|
Virus/Trojaner eingefangen, zum ersten mal! Hallo zusammen! Ich hoffe ich poste hier richtig. Habe ein mega Problem. Und zwar habe ich gestern ganz normal gesurft. Ich benutz wie fast jeder heute WinXP. Dann wurde mir die Meldung angezeigt das eine AcitveX-Anwendung geladen werdern soll. Ich konnte aber nur OK drücken oder das Windows "X" symol in der ecke des fensters. Habe ich gemacht aber er hat es trotzdem ausgeführt. Dann landeten auf meinem Desktop ein paar komische dateien, und ein archiv.Danach wurde der Rechner sehr langsam und irgendwas wurde wohl installiert. Da ich meinen Virenscanner nichtr mehtr anbekam habe ich den rechner neu gestartet. Dann kam er wieder in Windows und seit dem startet er immer neu wenn er eine Weile geladen hat. Es steht dann dort etwas von einem DCOM-Befehl oder so der den Neustart vernanlasst- Habe dann mal mit KAspersky Anti-Virus im Abgesicherten Modus gescannt. Er hat ca. 11 Viren bzw. Trojaner gefunden, in windows dateien wie svchost.exe usw. Entfernen konnte ich diese nicht und auch nicht desinfiozieren. Habe dann alles auf Maximalen schutz gestellt und wieder normal neui gestartet. Wenn ich es dann schaffe schnell genug mit strg-alt-entf. einige Prozesse zu beenden bevor er neustartet und der Virenscanner geladen wird klappt es manchmal das er danach alles blockt. Dann kann ich normal starten. Aber das ist natürlich nicht der sinn. Ich würde gern wissen wie ich den Virus oder Trojaner vernichten kann damit mein System wieder normal läuft. Wisst ihr was ich tun soll? Jeden Vorschlag der kommt dafür bin ich dankbar und werde ihn ausführen! mfg. andi |
Habe eben nochmal alle Systemdateien und den Windowsordner durchsuchen lassen. Er findet jetzt noch im abgesicherten Modus 1 Trojaner Names: Trojaner-Downloader.Win32.Small.cyn Vielleicht hilft euch das ja weiter! mfg. andi |
Hallo, erstens, solltest du einen hijackthis logfile erstellen und hier posten. Ausserdem hast du sehr wenig Angaben gemacht, das man dir helfen könnte. Lies die NUB`s durch, damit dir hier auch jemand helfen kann. Würde aber jetzt schon vermuten, dass du dein System neu aufsetzen darfst. 11 Viren?? Welchens AV benutzt du, welche Version von XP? Gruss http://www.trojaner-board.de/17493-a...ijackthis.html |
Erstelle bitte erstmal ein Hijackthis Logfile... Anleitung findest du im Unterforum "FAQ&Anleitungen" Achte bitte darauf private Infos und aktive Links unkenntlich zu machen. :) lg myrtille |
ok danke, hab es mir gerade runtergeladen und werd es drüben am rechner direkt mal ausprobieren, poste dann die logfile von dem programm! |
Hier nun meine Logfile, ausgeführt im abgesicherten Modus. Habe alle https mit ** ersetzt, an privaten _Informationen konte ich nichts finden, sollte euch was auffallen wäre es natürlich sehr nett wenn ihr mich drauf hinweisen tut dann editier ich es sofort. Logfile of HijackThis v1.99.1 Scan saved at 12:25:55, on 15.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE E:\Programme\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [RemoteControl] E:\Programme\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = E:\Programme\AOL 9.0\aoltray.exe O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://E:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Mit FDM herunterladen - file://E:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145305650937 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - E:\Programme\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe |
Hi, schlechte Nachrichten für dich. :( Leider ist Zlob nicht das einzige was du aufm Rechner hast: Zitat:
Hier bleibt wahrscheinlich nur ein Neuausetzen. |
