In letzter Zeit mehr Virenfunde!

TcT

Lt. Commander
Registriert
Jan. 2006
Beiträge
1.907
Hallo,

Ich hab in letzter Zeit immer mehr Virenfunde.

Gestern hab ich mal meine Platte gescant und wenige Schädlinge gefunden.

Vorhin hab ich meinen ganzen PC gescannt und nichts gefunden.

Jetzt bin ich wieder zu meinem PC gekommen und schon wieder ein Virenfund.

Was mache ich falsch?
Ich hatte vorher noch nie Virenprobleme.

-Antivir 7.0 Classik jeden Tag aktualisiert
-Win Update auf Auto
-Win Firewall
-ADWatch Echtheitsprüfung
-Fritzbox Router


Das ging immer alles sehr gut, bis auf die letzte Zeit.
Was kann ich machen?
 
Warscheinlich sind die Viren um Autostart oder sonst irgendwo noch versteckt im Systemverzeichnis und schreiben sich nach jedem Neustart des PC neu!

Vielleicht solltest du dir mal Spybot Search&Destroy oder Adawarezulegen.
 
Welchen Browser verwendest du? Welche Viren (Bezeichnung?) werden wo (Speicherort?) von deinem Virenscanner gefunden? Wurden die Viren im abgesicherten Modus entfernt? War die Systemwiederherstellung beim Desinfizieren deaktiviert?

Die Windows- Firewall ist ein effektiver Paketfilter. Würde ich beibehalten.

Der Rat ist ein Guter, zusätzlich zum Ad-Aware auch Spybot zu verwenden. Ein Scan beider Programme mit tagesaktuellen Signaturen kann nicht schaden.
 
Ich verwende ff 1.5.7

Der letzte Virus war: "C:\WINDOWS\services.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Prorat.FL
[INFO] Die Datei wurde gelöscht.

C:\WINDOWS\system\smss.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Horst.Gen
C:\WINDOWS\system32\nvsvcd.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Horst.Gen"

Hab ich aus dem Report mal rauskopiert.

Die Viren wurden im "Normalbetrieb" entfernt. Wenn ich die entfernt hab, dann finde ich auch erstmal keine Weiteren mehr.
 
Ich schätze eher, dass die Win Firewall einfach nicht mehr so gut ist.

An dieser wird es bestimmt nicht liegen, da du einen Router verwendest, der alle Anfragen von außen abwehrt, die du nicht angefragt hast.

Über Sinn und Unsinn einer Software (Desktop) Firewall gibt es hier im Forum genug.
 
Zuletzt bearbeitet:
Zum Firefox empfiehlt sich die Erweiterung NoScript. Die per Default eine Ausführung von Javascript beim Besuch einer Seite unterbindet.

Die services.exe muß sich im C:\Windows\System32- Verzeichnis befinden. Ergo bist du infiziert. Das Backdoorprogramm dieses Namens wird beim Googlen nur mit AntiVir in Verbindung gebracht. Kannst du deine services.exe bitte einmal >hier< virenscannen?

Edit:
Es könnte sich um den "backdoor.win32.prorat.fl" handeln?! Laut Google befindet sich die Bazille auf der Virendefinitionsliste von >a-squared_free<. Eine Registrierung zur Freischaltung der Freeversion ist leider notwendig.

Versuche eine Desinfektion mit diesem Programm. Deaktiviere zur Sicherheit deine Systemwiederherstellung und Scanne im abgesicherten Modus.
 
Zuletzt bearbeitet: (Querverweis hinzu)
Verwendest du ein IRC-Programm? Wenn ja, kann das deine potentielle Sicherheitslücke sein?!

Ich wäre nicht so sorgenlos. Allein das eine Systemdatei nicht an ihrem zugewiesenen Speicherort ist, würden bei mir alle Alarmglocken angehen!

Kennst du HiJackThis? Mach einmal ein Log (>Anleitung<) und analysiere es, z.B. >da<. Gerne kannst du dein Log an den Thread als Txt- Datei in den Anhang hängen. Ich würd morgen mal drüber schauen. 4 Augen sehen evt. mehr als 2.

Edit:
Die "smss.exe" befindet sich auch nicht im C:\Windows\System32- Verzeichnis. Die Datei "nvsvcd.exe" gehört zum ">Troj/Polbot-A<"

Ermöglicht Dritten den Zugriff auf den Computer
Installiert sich in der Registrierung

Damit ist nicht zu spaßen :o Sorry, habe deinen Edit überlesen.

