Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus (Name?)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.02.2009, 20:40   #1
spikey2
 
Virus (Name?) - Standard

Virus (Name?)



Hallo!

ich habe folgendes Problem:
ich habe mir ein Programm per P2P/Torrent runtergeladen.
eigentlich bin ich immer vorsichtig, doch die Setup-Datei enthielt einen Virus.
es wurden mehrere Dateien von AntiVir beim Installieren bereits gefunden, welche ich dann direkt löschte.
Ich weiß daher leider nicht mehr die Namen, aber der Ort war C:\
Soweit ich mich erinnere waren alle Dateien (6 an der Zahl (?)) .exe-Dateien.

Jetzt habe ich folgende Probleme/abnormale Vorkommnisse:

- meine DFÜ-Verbindung wurde mir als >24h angezeigt (war mal 1 Tag 8 Std. x Min.), was ja nicht sein kann, da jeder Provider nach 24h automatisch die Verbindung trennt!

- IE:
beim öffnen, kommt lediglich das folgende bekannte Fenster:
"Internet Explorer hat ein Problem festgestellt......"
und dann die üblichen Buttons:
"SENDEN" und "NICHT SENDEN"

- FF (Firefox):
manchmal ging das Internet mit FF, aber nur kurz, und wenn dann nur langsam, und irgendwann wurde die Verbindung unterbrochen.
Meldung: "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde..."

- wenn ich C:\ (wie üblich die Startpartition) per Doppelklick auf das Symbol im Arbeitsplatz öffnen will, kommt folgende Fehlermeldung:

bei D:\ und E:\ passiert einfach garnichts.

per Adresszeile kann ich sowohl per Texteingabe, als auch per Klick alles öffnen.

AntiVir (vollständige Systemprüfung) fand nichts mehr, aber das Problem besteht weiterhin.

Ich habe jetzt auch CCleaner und HijackThis ausgeführt.

- CCleaner mehrmals bis keine Fehler mehr angezeigt wurden.
- HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:26, on 17.02.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\pdf24\PDFBackend.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w**.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FF342B-CB77-4632-89B2-86E6468501F1}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5297 bytes

-------------------------------------------------------------------------

Eine Reparatur per WIN XP-SETUP brachte auch nichts.


Vielen Dank für jede Hilfe!

spikey2

Alt 17.02.2009, 20:48   #2
john.doe
 
Virus (Name?) - Standard

Virus (Name?)



Hallo und

Zitat:
ich habe mir ein Programm per P2P/Torrent runtergeladen.
Hast du noch den Link? Falls ja schicke ihn mir per PN zu. Mich interessiert die Quelle sehr.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________


Alt 17.02.2009, 21:01   #3
KittyCatty29
 
Virus (Name?) - Standard

Virus (Name?)



Zitat:
Zitat von spikey2 Beitrag anzeigen


O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FF342B-CB77-4632-89B2-86E6468501F1}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

spikey2

Und schon wieder diese Ukrainischen IP's im DNS Server. Genau die Gleiche wie bei mir und Isabella (Threads hier im Forum). Ich frage mich immernoch wo ich mir sowas eingefangen habe, denn ich hatte nichts gedownloaded (lol was für 'nen blödes denglisches Wort).

Viel Erfolg beim loswerden.. weiß selber noch nicht, ob mein System wieder reine ist. Aber bei den netten Profis hier, klappt das sicher! Liebe Grüße
__________________

Alt 18.02.2009, 11:35   #4
spikey2
 
Virus (Name?) - Standard

Virus (Name?)



ok, gut.
jetzt noch eine Frage:
wozu alle Geräte anschließen?

Alt 18.02.2009, 11:41   #5
Chris4You
 
Virus (Name?) - Standard

Virus (Name?)



Hi,

ist schnell erklärt, nennt sich autorun.inf und wird gleichmäßig von Deinem lieben Gast (mit sicher selbst als aufzurufende Andwendung) auf alle seid der Infektione angeschlossenen Geräte verteilt, so dass er sich darüber "fortpflanzen" kann. Daher alles anhängen was seid der Infektion dran war und den Rest comboFix überlassen....

Sonst kommst Du nach erfolgter Bereinigung mit einem verseuchten USB-Stick oder USB-Festplatte an und fragst Dich, wieso der ganze Sch.... wieder von vorne anfängt....

Chris and out

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 18.02.2009, 11:46   #6
spikey2
 
Virus (Name?) - Standard

Virus (Name?)



danke für die schnelle antwort!
dann muss ich erstmal überlegen, was ich da angeschlossen hatte...
ist schon ein paar tage her.

Alt 18.02.2009, 16:35   #7
john.doe
 
Virus (Name?) - Standard

Virus (Name?)



@Chris4you
Danke fürs Einspringen. Du bist mir sympathisch.

