Komisches Verhalten

[schmidmi]

Ich befürchte ich habe mir gestern einen Virus gezogen.
Nach der Installation eines kostenlosen Programms(vorher mit AntiVir gescheckt) öffnet sich etwa alle 30 Sekunden eine Internet-Explorer-Fenster mit wechselnden Adressen. Diese haben immer 3 Buchstaben und auch wechselnde Länderkürzel.
Durch das Beenden mehrerer Prozesse mit Hilfe des Microsoft Process-Explorers konnte ich dieses Problem erstmal abstellen. Nach dem Neustart ist es allerdings wieder da.
Hinzu kommt das ich nichts mehr kopieren, verschieben oder einfügen kann. Auch das Verschieben einer Datei mit der Maus funktioniert nicht mehr.
Ich benutze Windows 2000 mit allen Updates und habe schon Antivir, Spybot und Ad-aware drüberlaufen lassen. Alles ohne Befund.

Was kann das sein?

 

[Boogeyman]

Bei Verdacht auf Virenbefall ist es zu empfehlen im abgesicherten Modus zu scannen.
Du solltest auch die Systemwiederherstellung deaktivieren.

Wenn ein Computer mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist, wurde die infizierte Datei möglicherweise in die Sicherung mit einbezogen. Nachdem ein Virenscanner den Rechner gesäubert hat, und dieser neu gestartet wurde, kopiert die Systemwiederherstellung von Windows die infizierte Datei wieder zurück in das eben gesäuberte System, da es die Änderung durch den Virenscanner entdeckt und diesen "Fehler" ausgleichen will.

http://www.bsi.bund.de/av/texte/wiederher_xp.htm



Lade dir mal Hijackthis und poste hier das Logfile:

http://www.hijackthis.de/de


Online Scanner:
(F-secrue, Bitdefender und Trend Micro können Malware auch löschen)


Kaspersky Online-Scanner
http://www.kaspersky.com/de/virusscanner

F-Secure
http://support.f-secure.de/ger/home/ols.shtml

Bitdefender:
http://www.bitdefender.de/scan_de/scan8/ie.html
Bei Bitdefender auf "andere Einstellung um zu ändern "klicken Sie hier" die Option, Benutzer Abfragen wählen (Prompt user for action), da sonst ohne Rücksicht gelöscht wird, auch Sachen die man ev. gar nicht will
Bitdefender gibt ev. eine Virenmeldung in einen Temp. Verzeichniss aus, die von einer vorherigen Scannung mit escan stammt, Fehlalarm.(mexe.com und mwavscan.com)

Trend Micro
http://de.trendmicro-europe.com/cons...all_launch.php

Panda
http://www.infectedornot.com/worldwide/

Mcafee
http://de.mcafee.com/root/mfs/default.asp

Symantec
http://security.symantec.com/sscv6/d...d=de&venid=sym


Aktiven Virenscanner für die Zeit des Online Scans deaktivieren.
Jeden Online Scanner einzel starten, nicht mehrere Online Scans parallel laufen lassen.
Für die meisten Online Scanns muss der Internet Explorer verwendet werden.



Auch noch nach Rootkits scannen lassen:
https://www.computerbase.de/downloads/sicherheit/antimalware/malwarebytes-anti-rootkit/

 

[schmidmi]

Der Rechner muss bloss noch 3 Tage durchhalten dann wird er platt gemacht.
Kann man mit diesem Problem leben oder ist Datenverlust oder ähnliches zu erwarten?

Kann ich mit einer Linux-Live-CD auf die Windows Verzeichnisse zugreifen um die benötigten Daten zu kopieren und eventuell zu brennen?

 

[Boogeyman]

Kann man mit diesem Problem leben oder ist Datenverlust oder ähnliches zu erwarten?

Da du uns nicht gesagt hast, was für ein Programm du installiert hast, kann man schlecht eine Aussage machen, ob es schlimm oder nicht schlimm ist.

Im schlimmsten Fall hast du einen Rootkit installiert und das würde für mich bedeuten, mit diesem PC überhaupt nichts mehr machen.

Hier hilft dann nur eine Neu Installation mit formatieren.

 

[schmidmi]

Das Programm war irgendein Konvertierungsprogramm. Allerdings als torrent, kann sein das es nicht original war.
Ich habe es gestern im abgesicherten Modus versucht.
Ergebnis ist das selbe. Es wurde nichts gefunden.
Ich habe allerdings noch etwas festgestellt. Wenn ich den PC einschalte kommt ein Downloadfenster das ich bestätigen soll. Es möchte eine hbtools.exe von install.hotbar.irgendwas runterladen. Wenn ich dieses nicht schließe und den IE per Process Explorer kille dann läuft der PC normal.

Trotzdem nochmal die Frage: Kann ich mit einer Live CD auf das Windows Verzeichnis(NTFS) zugreifen wenn ich Benutzer und Kennwörter kenne?

Wenn alles klappt wird der PC heute Abend gesichert und platt gemacht.

 

[Boogeyman]

Trotzdem nochmal die Frage: Kann ich mit einer Live CD auf das Windows Verzeichnis(NTFS) zugreifen wenn ich Benutzer und Kennwörter kenne?

Wenn du eine Linux Live Cd hast, kannst du NTFS zwar lesen, aber nicht auf NTFS schreiben. Das kann z.b. eine Live Cd die du mit PE Builder erstellen kannst, oder Knoppicillin cd.

http://de.wikipedia.org/wiki/Knoppicillin

http://de.wikipedia.org/wiki/PE_Builder

Was möchtest du denn mit der Live CD machen ?

 

[schmidmi]

Ich hatte ja vorgestern das Problem keine Daten mehr per drag&drop oder copy&paste verschieben zu können. Zumindest nicht unter Windows. Da ich noch ein paar Dokumente unter den Eigenen Dateien habe muss ich diese aber irgendwie verschieben auf eine andere Partition. Daher meine Frage mit der Live-CD. Auch bei beschädigten Windows-Installationen wäre das hilfreich.

Gestern ging ja alles wieder und ich konnte es unter Windows machen.
Trotzdem interessiert es mich da ich es bisher noch nicht hin bekommen habe.

BartPE funktioniert nicht mit Win2k.