ComputerBase Menü
Aktuelles

Malware/Virus blockt Windows

C

ConVuzius

Lieutenant
Registriert
Dez. 2008
Beiträge
521
Hallo alle zusammen!

Ich hoffe das mir jemand helfen kann.

Ein freund von mir hat seit einiger Zeit auf seinem Laptop das Problem, dass wenn er einen Link anklickt oder im Browser eintippt (FireFox 3.5, mit IE dasselbe Problem) manchmal auf andere Seiten geschickt wird, öfter eine Seite die mit main.exoclick anfängt. Ich hab mir das dann mal angeguckt, da ich dachte ich hätte Ahnung. Als er den Laptop bekam hab ich AntiVir installiert und da im ZoneAlarm zu aufwendig war halt die Windows FireWall genommen.

Das Hauptproblem ist im moment, das ich z.B. kein Windows Update durchführen kann, ich kann Windows Defender nicht updaten, ich kann service pack 2 nicht installieren und ich kann keine systemwiederherstellung durchführen. ich kann z.b. auch nichts mehr von der windows seite downloaden, also manuelles installieren klappt auch nicht. also antivir findet nix, und um hijackthis zum laufen zu bringen hab ichs erstmal in pruefung.com umbennenen müssen. hijackthis.de sagt mir das die zeilen O17 unsicher sind und ich sie fixen soll, hab ich auch probiert aber nachm fixen sindse gleich wieder da. hier das hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:25, on 30.07.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Windows\system32\igfxsrvc.exe
C:\Users\Stephan\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Users\Stephan\Desktop\pruefung.com
C:\Windows\system32\SearchProtocolHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9A8E2A-938C-4EF0-8551-B84BB31C04B3}: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\..\{E51452DE-0DB2-4AA7-8888-B58FF110AA46}: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CS1\Services\Tcpip\..\{6F9A8E2A-938C-4EF0-8551-B84BB31C04B3}: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CS7\Services\Tcpip\..\{6F9A8E2A-938C-4EF0-8551-B84BB31C04B3}: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.153,85.255.112.92
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
 
--
End of file - 6411 bytes



also ich bin mit meinem latein am ende, neu aufsetzen will ich jetzt au net unbedingt weil er keine recovery cd hat (acer laptop). also ich wäre für alles was hilft dankbar.

gruß con
 
neu aufsetzen will ich jetzt au net unbedingt weil er keine recovery cd hat (acer laptop).
Zum Vergrößern anklicken....
Dann gibt es eine Recover Partition, es gibt jedenfalls immer ein Möglichkeit das System wiederherzustellen. Auch kannst du mit jeder Vista DVD das System installieren, mit dem Key auf dem Lizenzaufkleber.

Auch reicht es in Hijackthis nicht, nur auf fixen zu drücken, wie du es selber schon bemerkt hast. ;)

Sonst gibt noch diverse Antiviren Scanner die von CD starten:
Kaspersky RescueDisk
G Data BootCD
F-Secure Rescue Cd
 
Die IP-Adressen für den Nameserver stammen jedenfalls aus der Ukraine
ip2location schrieb:
85.255.112.153 UA UKRAINE - - UKRTELEGROUP LTD
Zum Vergrößern anklicken....
...

sieht wirklich sehr nach Umleitung aus (DNS-Spoofing)

wüsste aber nicht, wie man das einfach so korrigieren könnte ...

Eine Möglichkeit, den Übeltäter zu finden, wäre ein Programm, das Änderungen an der Registry protokolliert bzw. blockieren kann. Der Teatimer von Spybot Search and Destroy kann das z.B.
D.h. du könntest die Registry-Einträge löschen und dann gucken, welches Programm versucht, diese Einträge wieder neu zu schreiben.
 
Zuletzt bearbeitet:
vieleicht hat das program ja nur in den adapter einstellungen von hand nen dns server eingetragen? einfach mal dort nachschauen unter tcp/ip optionen. auf gar keinen ist das nur harmlos.
 
Hi

das Teil hatte ich auch mal .... format c: war die lösung.