@spikey
Du sollst nicht denken, du sollst alles anschliessen.

ciao, andreas

Alt 19.03.2009, 14:22   #8
spikey2
 
Virus (Name?) - Standard

Virus (Name?)



sorry, hatte die letzten wochen wenig zeit.
wollte das problem jetzt angehen:
schaltete den PC ein.
der rechner zeigte mir bereits beim Hochfahren ("DOS-Teil")
folgende Meldung an:
BOOT DISK FAILURE. INSERT SYSTEM DISK AND PRESS ENTER.
ich legte ne win-startdiskette ein, enter - nix.
neustart.
diesmal kam es nicht.
nur das leider übliche sehr lange (nicht normal lange, sondern einiges länger!) angezeigte "Windows wird gestartet..." bevor der Benutzer-Bildschirm erscheint.

allgemeine Frage zur Sicherheit doch nochmal voraus:
meinem MAC (POWER PC!) kann der Virus nicht schaden, ne ?
da ich die zur Beseitigung benötigten Programme auf dem Mac vom Netz ziehe, da ich ja mit dem PC garnicht mehr ins Netz komme, und dann per USB-Stick auf den PC ziehen will.

@john.doe:
aber schon alle, die ab zeitpunkt der infektion angeschlossen waren, oder ?
da sie ja autorun.inf und somit den virus enthalten könnten?!

Alt 19.03.2009, 16:40   #9
john.doe
 
Virus (Name?) - Standard

Virus (Name?)



Zitat:
@john.doe:
aber schon alle, die ab zeitpunkt der infektion angeschlossen waren, oder ?
da sie ja autorun.inf und somit den virus enthalten könnten?!
Wird heute in der Schule nicht mehr die Bedeutung des Wortes "alle" beigebracht? Dann lies doch mal, was passiert, wenn man nicht alles anschliesst: http://www.trojaner-board.de/68318-r...-erhalten.html.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 28.03.2009, 14:41   #10
spikey2
 
Virus (Name?) - Standard

Virus (Name?)



@john.doe:

danke!

Geändert von spikey2 (28.03.2009 um 14:49 Uhr) Grund: oops, auf enter gekommen. sry

Alt 28.03.2009, 14:48   #11
spikey2
 
Virus (Name?) - Standard

Virus (Name?)



Zitat:
Zitat von john.doe Beitrag anzeigen
@spikey
Du sollst nicht denken, du sollst alles anschliessen.
danke!

ich bin mir schon der Bedeutung des Wortes "alle" bewußt!

du schriebst ja erst, ich solle "alle ab Infektion" anschließen.
Es war dann schon geklärt, dass es lediglich die womöglich/evtl. infizierten Geräte betrifft.

Nur danach kam noch obiges Zitat.
Also fragte ich dann doch nochmal nach.

Sicher ist sicher...

Gut, geklärt.

Problem jetzt:
Ich komme jetzt garnicht mehr in WIN rein.

an "DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER" führt jetzt irgendwie kein Weg vorbei

hab schon verschiedene Sachen probiert, die sonst bei einem nicht der Erwartung entsprechend reagierenden PC funktionieren, die zwar keine logische Erklärung haben, aber dennoch oft funktionieren.
Wie CD/DVD-Schubladen auf beim Start, Diskette rein.
Den Start mittels Schalter am Netzteil unterbrechen.
Kurz warten und Neustart. Neustart ohne Warten
Direkt Neustart mittels Reset-Taste, etc.

NIX :/

Alt 28.03.2009, 15:33   #12
john.doe
 
Virus (Name?) - Standard

Virus (Name?)



Zitat:
Den Start mittels Schalter am Netzteil unterbrechen.


Schau mal ins BIOS, von welchem Medium zuerst gebootet wird. Falls es die Festplatte ist, dann ändere das auf CD. Lege die Windows CD ein und führe eine Reparaturinstallation durch.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 31.03.2009, 12:12   #13
spikey2
 
Virus (Name?) - Standard

Virus (Name?)



ja, das mit dem schalter&netzteil ist dann halt so eine verzweiflungstat, wenn nichts anderes hilft.
ist absolut nicht logisch! aber es hilft

das mit der reparatur hatte ich ja zuvor bereits gemacht, weil durch den virus das system zum teil im Ar*** war. Durch dier Rep.Inst. war es auch nicht sonderslich funktionstüchtig, aber ich kam wenigstens ins System hinein.
SP 1 konnte ich installieren, nur bei SP 2 machte er einfach nicht weiter.
dann konnte ich wie gesagt ins system. alles "lief" (also mit einem bein hinkend )
und dann kam plötzlich aus dem nichts diese fehlermeldung beim start, ohne, dass ich irgendwelche änderungen am system vornahm (neue progs inst. o.ä.)

Antwort

Themen zu Virus (Name?)
adobe, antivir, antivirus, avg, avira, bho, cs3, fehlermeldung, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, locker, object, problem, programm, rundll, senden, server, software, virus, windows, windows xp




Zum Thema Virus (Name?) - Hallo! ich habe folgendes Problem: ich habe mir ein Programm per P2P/Torrent runtergeladen. eigentlich bin ich immer vorsichtig, doch die Setup-Datei enthielt einen Virus. es wurden mehrere Dateien von AntiVir - Virus (Name?)...
Archiv
Du betrachtest: Virus (Name?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.