ComputerBase Menü
Aktuelles

Hartnäckiger Virus, Trojaner, Hijacker, was auch immer..

Bronka

Bronka

Cadet 2nd Year
Registriert
Nov. 2006
Beiträge
31
Betriebssystem: Windows 7, alle updates

ich bin am verzweifeln...
Vorgeschichte:
vor einem Monaten habe ich mir irgendwas (scheint ein Trojaner, oder Hijack zu sein) geholt, als ich mir irgendwo einen keygen holen wollte..

Symptome waren:
1. Minianwendungen funktionieren nicht richtig (es werden nur Grafikfehler angezeigt, keine Fehlermeldung.
2. Alle paar Minuten öffnete sich Internet Explorer, und zeigte irgendeine Werbung (bis jetzt waren es nur Opel Werbungen, warscheinlich sidn die dran schuld ;))

so "Kein Problem" dachte ich mir, habe Spybot, Ccleaner, Antivir drüberlaufen lassen, aber nichts hat was gebracht.. was genau ich noch gemacht habe weiß ich nicht, aber zumindest haben die Werbungs Pop-ups aufgehört... die Minianwendungen funktionierten immer noch nicht.. Irgendwann hatte ich keine Nerven mehr und habe beschlossen, wenn ich mal Zeit habe, Windows neuzuinstallieren..

Vor 3 Tagen habe ich C: formatiert und Windows neuinstalliert, nach einem Neustart hatte ich wieder die gleichen Symptome wie vor einem Monat (beide)

Kann mir bitte jemand helfen den Virus loszuwerden?...



hier ist der BEricht von hijackthis:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:42:21, on 27.12.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
E:\Programme\DEAMON Tools\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\iTunes\iTunesHelper.exe
C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
E:\Programme\Firefox\firefox.exe
E:\Programme\Firefox\plugin-container.exe
C:\Users\Martin\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DEAMON Tools\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [JP595IR86O] C:\Users\Martin\AppData\Local\Temp\Orl.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5964 bytes

Es stellt sich die Frage, woher ich das schon wieder habe??
1. ich habe mal wieder nach einem Keygen gesucht, aber nach einem ganz anderen, und auf einer ganz anderen Seite.. das wäre ein verdammt großer Zufall hätte ich mir 2 mal dasselbe geholt
2. ich habe von fast dem gesamten C: Laufwerk auf einer anderen internen Festplatte ein Backup gemacht. kann ein Virus von einer Festplatte zur nächsten springen?, wenn das der Fall gewesen ist , wieso hatte ich nicht glcih nach dem ersten Neustart diese Symptome?

Danke
 
Zuletzt bearbeitet:
Bronka schrieb:
Vor 3 Tagen habe ich C: formatiert und Windows neuinstalliert, nach einem Neustart hatte ich wieder die gleichen Symptome wie vor einem Monat (beide)
Zum Vergrößern anklicken....

Glückwunsch, ich wüsste nicht, was man alles installieren und welche Websites man besuchen müsste, um so etwas anzustellen ;).


Verdächtig ist laut der Logfileauswertung von Hijackthis die "Orl.exe" im Ordner
C:\Users\Martin\AppData\Local\Temp\. Recherchen im Internet gaben allerdings kein eindeutiges "Rotlicht" für diese Datei. Vorsichtshalber würde ich diese aber von Antivir sperren lassen.
 
Wie gesagt:
1. ich habe mal wieder nach einem Keygen gesucht, aber nach einem ganz anderen, und auf einer ganz anderen Seite.. das wäre ein verdammt großer Zufall hätte ich mir 2 mal dasselbe geholt.
2. ich habe von fast dem gesamten C: laufwerk auf einer anderen internen Festplatte ein Backup gemacht. kann ein Virus von einer Festplatte zur nächsten springen?, wenn das der Fall gewesen ist hat, wieso hatte ich nicht gleichh nach dem ersten Neustart diese Symptome?

mit "von Antivir sperren lassen" meinst du die quarantäne-funktion..?
habe es in quarantäne verschoben, nach neustart immernoch das gleiche..

danke für die schnelle hilfe..
 
Zuletzt bearbeitet:
Deine Formulierungen musst du nicht gleich 1:1 kopieren, niemand hat hier so ein beschränktes Kurzzeitgedächtnis ;).

Alternativ biete sich eine erneute Neuinstallation an — nur bitte ohne anschließende Besuche zwielichter Websites ... :rolleyes:
 
Wenn ich jetzt C: formatiere, kann dann der Virus vom Backup, oder von "infizierten" Dateien von anderen Partitionen, wieder Einfluss auf mein neuinstalliertes Windows haben? .. ich finde es echt merkwürdig das wieder genau die gleichen Symptome afgetreten sind..

Deine Formulierungen musst du nicht gleich 1:1 kopieren, niemand hat hier so ein beschränktes Kurzzeitgedächtnis .
Zum Vergrößern anklicken....
ich habe erst jetzt die Zitat funktion entdeckt x) .. ich benutze kaum foren..
 
Zuletzt bearbeitet:
Ja klar kann das passieren. Wenn du es nicht mehr haben willst, hilft wohl nur eine Komplettformatierung und Löschung des Systems
 
ja Komplettformatierung ist keine Lösung für mich.. ich installier Windows neu und hoffe das ich den Virus aus dem Internet habe -.-
 
Du solltest vorher sowohl C als auch das Backup und eventuelle andere Partitionen mit einer bootfähigen Sicherheits-CD checken.
Kaspersky:http://support.kaspersky.com/viruses/rescuedisk?level=2
F-Secure :http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
Avira :http://www.avira.com/de/support-download-avira-antivir-rescue-system
Von mind. zweien die Iso downloaden und auf CDs brennen und mit diesen booten. Dadurch sind Rootkits u.ä. nicht in der Lage sich zu tarnen und können leichter erkannt werden.
 
1. ich habe mal wieder nach einem Keygen gesucht, aber nach einem ganz anderen, und auf einer ganz anderen Seite.. das wäre ein verdammt großer Zufall hätte ich mir 2 mal dasselbe geholt.
Zum Vergrößern anklicken....
Das ist das dein Problem. Wer soetwas macht muss eben mit dem Riskiko leben und braucht dannach auch nicht zum Forum zu laufen und sich zu wundern, dass er ein Problem hat. Hast ohnehin Glück, dass die Mods offenbar noch in Weihnachtsstimmung sind ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

kaepten
Dokumente Ordner (versehentlich) auf OneDrive
Antworten
7
Aufrufe
863
Terrier
T
B
Randdom Abstürze nach neuem Build AMD 7800X3D mit G.Skill Trident Z5 32GB 6000Mhz CL30
2
Antworten
35
Aufrufe
2.486
Cyberbernd
C
L
Virus? Arbeitsspeicher, Absturz - HijackThis
Antworten
19
Aufrufe
4.284
BloodReaver87
BloodReaver87
A
Windows 10 Defender deaktiviert?
Antworten
17
Aufrufe
2.076
Winterday
Winterday
K
Outlook schließt sich ohne Fehlermeldung
Antworten
7
Aufrufe
7.068
PHuV
PHuV
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz