VIRUS-HILFE!

[D!Zzl3]

Moin,
hab seit heute morgen einen Virus!

Mein explorer (Desktop... nicht IE) schließt und öffnet sich permanent!
Habe vorhin etwas runtergeladen, muss wohl infiziert gewesen sein...

Habe Antivir schon komplett laufen lassen und bei meinen Prozessen merke ich zwar das dort immer zwei Prozesse verschwinden und wieder auftauchen, kann jedoch nicht sagen welches: Ich lad mal zwei screenshots hoch:
http://www.bilder-space.de/upload/25.01 ... 210UUL.jpg
http://www.bilder-space.de/upload/25.01 ... SR1HTI.jpg

mfg Dizzle

[D!Zzl3]

Hier noch meine Log:

Code: Alles auswählen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:09:29, on 25.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\oodag.exe
D:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Adobe\Adobe Photoshop CS3\Photoshop.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG311T Wireless Assistant.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - C:\Programme\iMacros\imacros.dll
O9 - Extra 'Tools' menuitem: iMacros Web Automation - {0483894E-2422-45E0-8384-021AFF1AF3CD} - C:\Programme\iMacros\imacros.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AODService - Unknown owner - D:\Programme\AMD\OverDrive\AODAssist (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 7398 bytes

[baxter79]

probier mal diese Software aus

http://www.chip.de/downloads/HijackThis_13011934.html

http://www.safer-networking.org/de/index.html

leider kann ich sonst nicht dazu sagen,außer regelmäßig ein Backup anzulegen für solche Fälle.
Dazu rate ich dir zu Acronis True Image.

[Shedao]

Der eine Prozess ist der Explorer, was ja logisch ist, das öffnen und schließen davon ist ja das Problem
Der anderen Prozess ist die wmiprvse.exe

Das ist eigentlich ne Systemdatei und es ist wohl normal das die mal da ist und mal nicht...

Aber es kann auch sein das sich nen Wurm da drin versteckt also kannst du mal dieses ausprobieren:
http://www.sophos.com/security/analyses ... ebotb.html

Wenn das nicht hilft und die virenscanner nix finden und auch die anderen Tools nichts finden hast du nen Problem...

Dann solltest du auf jeden Fall mal unter Systemsteuerung->Verwaltung->Computerverwaltung in die Ereignisanzeige ins Fehlerprotokoll schauen, ob da Warnungen oder Fehler gespeichert sind, die zum Problem passen.

[D!Zzl3]

Hab eben die Trial von Kaspersky runtergeladen und installiert. Waren 2 Viren im Autostart, eine Malware und ein paar verdächtige Einträge in der Registry.
Alles entfernt, jetzt funktoniert alles wieder!

[baxter79]

schön :wink: :wink: Kapersky läuft bei mir immer wenn ich surfe

[cookiedent]

schön :wink: :wink: Kapersky läuft bei mir immer wenn ich surfe

Bei mir seit ca. 1,5 Jahren auch - seitdem ist Ruhe.

Natürlich muss man generell immer aufpassen, Security-Updates machen usw., ab und an Viren- und Trojaner Check, aber man fühlt sich schon sicherer.

[Affennachäffer]

Hi, zum Thema Kaspersky.
Ich hab auch die aktuellste Kaspersky Version und seit kurzen will er für änderungen in Kaspersky n Passwort haben. Ich habe aber nie irgendwo n Passwort zugewiesen. Ein Kumpel hat mir erzählt das es wohl n Virus gibt der die Kontrolle über den Scanner & Firewall übernimmt. Wie kriege ich jetzt raus ob ich diesen Virus habe, und wenn, wie ich ihn entfernen kann. Der Virus soll Cornfigure oder ähnlich heißen.
pls help

[MCLonips]

hey The_dettel hast du zur abwechslung auch mal nützliche beiträge oder musst du in jedes thema deinen mist schreiben

zur frage oben:
wenn das mit dem virus stimmt, was kontrolle über die firewall übernimmt, hast du ein echtes problem. sollche viren soll man glaub ich nur durch betriebssystem neu aufsetzen entfernen können. aber ich google nochmal danach und melde mich, wenn ich was gefunden habe

[cookiedent]

Besorg dir mal auf einem halbwegs freien PC mit Internetzugang eine "Notfall-Boot-CD" eines Antivirenprogramms, starte im Abgesicherten Moduss und lass den SCAN+REMOVE Vorgang der CD laufen.

Falls auch das nicht hilft: FORMAT C:\ !

[xDan89]

Bevor du format c: zur Virusbeseitigung nimmst kannst du auch noch einen Onlinevirencheck machen. Der dauert zwar ewig aber in den meisten Fällen wird zumindest dieser fündig - sollangs halt kein rootkit ist.

Trendmicro Housecall

[cookiedent]

Sofern er kein Programm hat, was ihm den vom online ausgeführten Check auch die evtl. gefundenen Viren findet, bringt ihm das leider auch herzlich wenig...

[xDan89]

Tut mir leid, aber was willst du damit aussagen?

Der Virencheck, wird "heruntergeladen" und danach in den RAM gesteckt. Von dort aus checkt er die Festplatte und andere Anwendungen die ebenfalls im RAM unterwegs sind. Es wird kein weiteres Programm, außer einem Browser, benötigt.

[D!Zzl3]

hey The_dettel hast du zur abwechslung auch mal nützliche beiträge oder musst du in jedes thema deinen mist schreiben

The_dettel??

[xDan89]

Hast du das Problem jetzt eigentlich gelöst oder doch noch nicht?