|
Laptop stürzt ab!!! Guten Tag liebes Trojaner-Board Team, Nach einigen Monaten Ruhe muss ich mich leider wieder bei euch melden:heulen: Seit einiger Zeit stürzt mein Laptop wärend des surfens/arbeitens einfach aus mir unerklärlichen gründen ab! Heute war es dann so weit: aus heiterem Himmel öfneten sich plötzlich mehrer Fenster von WinXDefender und Malware Crush mit der Nachricht dass mein Laptop infiziert ist. Ich hoffe dass sich da noch was machen lässt. Anbei mein HiJackThis Log-File, eScan folgt. Ich bitte um Hilfe, und danke im vorraus! mfg Logfile of HijackThis v1.99.1 Scan saved at 02:35:53, on 28.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\MalwareCrush\MalwareCrush.exe C:\Programme\MalwareCrush\MalwareCrush.exe C:\Programme\WinXDefender\WinXDefender.exe C:\WINDOWS\lsass.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.helles-koepfchen.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programme\Helper\Helper10.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\system32\wupeng.exe O4 - HKLM\..\Run: [MalwareCrush] C:\Programme\MalwareCrush\MalwareCrush.exe /h O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [WinXDefender] C:\Programme\WinXDefender\WinXDefender.exe O4 - HKCU\..\Run: [diskmgr.exe] diskmgr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://xscan.malwarecrush.com/install448.cab O16 - DPF: {D1548A26-B8F6-4E86-AE74-E7062CCC2E2A} (igLoader Content on Demand) - http://www.miniclip.com/igloader/igloader.CAB O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe |
Tut mir leid dass es etwas länger gedauert hat, aber ich habe den eScan schon seit einiger Zeit nicht mehr gemacht: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: MINIMAL eScan Version: 9.6.8 Sprache: German Virus-Datenbank Datum: 1/27/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "rootkit.win32.agent.p Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with unknown trojan Unclassified ({f10587e9-0e47-4cbe-84ae-7dd20b8684bb})! Action taken: Keine Aktion vorgenommen. System found infected with unknown trojan Unclassified ({f10587e9-0e47-4cbe-84ae-7dd20b8684bb})! Action taken: Keine Aktion vorgenommen. System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen. System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen. System found infected with contravirus Corrupted Adware/Spyware ({32bd20fd-41fd-47fb-9bc9-28dcbd7d55d7})! Action taken: Keine Aktion vorgenommen. System found infected with spyshield Adware ({214345b8-bb69-498d-a168-29f58f15d806})! Action taken: Keine Aktion vorgenommen. System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen. System found infected with contravirus Corrupted Adware/Spyware ({f51bc478-d997-4c56-988d-79d9eeaad1ec})! Action taken: Keine Aktion vorgenommen. System found infected with contravirus Corrupted Adware/Spyware ({fd4dcb8b-c33a-4e70-a351-6fab7e1071a4})! Action taken: Keine Aktion vorgenommen. System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen. System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with antispycheck Spyware/Adware (hkey_local_machine\software\classes\appid\spamdet.dll)! Action taken: Keine Aktion vorgenommen. System found infected with rootkit.win32.agent.p Trojan-Downloader (C:\WINDOWS\lsass.exe)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run//lsass)! Action taken: Keine Aktion vorgenommen. System found infected with antispycheck Spyware/Adware (hkey_current_user\software\microsoft\office\outlook\addins\ad-protect.addin.1)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\DOKUME~1\User\LOKALE~1\TEMPOR~1\Content.IE5\3LZJ2GHW\0[1].htm infiziert von "Trojan.HTML.Agent.e" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3LZJ2GHW\0[1].htm infiziert von "Trojan.HTML.Agent.e" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\mwavscan.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\MalwareCrush\MalwareCrush.exe//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\DOKUME~1\User\LOKALE~1\Temp\000ae48a.exe//data0006//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\DOKUME~1\User\LOKALE~1\Temp\37223.exe//data0006//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\avenger\backup-13.11.2007- 2.43.51,39.zip/avenger/ContraVirus/cvantispam.dll//Armadillo markiert als "not-virus:Hoax.Win32.Renos.vg". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\000ae48a.exe//data0006//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\37223.exe//data0006//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\MalwareCrush\MalwareCrush.exe//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ |
Guten Morgen, Zitat:
Zwar glaube ich nicht, das dass Programm die vorhandene Infektion gefunden/erkannt hat aber Dein System ist definitiv mit einem Backdoor Infiziert! Zitat:
Folge der Anleitung zum Neuaufsetzen in meiner SIG! Alles andere ist grob Fahrlässig und nicht zu verantworten! Gruß Mello |
Hi, lösche alle Temp-Dateien, die EScan angezeigt hat; ---Doppelpost, nur weiter machen wenn noch Daten zu retten sind --- ---sonst folge bitte dem Rat von Mellosun --- Danach bitte: Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste mit Filename! Also (alles bis auf die diskmgr): Avenger avenger.zip - The Avenger Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat:
Anleitung: DrWeb.Cureit Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt Chris |
Hallo, vielen dank für die schnelle Antwort. Ich habe mir wirklich große Mühe gegeben die Anleitung zum Neuaufsetzten zu checken, aber irgendwie blick ich nicht durch. Gibt es nicht eventuell einen Link für Laien??? |
moin, Du willst dir also ein jungfräuliches Sys zulegen. Was verstehst du denn bei der Anleitung nicht? |
Hi TrojanHunter, naja... es fängt schon damit an, dass ich es nicht schaffe die Partitionen der Festplatte zu löschen. |
Hast du eine Original Windows CD? Wenn ja von dieser booten, Neuinstallation wählen Partionierung durchführen Installieren Oder hast du nur eine Recovery CD? Oft liegt auch eine versteckte Partition vor, auf die du mit einer bestimmten Tastenkombination beim Booten zugreifen kannst und von dort aus dein System in den Auslieferungszustand zurücksetzen kannnst. ( Handbuch checken) |
Okey, danke... das hilft mir erstmal weiter. Eine Frage hätte ich aber noch: Wichtige Daten von z.B. Onlinebanking etc. sind auf dem Rechner nicht vorhanden... aber wie schaut es mit Familien-Fotos und anderen Dateien auf dem Laptop aus die nicht verlieren möchte, kann ich versuchen die noch zu überspielen, oder besteht das Risiko dass das Virus irgendwie "mitkopiert" wird? Besteht für andere Rechner die am gleichen Netzwerk hängen erhöhtes Risiko, denn bis jetzt läuft der Rest ganz normal!? |
Also Bilder dürften normal nicht von dem Virusbefallen sein. Nur keine exe kopieren und auch word Dokumente können mit einem Makrovirus infiziert sein. Hat sich jemand über einen Backdoor Zugriff auf deinen Rechner verschafft, kann er natürlich auch versuchen sich Zugriff auf die anderen Rechner im Netzwerk zu verschaffen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:52 Uhr. |
Copyright ©2000-2025, Trojaner-Board