Eines der Symptome war auch das ich unter cmd -> netstat sehr fix sehr viele Verbindungen aufgebaut habe. Ist mir erst aufgefallen als ich beim TeamFortress2-Zoggen ständig wg. HighPing vom Server geflogen bin - hatte aber alle verursacher geschlossen gehabt (was sonst natürlich klappt)

Hab Malwarebytes Antimalware, SuperAntispyware, Hijak-This (entfernt ja nicht, listet aber alles möglich auf - das teil war SAUBER) probiert ... Virenscanner ebenfalls - es wurde NIX gefunden. Wobei sich Virenscanner und div. andere "Anti"-Tools garnicht erst installieren bzw. starten ließen. Das wurde schon geblockt. Hab die HD ausgebaut und per USB an nen anderen PC angeschlossen. Wieder die gleichen Tools drüber - diesmal gabs gleich mehrere dutzend Treffer - alles entfernt - fast alles. Einiges war jetzt aber problemlos löschbar - einfach im Windows, Windows/System32-Verzeichnis nach komischen Dateinamen oder Ordnern gesucht und gelöscht (als das System wieder lief fand ich hierfür auch aufrufe in der Registry! Also manuelles drüberschauen über die HDs sollte auf jedenfall gemacht werden!)

Platte wieder eingebaut .. gestartet ... netstat brachte nun nur noch Verbindungen die ich auch aufgebaut habe ... aber der neue Virenscanner ließ sich nicht starten - da hat das Teil irgendwo in der Registry den Virenscanner und div. andere Programme verboten zu starten - ein tool hab ich einfach umbenannt und dann gings - also rein Namensseitiges verbieten. Auch das Problem konnte ich fix ...

Aber Windows Update hab ich nicht mehr zum laufen bekommen - das war total hinüber. Habs auch mit deinstallieren und installieren des Teils probiert. Zig tricks aus Netz ... garnichts. Der Windows Update-Dienst wurde garnicht mehr gestartet - konnte daher auch nicht auf c't offline update ausweichen, weil WU hier ebenfalls gestartet werden muß.

Merke: ist der Virus/Trojaner/Rootkit erstmal am Scanner vorbei, schmeißt seinen Schutzschirm über, tarnt sich und man hat mit dem infizierten SYSTEM keine Chance mehr was loszuwerden. Die HD muß mit einem Fremd-System bearbeitet werden und selbst das ist keine Garantie das keine Schäden (wie Windows Update) zurückbleiben.

Aber wg. DNS: gibt es ne möglichkeit auf einen Router mit Linux (dd.wrt) zu konfigurieren das wenn ein unbekannter DNS-Server angesprochen wird, das er das auf einen anderen umleitet. Hab auf meinem Server nen DNS-Forwarder der seine Einträge von 6 DNS-Servern bezieht. Sämtliche Clients im LAN haben den Server als DNS eingetragen. Wenn ich jetzt der Linux-Kiste sagen könnte: das alle abfragen die nicht in ner Liste stehen, geblockt werden wäre das schon helfen ... hab nur null Ahnung von Linux ;). Auf die weise könnte man das Manipulieren von Seiten schonmal soweit unterbinden - man kommt auf die Seite wo man auch hinwill - und nicht auf eine per DNS umgeleitete die einem noch paar weitere Viren usw. unterschiebt.

Gruß
 
du könntets unter linux einfach einen dns server laufen lassen (empfehle pdnsd weil es einfach zu bedienen ist). in der configfile trägst du einfach nur die 6 server ein die du willst und das wars. kann sogar spoofing attacken erkennen / verbieten. also wenn du nach computerbase.de fragst das dann noch z.b. www.bank.de mit einer hacker ip mitkommt. oder das du ihm forward anfragen ganz verbietest er fragt also wirklich nur die server die du angegeben hast und beauftragt diese nicht noch andere (evtl. unseriöse) dns queries an fremdserver zu machen. wie gesagt alles sehr einfach und läuft das ding kannst du auch problemlos in windows dns caching etc ausschalten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Virus? Arbeitsspeicher, Absturz - HijackThis
Antworten
19
Aufrufe
4.551
BloodReaver87
BloodReaver87
M
Malware/Virus seit heute morgen?
Antworten
5
Aufrufe
2.670
SchwedenStahl85
SchwedenStahl85
C
ständig keine Rückmeldung bei Windows 10
Antworten
3
Aufrufe
4.897
HisN
HisN
K
Windows 10 läuft extrem langsam, trotz niedriger Auslastung
Antworten
7
Aufrufe
6.395
PCTüftler
PCTüftler
scratch
Firefox mit Malware belastet? Scans ergebnislos
Antworten
16
Aufrufe
2.416
Markus78
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz