[SammelThread] Viren, Würmer & Trojaner

[Tipsy]

Hiho,
hab folgendes problem...seit einiger zeit kann ich google nur noch über die ip erreichen...wenn ich die adresse www.google.de eingebe, werde ich zur seite http://www.www.google.de.com/ umgeleitet...außerdem werden bei amazon die grafiken nicht angezeigt...dazu muss ich allerdings sagen, dass diese probleme an machen tagen nicht auftreten (dann funzt alles ohne probleme)...
Hab meinen pc mit folgenden programmen durchgecheckt: adaware, spybot, a², kaspersky, leider ohne erfolg! In der host datei hab ich auch nix auffälliges finden können (das wäre ja die erklärung für die umleitung zu google.de.com gewesen)...
Tja woran könnte das denn nun liegen? Hab hier mal noch das Ergebnis vom HijackThis reingestellt, vielleicht findet ja jemand was auffälliges!
Ich dank schonmal im voraus

Logfile of HijackThis v1.97.7
Scan saved at 14:38:59, on 07.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Conrad1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://216.239.57.104/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37967.5656828704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-halle.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-halle.de

 

[hitman3]

kennt jemand den Virus Bloodhound.w32 und wie bekomme ich ihn weg? Den hat einer meiner Kollegen aufm PC aber der will einfach nicht verschwinden... Ich hab schon mehrere Programme durchlaufen lassen (Norton Antivirus 2004, Ad-Aware, McAfee Stinger) aber ich bekomm ihn nicht weg...

Er hatte vorher keinen Virenscanner und Firewall und ich hab bei ihm ca. 30 Würmer 10 Trojaner und 70 Viren gefunden...

 

[Mr. Incredible]

Bei der Menge an Viren hat das System nun mehr Löcher als ein Schweizer Käse
Am besten du fängst an wichige Daten zu sichern um dann das System ganz neu aufzubauen(formatieren -> OS installieren).

/Edit
@Tipsy
Ich kann nichts verdächtiges entdecken, aber schläfst du nicht ein wenn du deinen Rechner bootest?...

 

[Tipsy]

@ Mr. Incredible

Du bootest wohl noch? Meiner is immer 24 Stunden an Aber komisch is das schon das ich google immer nich erreichen kann (und dann noch weitergeleitet werde)...ich dacht ja erst an hijacker...hab aber wie gesagt nie was gefunden...echt ne seltsame sache

 

[Tipsy]

Oki ich hab das problem gelöst...meine firewall wurde gehackt...deshalb hab ich ne neue installiert und schon kann ich wieder alle webseiten ohne probleme erreichen...
Dank dir trotzdem das du dir die mühe gemacht hast, dir das mal anzuschauen...

So long...

 

[Dynamic]

Virus/Wurm bei mir druf

Scheisse Scheisse scheisse...

Sry, für meine Wortwahl, aber ich könnte mir den kopf abschlagen für meine dummheit

ich hab mir diesen dummen Wurm eingefangen!
Nur ich hab vergessen, welcher das is ob blaster oder my.doom

Zumindest is das der, wo sich der pc selbst ausschaltet und man nix machen kann!!!
welcher issen das nochmal?!

naja, jedenfalls hab ich den dann halt neu hochfahren lassen und da hat ad-watch mir alle sachen gesperrt. so vonwegen ich kann keine .exe mehr ausführen, es werden keine icons mehr angezeigt usw.

weiß jemand, wie ich das wieder hinbekomme?
also wiederherstellen tut nicht, weil ich kann ja keine .exe mehr ausführen....

SCHEISSE!!!

Danke schonmal für helfen...

 

[waldemar]

Re: Virus/Wurm bei mir druf

Das könnte der Sasser sein.Zieh dir den Stinger von McAfee und starte im abgesicherten Modus(beim hochfahren schön F8 drücken),dann starte den Stinger ,das müßte helfen

 

[Brigitta]

Re: Virus/Wurm bei mir druf

Welcher es ist musst du schon selber wissen, oder mehr Infos geben.

Sasser:

https://www.computerbase.de/forum/threads/ungewolltes-herunterfahren.99055/

Blaster:

Removal Tool
Patch
und: http://www.microsoft.com/germany/technet/servicedesk/bulletin/bulletinms03-039.mspx

Gleiches Vorgehen wie bei Sasser...

 

[BF|Freezer]

Virus am Werk...

Mein Vater hat sich wahrscheinlich eine Variante des Sober Viruses eingefangen.... Das Problem: Der Virus schaltet alle AntiViren Programme aus bzw. lässt nicht mal deren Installation zu, sperrt den Zugang zum Internet für einen Online-Antivirencheck und verbietet mir in die Registry zu gelangen (Win 98 - " Die Bearbeitung der Registrierung wurde durch einen Administrator deaktiviert)... Was kann ich nun noch alles tun?

 

[Fenriswolf]

Re: Virus am Werk...

ich würde den stinger runterladen und im abgesicherten modus ausführen, der dürfte alle probleme beheben
anschließend würde ich den kaspersky personal als virenscanner installieren und dauernd draufbehalten; mit dem kommt es meistens nicht so weit .
Download

kostenlose und auch legale key dateien für die version gibs hier

ps: nochmal zum stinger, das müsste eigtl funktionieren da stinger nicht installiert werden muss und direkt für die beseitigung der sober viren ausgelegt ist

 

[S1lverSurf3r]

Re: Virus am Werk...