Danke für die Antwort! Das ist jedoch das letzte was ich machen werde und möche. Ich will alle möglichkeiten ausnutzen die es irgendwie gibt um diesen Mist wieder vom System zu bekommen, koste es was es wolle. Es muss doch irgendwie möglichsein diesen Virus bzw. Trojaner oder Backdoorprogramm wieder zu entfernen? Kann doch nich sein das es unmöglich ist oder? Was für Mäglichkeiten habe ich? Ich werde Montag auf jeden Fall eine externe Festplatte kaufen und meine ganzen wichtigen Daten sichern, solang das noch geht. Trotzdem möchte ich dann erstmal alles Versuchen das System zu retten. Hat jemand noch Rat? :( mfg. andi |
Mach was du willst, aber ein Kompromittiertes System bleibt es immer! Ob es klappt kann ich dir nicht garantieren, vielleicht wird dadurch auch alles nur noch schlimmer. Aber du willst es ja so... Arbeite das hier ab: WINSOCKFIX für Windows XP Lade dir das Tool WinsockXPFix.exe, falls deine Internetverbindung unterbricht bzw. nicht mehr funktioniert. Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Gruß Sunny |
Danke für den Hinweis, das werde ich Montag direkt einmal ausprobieren! Da kaufe ich mir zuerst einmal die externe Festplatte, sichere alles wichtige. Danach kann mir das System dann fast egal sein, werde versuchen mir alle wichtigen ERinstellungen usw. zu merken und meine Ordnerstruiktur usw. (deswegen hasse ich Neuinstallationen) Sollte es dann geklappt haben bin ich glücklich, falls nicht ok, dann eben alles formatieren, aber dann habe ich auf jeden Fall meine Sicherung der Daten. Vorher mache ich nichts ist mir dann auch zu riskant,´wie Du sagtest ist riskant und vielleicht geht danach garnichts mehr. Poste dann Montag Abend die neue log.file und dann können wir ja weiter sehen, danke nochmal! :) mf.g andi |
Zitat:
Vielleicht gefällt Deinem Remote-Admin ja so gar nicht was Du hier schreibst und er erspart Dir die Arbeit der Datensicherung indem er vorher alles löscht? Naja, wollen wir ja nicht hoffen, aber es könnte passieren, keine Frage. Have fun, Heike :teufel3: PS: dann trenne den PC doch wenigstens vom Internet. ;) |
Das habe ich schon getan, bin mit meinem anderen Rechner Online keine Sorge ;) mfg. andi |
HILFE ! Jetzt läd mein Rechner nicht mal mehr in XP! Habe nichts gemacht, ich wollte nur noch einmal starten wie es die letzten male auch ging ins windows und gucken was ich am montag alles sichern möchte. Wie kann ich jetzt sichergehen das alle meine wichtigen Daten noch vorhanden sind? Was kann ich am Montag tun um das hinzubekommen?? Denke die XP-CD Mit der Reperationhilfe wird mich auch nicht weiterbringen oder? XP läd nur noch kurz, egal ob abgesicherter modus oder nicht, dann kommt kurz ein blauer bildschrim mit text der so schnell weg ist das ich nichts davon lesen kann, und dann startet der rechner neu. Was kann ich jetzt noch tun? Rechner neu aufsetzen ok, aber ich muss unbedingt an die Daten die sind sehr wichtig :( |
Wir haben es dir ja gleich gesagt... :o Wo hast du denn deine Daten gespeichert? Besorg dir Rettungs-Boot-CD, boote dann von dieser CD kopiere bzw. sichere dann Montag deine Daten und fertig! ;) Ultimate Boot CD - Basic 3.4 - Freeware - ZDNet.de, Downloads, Utilities, System-Tools Gruß Sunny |
Was soll ich denn jetzt am besten tun?? Ich weiss absolut nich was ich machen soll, xp startet nich mehr, ich muss aber DRIGEND die daten sichern. Hab keinen Rechner der S-ATA anschlüsse hat so kann ich auch nich die platte als slave anschliessen. Die wichtigsten Daten die ich auf jeden Fall sichern muss sind auf meiner zweiten Platte, da wo nicht XP drauf ist. Also eine formatierung der Platte würde im Ernstfall noich ok sein, wenn man an die Daten nich drankommt. Aber dieanderen muss ich sichern. Würdet ihr den PC vielleicht wegbringen? Gibt es Läden die sowas machen, einem da helfen? Oder glaubt ihr eine Neuinstallation von XP auf der anderen platte könnte mir helfen? das ich so zumindest nochmal in ein xp komme um mit einer usb-platte alles zu sichern? Vielen Dank für jede Hilfe!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:03 Uhr. |
Copyright ©2000-2024, Trojaner-Board