Computer enorm verseucht?

[schotti87]

Hallo, konnte seit Wochen mein Kaspersky nichtmehr aktuallisieren, das kam mir komisch vor und habe es dann manuell per Download geupdated. Nun erreicht mich eine Flut an Meldung wie:

Gefunden
--------
Status Objekt
------ ------
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Alexander Schott\Lokale Einstellungen\Temp\is-B266T.tmp\sdsetup[1].tmp
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\System32\svchost.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\system32\svchost.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\Explorer.EXE
gefunden: potentiell gefährliche Software Invader Prozess: D:\Programme\Spyware Doctor\pctsGui.exe
gefunden: potentiell gefährliche Software Invader Prozess: F:\Programme\OpenOffice.org 2.4\program\soffice.exe
gefunden: potentiell gefährliche Software Invader Prozess: F:\Programme\OpenOffice.org 2.4\program\soffice.bin
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\system32\nvsvc32.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\system32\wscntfy.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\system32\rundll32.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Programme\Spyware Doctor\unins000.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Alexander Schott\Lokale Einstellungen\Temp\_iu14D2N.tmp
gefunden: potentiell gefährliche Software Invader Prozess: D:\Programme\Internet Explorer\iexplore.exe

Jedoch kann ich sie nicht Desinfizieren, nur blockieren oder verbieten, aber das hilft mir auch nicht weiter. Hijack etc, habe ich alles auf dem Rechner, soll ich die Logs evtl. posten? Bzw wie bekomm ich mein System wieder clean?

Mfg Alex

 

[biervernichter]

schon mal mit einen anderen virenscanner probiert - z.B. Avira ?


ja Hijack Log wäre hilfreich

 

[Boogeyman]

Kann sein das es bei dir was zerschossen hat, keiner weiss hier aber, wie ernst du Sicherheit nimmst.

Zu empfehlen ist ein Online Scan mit diversen Scannern.
[HowTo] Malware / Spyware entfernen
Online Virenscanner

 

[<<=Mo=>>]

"potentiell gefährliche Software"
Das heißt es muss nichts schlimmes sein! Das Verhalten des Prozesses kommt Kaspersky nur verdächtig vor.
Es gibt in Kaspersky eine Einstellung: Einstellungen -> Bedrohungen & Ausnahmen -> Haken bei "Potenziell gefähliche Software (Riskware)" rausnehmen!
Alles, was Kaspersky nicht kennt oder was ein nur ansatzweise verdächtiges Verhalten zu Tage fördert, wird andernfalls als "potenziell gefährlich", also als Bedrohung eingestuft.
Das nervt echt und bring eigentlich sogesehen nichts. Ich habe es auch deaktiviert.

PS: Sieht man ja ganz gut: OpenOffice...gefährlich? Soviel zu potenziell gefährlicher Software.
MfG Mo

 

[schotti87]

Nunja, ich habe mir vor 2-3 Monaten Kaspersky gekauft und ich bin bis dahin immer sehr gut damit gefahren. In meinen Augen ein Top Anti-Viren-Programm, früher hat es auch immer alles desinfizieren können auch Dinge bei denen Avira Norton etcetc gestreikt haben. Doch irgendwie konnte ich es einfach nichtmehr updaten. Bis 10% geupdated, dann kam die Meldung "fertig" aber dabei war mein System anscheinend bestimmt seid über 2-3 Monaten veraltet, also von den Updates her. Ich habe es bemerkt als beim Iexplorer immer ein Popup aufgetaucht ist, als ich surfen war. Typisch für spyware etcetc.

Logfile of HijackThis v1.99.1
Scan saved at 15:52:56, on 18.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
F:\Valve\Steam\Steam.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
D:\Programme\Internet Explorer\iexplore.exe
E:\Virenbekämpfung\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\Programme\rpbrowserrecordplugin.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - F:\Programme\VeoH\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVP] "F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] F:\Valve\Steam\Steam.exe -silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1209031288109
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O20 - Winlogon Notify: klogon - D:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

 

[biervernichter]

scheint in Ordnung zu sein


einzig

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab


das kenn ich nicht


würds mal wie Boogeyman vorgeschlagen hat mit den OnlineScan probieren...wenn da nix angezeigt wird, dann gibts ein anderes Problem ala wie <<=Mo=>> beschrieben hat

 

[steuerzahler]

Also ich kann nichts Suspectes erkennen. Außer das Du Java am laufen hast-wozu?

