|
Unbekannter Virus Hallo zusammen, ich bin neu hier und habe folgendes Problem. Ich vermute, dass „Irgendetwas“ auf dem PC ist, das dort nicht hingehört. Leider kann ich es nicht lokalisieren und nicht entfernen. Das Problem stellt sich wie folgt dar: § wenn der Willkommensbildschirm von WindowsXP erscheint, ertönen schnelle Signaltö-ne, § der Explorer lässt sich zwar öffnen, aber der Strukturbaum ist bereits geöffnet, zittert und ich kann keinen Ordner öffnen, § in jedem Eingabefeld (z. B. Browser, „Ausführen“, überall, wo etwas eingegeben werden kann) werden automatisch Sternchen (*) geschrieben. Diese Sternchen kann man löschen und hat einige Zeit Ruhe, aber sie kommen immer wieder, spätestens mit dem neuen Hochfahren des PC’s. Norton Antivirus 2004, Spybot, Adaware, cws-shredder, hijackthis (mit Onlineüberprüfung) bescheinigen immer einen sauberen Rechner. Meine Fragen sind: Was ist das? Wie kann ich es lokalisieren? Was kann ich dagegen tun? Vielleicht kann mir jemand helfen. Vielen Dank |
Hallo Wassermann, lade den eScan - gemäß der Anweisung runter und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde oder länger dauert und ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. SD |
Hallo Shadowdance, zunächst danke für die schnelle Antwort. Hier zunächst die von escan gefundenen Viren: Wed Nov 17 19:06:55 2004 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.* Wed Nov 17 19:03:43 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Daneben wurden 4 not-a-virus Dateien gefunden, die sich auf Bearshare bzw. auf Save now bezogen. Jetzt das LOGFILE von Hijack This: Logfile of HijackThis v1.98.2 Scan saved at 19:50:31, on 17.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\bases\mwavscan.com C:\bases\kavss.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ALUAlert] C:\Programme\Symantec\LiveUpdate\ALUNotify.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093095381202 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7A320653-C0AB-4DB7-9B6E-8A00109ADFA7}: NameServer = 217.237.150.97,217.237.149.161 Ich hoffe, ich habe es richtig gemacht. Heute habe ich den Störenfried mal wieder nicht bemerkt. Na ja. Bis dann Wassermann |
Fixe dies: R3 - Default URLSearchHook is missing O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1093095381202 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab SP2 installieren! |
Hallo Christian, vielen Dank für die Unterstützung. Ich habe die angegebenen Dateien gefixt. Leider ohne Erfolg. Wassermann |
Hallo Wassermann, update den eScan (Anleitung) online, lass ihn nochmal im abgesicherten Modus auf Deinem Rechner laufen. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns bitte das gesamte Ergebnis des eScan mit: welche Malware wurde auf Deinem Rechner gefunden. SD |
Hallo Shadowdance, ich bin leider erst jetzt wieder dazu gekommen, mich mit dem PC zu beschäftigen. Hier das Ergebnis des eScan's: Fri Dec 17 13:34:31 2004 => File C:\Dokumente und Einstellungen\Familie\Eigene Dateien\Downloads\BSINSTALLDE.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken. Fri Dec 17 13:37:05 2004 => File C:\Programme\BearShare\Installer\BSINSTALLDE.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken. Fri Dec 17 13:47:39 2004 => File C:\Programme\Norton AntiVirus\Quarantine\4802362B tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken. Fri Dec 17 13:52:54 2004 => File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0008549.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken. Fri Dec 17 13:55:50 2004 => File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009561.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken. Fri Dec 17 13:32:49 2004 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned Fri Dec 17 13:32:49 2004 => C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip not Scanned. Possibly password protected... Fri Dec 17 13:32:49 2004 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip is Not Scanned Fri Dec 17 13:32:49 2004 => C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip not Scanned. Possibly password protected... Fri Dec 17 13:55:36 2004 => C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009487.exe not Scanned. Possibly password protected... Fri Dec 17 13:55:36 2004 => Result: ERROR!!! File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009487.exe is Not Scanned Hinzu kommen noch einige weitere Files "not scanned" bei spybot. Fri Dec 17 14:25:26 2004 => Total Files Scanned: 27938 Fri Dec 17 14:25:26 2004 => Total Virus(es) Found: 5 Fri Dec 17 14:25:26 2004 => Total Disinfected Files: 0 Fri Dec 17 14:25:26 2004 => Total Files Renamed: 0 Fri Dec 17 14:25:26 2004 => Total Deleted Files: 0 Fri Dec 17 14:25:26 2004 => Total Errors: 35 Fri Dec 17 14:25:26 2004 => Time Elapsed: 00:55:00 Fri Dec 17 14:25:26 2004 => Virus Database Date: 2004/11/17 Fri Dec 17 14:25:26 2004 => Virus Database Count: 109753 HijackThis habe ich nochmals ausgeführt. Hier das Logfile: Logfile of HijackThis v1.99.0 Scan saved at 13:04:06, on 17.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Familie\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Familie\LOKALE~1\Temp\delus.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{7A320653-C0AB-4DB7-9B6E-8A00109ADFA7}: NameServer = 217.237.150.97,217.237.149.161 O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Wassermann |
@ Wassermann lade das ClearProg runter, leere damit die Ordner TEMP (C:\DOKUME~1\Familie\LOKALE~1\Temp), Temporary Internet Files, Cookies und den Verlauf. Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com Dein Logfile sieht sauber aus. Du solltest Dir noch Ad-aware runterladen, Deinen Rechner damit scannen und die bestehenden Probleme beheben lassen, ausserdem verwendest Du mit dem IE einen Browser, der das Sicherheitsrisiko stark erhöht. Pflichtlektüre: - Vorbeugende Maßnahmen - IE sicher konfigurieren und Browser-Sicherheit - Einschränktes Benutzerkonto: www.ntsvcfg.de. - Entfernung von Schädlingen und Kompromittierung unvermeidbar? - faq.underflow.de - Hijacker-Entfernung SD |
Hallo Shadowdance, ich werde zunächst mal Deine Tips abarbeiten, insbesondere das aktuelle Service Pack herunterladen. Seit ein paar Wochen benutze ich allerdings als Internetbrowser den Firefox 1.0. Den IE hatte ich über die Systemsteuerung > Software gelöscht. Dennoch wird er im Logfile von HijackThis angeführt. Im WindowsExplorer gibt es den Ordner IE aber noch. Z. Zt. bekomme ich ihn nicht gelöscht, da angeblich irgendwelche andere Programme diesen benutzen. Diese Programme finde ich jedoch nicht. Hast Du hierzu auch einen Tip? Wassermann |
@ Wassermann, eigentlich sollte man den IE nicht löschen sondern nur nicht, bzw. nur für die Windows Updates verwenden. Es dürfte sich al sehr schwer und schwierig erweisen, den IE aus Windows zu entfernen, da er im System vernetzt ist. Es gibt ein Programm, um den IE zu entfernen, das muss ich aber erst suchen. SD |
Hallo Shadowdance, vielen Dank für Deine bisherige Hilfe. Dir, allen, die versucht haben mir zu helfen, aber auch allen am Forum Beteiligten wünsche ich ein gutes und virenfreies Jahr 2005. Wassermann |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:44 Uhr. |
Copyright ©2000-2024, Trojaner-Board