Ich würde die Festplatte mit meiner Konoppix CD überprüfen!

Knoppix ist eine Linux Version die sich von CD Booten läßt und viele nützliche Sachen mitbringt um nach Vieren zu scannen oder Daten zu retten.

Sie eigenet sich auch super wenn man sich Linux nur mal anschauen will!

Da auf dem Rechner nur Win98 ist wirst du auch keine Probleme mit dem Dateiformat FAT16 oder 32 bekommen!

Knoppix bekommst du auf www.knoppix.org

----

Eine andere Möglichkeit wäre die Festplatte auszubauen und sie in einem anderem Rechner zu scannen! Hierbei aber darauf achten das der andere PC Vierengeschützt ist

----

Die Möglickeit meines Vorredners wäre nartürlich die einfachste und schnellste! Vorrausgesetzt Stinger läßt sich installieren!

 

[BF|Freezer]

Re: Virus am Werk...

Hab den Stinger gesaugt und im abgesicherten Modus ausgeführt dann kam:
"Diese Anwendung wurde aurfgrund eines ungültigen Vorgangs abgebrochen" ...
Gibts sonst noch ne Möglichkeit? BTW: Knoppix bin ich noch am saugen...

ich würde den stinger runterladen und im abgesicherten modus ausführen, der dürfte alle probleme beheben
anschließend würde ich den kaspersky personal als virenscanner installieren und dauernd draufbehalten; mit dem kommt es meistens nicht so weit .
Download

kostenlose und auch legale key dateien für die version gibs hier

ps: nochmal zum stinger, das müsste eigtl funktionieren da stinger nicht installiert werden muss und direkt für die beseitigung der sober viren ausgelegt ist

 

[Fenriswolf]

Re: Virus am Werk...

funktioniert die installation von kaspersky im abgesciherten modus ??

eventuell gibs hier noch ein removal tool http://www.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html


geht der stinger im normalen modus ?

 

[BF|Freezer]

Re: Virus am Werk...

Thx erstmal für eure Hilfe! Es war doch kein Sober sondern ein älterer Virus - PWS-Narod Trojan + SirCam... Stinger ging dann doch noch im abgesicherten Modus zu starten...

 

[Dynamic]

Re: Virus/Wurm bei mir druf

das prob is ja, das (ich denke mal durch ad-watch) ich keine .exe dateien ausführen kann, da ad-watch das in der regedit verändert hat.

schätze, da hilft nur format c: , oder? :/


//edit

ich werd nochmal adware zurate ziehen, mal gucken ob man diese sperre wieder rückgänig machen kann

 

[Fenriswolf]

Re: Virus am Werk...

na wunderbar

installier am besten kaspersky mit automatischem update auf dem pc dann biste alle sorgen los ^^

 

[Boomslang]

Trojaner: ernkannt und nicht gelöscht

Hallo,
Hab seid einiger Zeit ein problem. Und zwar hat meine Schrottkiste nur den antivir guard drauf(mach einen ständigen system scan) und der zeigt mir immer wieder den gleichen Trojaner an: Tr/startpage.ix wenn ich nun auf löschen gehe bekomme ich die selbe Meldung wieder, wenn er diesen Ordner später nochmal überprüft. ich hab schon alle möglichen Optionen ausprobiert (Datei in Quarantäneverzeichin usw.) aber jedes mal bekomm ich die Meldung wieder.
Könnt ihr mir vielleicht helfen? Womit könnte ich den Trojaner denn wegbekommen?
Zu erwähnen wäre vielleicht noch , dass Windows 2k mein Betriebssystem ist .
Gruß Boomslang

 

[Gonzo71]

Re: Trojaner: ernkannt und nicht gelöscht

lad Dir mal nen vernünftiges Programm wie AdAware oder SpyBot&Research runter, findest Du beides im Downloadbereich von CB

und das sagt google dazu: http://www.google.de/search?hl=de&q=Tr/startpage.ix&btnG=Google-Suche&meta=

@Fenriswolf
hrhr, so wollte ichs nicht schreiben, gedacht hab ichs aber auch
antivir erkennt zwar viel, kann aber relativ wenig löschen
naja, was willste von nem kostenlosen Programm erwarten

 

[Fenriswolf]

Re: Trojaner: ernkannt und nicht gelöscht

einfach nicht den antivir verwenden

jeder richtige virenscanner hat damit kein probleme nur antivir bringt einfach nix

 

[Bluerock]

Re: Trojaner: ernkannt und nicht gelöscht

Aufpassen habe ne Mail bekommen von angeblichen neue Zugangsdaten, von einer Seite die ich nich kenne:

Guten Tag,

da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden, mussten wir leider eine Änderung bezüglich Ihrer Nutzungs- Daten vornehmen.

Ihre geänderten Account Daten, befinden Sie im beigefügten Dokument.


Vielen Dank für Ihr Verständnis.


------ <PARTOUT> GmbH & Co. KG
------ Send-To: Home-Service@partout.com
------ www.partout.nl

Im Anhang: Daten.eml.pif