Mach ein HiJackThisLog.

Edit2:
Scanne die "nvsvcd.exe" auf >virusscan.jotti.org/de< und verifiziere meine Googlesuche.
 
Zuletzt bearbeitet: (2. Fund hinzu)
Welche Datei ist nicht an ihrem angestammten Platz?

Hijack this hab ich schon gemacht.

Da war kein böser Dienst zu erkennen.

Wenn du mit IRC soetwas wie ICQ meinst, dann hab ich eins.

P.S. Ich bin nicht sorglos!

Mir ist diese Situation auch neu.

Hatte soetwas auch noch nicht miterlebt.
 
Die "services.exe" und die "smss.exe" befinden sich bei dir nicht im C:\Windows\System32- Verzeichnis sondern im C:\Windows\system\ bzw. C:\Windows\- Verzeichnis. Anbei Bilder der Eigenschaften der orig. Dateien (Speicherort, Größe, usw.).

Wenn HijackThis jetzt nichts findet ist der Virus gelöscht und wird möglicherweise beim nächsten Reboot wieder hergestellt. Der Kreis schließt sich.
 

Anhänge

  • services.png
    services.png
    36,9 KB · Aufrufe: 192
  • smss.png
    smss.png
    36,8 KB · Aufrufe: 206
Die Dateien wurden von Antivir dort gefunden, nur diese Dateien sind auch an den Orten, andenen sie seinen sollen.

Ich fahr mal neu hoch und schau dann nochmal.

Edit:

Hab jetzt nochmal gescant nach dem Hochfahren und nichts gefunden.

Wird wohl nicht so schlimm sein. Die Viren und Trojaner werden ja auch immer von Antivir gelöscht.

Werd mal die nächsten Tage verfolgen.

Edit2:

Kann ich AD-Watch und Spybot SD Resident synchron laufen lassen?
Behindern die beiden sich auch nicht?
 
Zuletzt bearbeitet:
>Die Viren und Trojaner werden ja auch immer von Antivir gelöscht.

Sicher? Einem befallenen System kann man i.d.R. nicht mehr vertrauen. Ich würde bei einem Trojanerbefall, der über den Browsercache hinausgeht, das System neu aufsetzen.

Wenn auf einem System eine Malware, wie z.B. ein Backdoor Trojaner oder ein Wurm mit Backdoor Funktionalität installiert und diese auch aktiv wurde, dann spricht man von einer Kompromittierung (Bloßstellung) des Systems... Die einzig sichere Möglichkeit um wieder einen vertrauenswürdigen Zustand herzustellen wäre ein Neuaufsetzen des System mit anschliessender Absicherung.
>Quelle<

Ja, Spybot und die Freeversion von Ad-Aware behindern sich gegenseitig nicht, da beide afaik nicht über einen aktiven Wächter verfügen. Beide Scanner verfügen quasi nur über ein Reinigungsmodul. Auf die TeaTimer- Funktion von Spybot würde ich verzichten und bei der benutzergeführten Installation abwählen.

Edit:
Sorry, Ad-Watch kenne ich nicht. Ich bezog mich auf die Freeversion von Ad-Aware. Spybot sollte mit Ad-Watch dennoch gehen, da Spybot afair keinen aktiven Wächter besitzt.
 
Zuletzt bearbeitet: (Ad-Watch)
mal im ernst: ich denke, dein system ist grundlegend verseucht. da hilft meiner meinung nach nur format :c und neu installieren. alle noch benötigten daten brennen und dann mit 3 virenscanner querchecken, bevor du dir die wieder aufs system ziehst. wenn du erstmal backdoors auf deinem system hast, dann ist das eigentlich nicht mehr zu retten. virenscanner löschen eh nur das, was sie direkt erkennen, aber nicht das, was der botnetzbetreiber sonst noch auf deiner schuessel hinterlassen hat. wenn du dabei bist, würde ich NACH dem neuaufsezten des system alle, aber auch wirklich ALLE passworte etc ändern.

ich weiss, das ist nicht was du hören willst, aber meiner meinung nach ist tabularasa der einzig sinnvolle ratschlag.
 
hey!!
eine desktop firewall wie zone alarm ist absolut überflüssig und totaler schwachsinn^^ nutze meine pcs seit mehr als 5 jahren ohne firewall und alles läuft rund und sauber! brain.exe nutzen!!! das reicht.
 
hab nur die win firewall und avast....hatte noch nie nen virus drauf......achaja...verwenden "natürlich" firefox.......
 
Zurück
Oben