Ich würde nichts voreiliges tun und mal morgen ein neues Update der Sicherheitssoftware durchführen. Vieles erledigt sich dann von alleine

 

[schotti87]

D:\WINDOWS\Explorer.EXE

.EXE ist doch auffällig oder? Ich werde den Onlinescan durchführen und dann weiter berichten. Danke

Uhh bei 33% mim Panda Online und schon

Gescannte Dateien: 29189
Infizierte Dateien: 13
Verdächtige Dateien erkannt: 0
Schwachstellen erkannt: 2

 

[steuerzahler]

@biervernichter: das ist wohl eine Seite zum Testen von Spielen bzw. ob diese auf dem System laufen

 

[schotti87]

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-06-18 16:50:35
PROTECTIONS: 1
MALWARE: 18
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Kaspersky Anti-Virus 7.0.1.325 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00100400 Application/Brutus.A HackTools No 0 Yes No E:\Brutus\BrutusA2.exe
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@doubleclick[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@atdmt[2].txt
00139535 Application/Processor HackTools No 0 Yes No E:\Virenbekämpfung\SmitfraudFix\Process.exe
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@tradedoubler[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@mediaplex[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@adverserve[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@ad.yieldmanager[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@apmebf[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@adtech[1].txt
00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@fe.lea.lycos[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@advertising[1].txt
00170553 Cookie/Com.com TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@ig.com[1].txt
00207936 Cookie/Adviva TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@adviva[2].txt
00286734 Cookie/Adserver TrackingCookie No 0 Yes No D:\Dokumente und Einstellungen\Alexander Schott\Cookies\alexander_schott@adserver.filefront[1].txt
01520499 Trj/Downloader.MDW Virus/Trojan No 1 Yes No F:\Spiele\Steam\SteamApps\alexm.schott@web.de\counter-strike\cstrike\glHackConfig.exe
02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes No E:\Virenbekämpfung\SmitfraudFix\Reboot.exe
02907323 Trj/Downloader.TAG Virus/Trojan No 0 Yes No F:\Spiele\SNES EMU\20080415_imgview111\misc\öjæ¦IPKâtâ@âCâïÅCò£âcü[âï.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location ^
;===================================================================================================================================================================================
No D:\Dokumente und Einstellungen\Alexander Schott\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R7D6AWK\adview[2].htm
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description ^
;===================================================================================================================================================================================
170904 HIGH MS07-043 ^
133387 MEDIUM MS06-065 ^
;===================================================================================================================================================================================

Habe mich dort mal kostenlos registriert und auf desinfizieren geklickt. Aber kam mir nicht so vor als ob er wirklich etwas desinfiziert hätte. Habe nochmal die infizierten Dateien manuell gelöscht, das sind ja wirklich uralte "Trojaner" die er dort erkannt hat, glaube nicht das die das Problem für meinen Explorer etc sind.

 

[tobi774]

Also sicherer ist trotzdem besser. Egal wie alt Viren sind Schaden können sie trotzdem noch anrichten.

 

[baFh]

abgesehen davon, dass der smitfraud für mich immer ein grund wäre, neu zu installieren würde ich an deiner stelle zumindest die emailadressen und die nicht von nindendo lizensierte software ausschwärzen

also entweder über stunden und tage basteln ohne gewähr, dass du dieses betriebssystem noch virenfrei bekommst und auch das system nicht beschädigst...

... oder 2 stunden investieren und mit sicherheit sauber nach neuinstall.

such dir deine lösung aus

 

[schotti87]

smitfraud so schlimm? Das ist doch nen Programm zum entfernen von Viren oder, war zumindest in meinem Virenbekämpfungsordner. Wie kann ich vorgehen ohne Neuinstallieren zu müssen. Obwohl das auch keine schlechte Idee wäre, wäre nur schade um all die Installationen. Heisst doch Smitfraudfix, das war nen Programm zum fixen eines solchen Viruses. Dürfte diesen nicht beinhalten.

Vorallem wollte ich mir noch ein Backup von meinen Dateien ziehen, wie kann ich sicher sein das die dann nicht infiziert sind und auf das neue System übertragen werden?