willst ,mußt du vorher alle gemachten Einstellungen darin zurücksetzen.Irgendwo ist ein Knopf dafür in dem Proggi...

Zitat:
aber ich habe viel zu tun.
...und ich dachte immer Briefträger wären vollzeitbezahlte Halbtagskräfte...
Irrlicht

Alt 07.02.2008, 19:23   #5
KarlKarl
/// Helfer-Team
 
Virenbefall - Standard

Virenbefall



Außerdem sitzt hier noch eine im Messenger installierte Backdoor:
Code:
ATTFilter
O21 - SSODL: printers - {0DC3C72B-F822-4E68-80A7-48F5EA675197} - libcintles3.dll (file missing)
         
--> http://www.trojaner-board.de/12154-a...sicherung.html


Alt 07.02.2008, 22:51   #6
Briefträger_42
 
Virenbefall - Standard

Virenbefall



erstmal vielen dank für die bisherige hilfe. mich erinnern solch nächte vor dem PC in denen man sich mit fehlfunktionen rumschlägt immer an die 3.11 und Norton Commander zeiten. irgendwie war es damals genauso kompliziert wie heute - nur habe ich jetzt euch

ihr meint also, dass ich die festplatte formatieren muss? davor schrecke ich in der tat zurück. was ist mit den daten (fotos, arbeiten, präsentationen, musik, textdateien e.c.) - die darf ich dann nicht sichern und wieder ins neu aufgesetzte system übernehmen? der datenverlust wäre für uns sehr problematisch (der nachteil der zeit in der man alles nur abspeichert und nicht mehr auf einen zettel schreibt).
gibt es keine möglichkeit die gefundenen sachen (backdoor) gezielt zu entfernen?

ich weiß, das hier ist nur ein board zum thema viren, aber da ihr euch gut auskennt frage ich nochmal etwas anderes:
ich habe im zuge der aufräumarbeiten auf diesem rechner das programm everest installiert.
mir wurde gesagt dass die folgenden werte unnormal wären:
(kann man die temperatur der grafikkarte nicht einsehen?)


Zitat:
Informationsliste Wert
Sensor Eigenschaften
Sensortyp ITE IT8712F (ISA 290h)

Temperaturen
Motherboard 86 °C (187 °F)
CPU 111 °C (232 °F)
Aux 28 °C (82 °F)
SAMSUNG HD320LJ 34 °C (93 °F)

Kühllüfter
CPU 1467 RPM
Gehäuse 1148 RPM

Spannungswerte
CPU Core 1.18 V
+2.5 V 1.52 V
+3.3 V 3.36 V
+5 V 5.05 V
+12 V 7.42 V
+5 V Bereitschaftsmodus 5.03 V
VBAT Batterie 3.28 V
Debug Info F 73 93 00
Debug Info T 28 86 111
Debug Info V 4A 5F D2 BC 74 62 95 (F7)
ps: eigentlich bin ich kein briefträger mehr

Alt 07.02.2008, 22:56   #7
KarlKarl
/// Helfer-Team
 
Virenbefall - Standard

Virenbefall



Daten sichern ist kein Problem, aber wirklich nur Daten, keine ausführbaren Dateien. Ist sogar sehr wichtig, denn auch ohne Infektionen kann eine Festplatte mal den Sekundentod sterben und dann ist alles auf ihr weg.

die Temperaturen von Everst vergiss gleich mal wieder, das Programm ist schon etwas älter und passt anscheined nicht zu den Sensporen in dienem Computer. wenn die Temperaturen (CPU und Board) stimmen würden, wäre der Rechner bereits tot, kurz vorm schmelzen.

Grafikkartentemperatur kann man nur einsehen, wenn die Karte einen Seonsor dafür hat und der von der Software unterstützt wird. am besten mal beim Hersteller der Karte schauen, ob er ein passendes Tool auf Lager hat.

Antwort

Themen zu Virenbefall
antivir, bildschirm, browser, content.ie5, diverse, ebay, einstellungen, explorer, festplatte, festplatte formatieren, firefox, formatieren, immer wieder, keine ahnung, langsam, löschen, namen, ordner, popups, problem, schließen, server, surfen, systemcheck, taskmanager, verfolgende cookies, viren, virenbefal, warnung, werbe popups, windows, windows xp



Ähnliche Themen: Virenbefall


  1. Virenbefall
    Plagegeister aller Art und deren Bekämpfung - 13.12.2013 (5)
  2. Trojaner/ Virenbefall
    Log-Analyse und Auswertung - 05.12.2013 (15)
  3. Virenbefall
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (3)
  4. Virenbefall
    Plagegeister aller Art und deren Bekämpfung - 23.01.2012 (11)
  5. qtwebkit4.dll und virenbefall?
    Log-Analyse und Auswertung - 29.10.2011 (25)
  6. Virenbefall
    Log-Analyse und Auswertung - 17.08.2010 (3)
  7. Virenbefall?
    Alles rund um Windows - 21.11.2009 (8)
  8. Virenbefall?
    Log-Analyse und Auswertung - 13.11.2009 (1)
  9. Virenbefall!
    Plagegeister aller Art und deren Bekämpfung - 08.07.2009 (3)
  10. Virenbefall
    Plagegeister aller Art und deren Bekämpfung - 28.04.2009 (1)
  11. Virenbefall
    Plagegeister aller Art und deren Bekämpfung - 14.10.2008 (4)
  12. Eventueller Virenbefall?!
    Log-Analyse und Auswertung - 26.02.2008 (1)
  13. Virenbefall
    Log-Analyse und Auswertung - 22.10.2006 (3)
  14. Virenbefall
    Log-Analyse und Auswertung - 05.11.2005 (10)
  15. virenbefall
    Plagegeister aller Art und deren Bekämpfung - 28.08.2005 (6)
  16. Virenbefall ?
    Log-Analyse und Auswertung - 25.03.2005 (10)
  17. Virenbefall?
    Plagegeister aller Art und deren Bekämpfung - 15.01.2005 (8)

Zum Thema Virenbefall - hallo leute, sorry wegen dem threadtitel aber was soll ich schon reinschreiben? unser rechner wird von einigen krankheiten geplagt die ich nicht wirklich einordnen kann. ich hoffe dass ich mein - Virenbefall...
Archiv
Du betrachtest: Virenbefall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.