ComputerBase Menü
Aktuelles

HijackThis-Log: Virus am Start?

ReignInBlo0d

ReignInBlo0d

Commander
Registriert
Juni 2008
Beiträge
2.281
Hallo Leute!

habe mir vor 2 Tagen einen Virus eingefangen, den aber nach mehrfachem Scan durch Antivir, Malwarebytes' Antimalware und Spybot S&D (sowohl im normalen als auch im abgesicherten Modus) wohl entfernt.
Nun habe ich vorhin noch zwei Prozesse entdeckt, die mir auch dubios vorkamen.

nvsvc.exe und nvvsc.exe (beim zweiten bin ich mir über den Dateinamen nicht mehr sicher). Eine Recherche ergab zunächst, dass das Prozesse sind, die mit dem nVidia-Treiber zusammenhängen. Da die Prozesse aber keine Beschreibung hatten und mir wie gesagt dubios vorkamen, habe ich sie mit Security Task Manager gelöscht.

um nun sicher zu gehen, dass nun wirklich nichts mehr im Hintergrund an meinem PC werkt, habe ich ein HijackThis-Log erstellt:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:48:17, on 02.12.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\802.11 Wireless LAN\802.11g USB 2.0 WLAN Dongle\WlanCU.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\taskmgr.exe
C:\Users\Martin\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.computerbase.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:23012
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\20101006180412\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\20101006180412\ICQToolBar.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [GEST] "C:\Program Files\GIGABYTE\GEST\run.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Program Files\802.11 Wireless LAN\802.11g USB 2.0 WLAN Dongle\WlanCU.exe
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Martin\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 5677 bytes
Zum Vergrößern anklicken....

nur weiß ich damit leider nicht allzuviel anzufangen!

wäre toll, wenn mir jemand helfen könnte und mir sagen könnte, ob dort noch was im Busch ist oder nicht!

bin für jede Hilfe dankbar!

viele Grüße vom Niederrhein,
Martin
 
Vielen Dank für die Hinweise, scheint alles in Ordnung zu sein, bis auf einen Eintrag:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:23012

Art

äußerst schädlich
äußerst schädlich
Diese Seite wurde als gut identifiziert!

werde ich etwa auch in die Ukraine oder so umgeleitet? Der Zusatz "Diese Seite wurde als gut identifiziert!" lässt mich irgendwie nur müde schmunzeln.

EDIT: der Virus hatte damals sowohl für FireFox als auch für WinUpdate einen Proxyserver eingestellt, sodass ich nicht ins Internet kam. In FF habe ich das aber über die Einstellungen wieder rückgängig gemacht und für WinUpdate über die "Internetoptionen" in der Systemsteuerung.

könnte das nun in HijackThis fixen lassen, aber ich warte lieber auf euer Feedback. Musste vor gut eineinhalb Jahren schonmal neu aufsetzen, vielleicht erinnert sich jemand an AntivirusXP ;)
 
Zuletzt bearbeitet:
ok habe ich gemacht. Was ich vorhin vergesen habe zu erwähnen:

beim Scan gibt HijackThis eine Meldung aus, dass nicht auf die Hosts-Datei zugegriffen werden kann. Nach kurzem Nachsehen ergab sich, dass Spybot eine Hosts-Datei erstellt hat und darin ein paar "böse" Seiten direkt blockiert hat.

Muss ich da irgendwas beachten?

entschuldigt meine Unwissenheit :(
 
Nein, Du kannst 1000te von Domains in diese Datei eintragen, das hat aber nicht viel Sinn.
Denn Du würdest wohl täglich die Hosts-Datei bearbeiten müssen, um aktuell zu bleiben.
 
ok, viele Dank für eine Hilfestellungen!

Habe erneut durchgescannt und das Log wieder auswerten lassen und es wurde nichts gefährliches gefunden. Will nur mal hoffen, dass sich nicht noch irgendwo in den tiefen des System ein Rest vom Virus eingenistet hat. Zumindest ist jetzt keine offensichtliche Gefahr oder Verunsicherung mehr da :)
 
Auch wenn Du "sicher" bist, dass angeblich alles OK ist, solltest Du trotzdem alle Systemwiederherstellungspunkte löschen.
 
Das erschließt sich mir nicht. Meinst du, es könnten sich Teile der Viren mit nem Backdoor darin befinden?
 
Nun, es gibt Programme, die vielleicht gar keinen Zugriff auf "System Volume Information" erhalten können.
War der Virus vorher da, dann bleibt er ja da. Es ist einfach nur eine Vorsichtsmaßnahme.
 
ok, da hast Du Recht!
Mir fällt gerade auf, dass ich diese Funktion sowieso deaktiviert habe. Werde jetzt nichtsdestotrotz mal meine Dokumente extern sichern. Meine externe Platte habe ich übrigens auch schon durchgescannt und alles beseitigt was da in die Quere kam ;)

ich denke, dann kann hier zugemacht werden!

Danke moquai für deine Hilfe!
 
Kein Problem. Nur noch eine kleine Bemerkung: Bei keinem Virenscanner oder Tool kann man sich sicher sein, dass es zu 100% reinigt. Die sicherste Angelegenheit ist immer noch die, wenn man das System neu installiert.
 
Zuletzt bearbeitet: (Grammatik korrigiert.)
Und bitte mindestens einmal extern Scannen, d.h. mit einer LIVE CD/DVD ohne das möglicherweise kompromittierte System zu laden.

Für einen aktiven Virus/Trojaner/Rootkit ist es ein leichtes sich für deine Scanner unsichtbar zu machen.

Dafür gibt es RecueDisks fast aller namhaften Hersteller von AntivirenLösungen, z.B.:

Bitte einmal das System per Live CD scannen:
Kasperksy Rescue CD
Avira Rescue CD

Und eine Anleitung wie man diese ISOs auch auf einen USB Stick bekommt:

http://forum.avira.com/wbb/index.php?page=Thread&postID=821383
 
ok, werde das mal versuchen, melde mich dann!

Edit:

die Antivir Rescue CD hat auf meiner Systempartition keine infizierten Dateien gefunden.
 
Zuletzt bearbeitet: (Ergebnis:)
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

kaepten
Dokumente Ordner (versehentlich) auf OneDrive
Antworten
7
Aufrufe
875
Terrier
T
A
Windows 10 Defender deaktiviert?
Antworten
17
Aufrufe
2.080
Winterday
Winterday
L
Virus? Arbeitsspeicher, Absturz - HijackThis
Antworten
19
Aufrufe
4.287
BloodReaver87
BloodReaver87
1lluminate23
Temp Ordner im Hauptverzeichnis mit einer Textdatei "UninstallItems"
Antworten
7
Aufrufe
2.641
1lluminate23
1lluminate23
B
Autostart-Eintrag in der Win7-Registry per Batch löschen
Antworten
10
Aufrufe
3.724
Beeary
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz