[SammelThread] Viren, Würmer & Trojaner

[Spielkind]

>kann es sein das diese Programme das schon alles gelöscht haben?

@Floham
Ja, das könnte durchaus so sein.

Der Nachteil der Freeversion der Software Ad-Aware und Spybot ist, das sie nur desinfizieren, statt wie ein Virenscanner das System aktiv zu überwachen. Spyware kommt i.d.R. via Active Scripting/ ActiveX des IE, bzw. generell aktiviertem Javascript des Browsers auf das System. Abhilfe schafft nur ein reglementierter Browser ( z.B.: Firefox + NoScript) oder eben ein aktiver Wächter.

 

[Floham]

hi


danke für deine Antwort.
Ich dürfte jetzt alles aus der Registry gelöscht haben. Hatte nicht dran gedacht das TuneUp ne Suchfunktion für die Registry hat, so konnte ich alle Einträge löschen die little_helper im namen hatten.


mfg

 

[NilzK]

Hi!
hab mir wohl auch nen Virus eingefangen...hab da auch schon einiges drüber gelesen zumindest das viele die Datei : "mc-110-12-0000228.ex" auf ihrem Rechner haben. Mein Rechner ist allerdings nicht langsamer und es werden auch keine Pop-Ups geöffnet, wie es bei vielen anderen ja der Fall war. Nur bekomme ich diese Datei nicht weg mein Virenscanner hat einige andere schon gekillt, aber selbst killbox bekommt die mc... nicht weg! hänge mal meinen hijackthis bericht an, wäre nett wenn mir jemand helfen könnte weil das gefühl diese Datei zu haben, auch wenn sich nichts ändert, irgendwie unangenehm ist
nils

Edit: Also konnte die Datei jetzt doch im abgesicherten Modus mit Killbox löschen. Bekomme jetzt auch keinerlei Meldungen mehr oder so würde aber trotzdem nochmal gerne hören was jemand der sich auskennt dazu sagt, denn ich hab nicht sooo viel Ahnung =)

 

[Spielkind]

Herzlich Willkommen

Dein Log ist afaik soweit sauber. Imo lediglich ziemlich zugemüllt (Toolbars, Browserhelperobjects, Autostart).

Und es wird keine Firewall gefunden? Nimmst Du die XP eigene oder sitzt Du hinter einem Router?

Kennst Du Hijackthis.de? Dort kann man Logs automatisch auswerten lassen. Imo ein praktisches Hilfsmittel.

 

[NilzK]

Hi! Danke für die Hilfe. Kannte sie Seite noch nicht habe mein Wissen nur aus diesem Thread bezogen und deswegen das einfach mal angehängt. Benutzt momentan die XP Firewall. Das mit dem zugemüllten Rechner ist mir auch schon aufgefallen...kannst du mir da ein gutes cleanup prog oder so nennen manuel bereinigen ist ja immer etwas aufwändig und weiß auch nicht genau wo ich die einzelnen Sachen dann finde und so..
Nils

 

[Spielkind]

TuneUp Utilities ist ein imo ausgewogenes, ausgereiftes und leicht zu bedienendes Putzprogramm das ich auch selbst benutze. Die 30 Tage- Shareware sollte ausreichen um das System durchzuputzen.

 

[sunset_rider]

Hallo,

habe eben seit langem mal wieder einen Scan mit Antivir gemacht.

Er fand daraufhin in meinem Thunderbird-Ordner folgende Email:

C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Thunderbird\Profiles\dm2vvuju.default\Mail\pop3.web-5.de\inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: Citigroup Security Department <securitydept@citibusinessonline.com> ][Subject: Security Team of CitiBank security system update alert. ].mim
[FUND] Enthält Signatur des PHISH/CitiBkfrau.Z1-Virus
[1] Archivtyp: MIME
--> file0.html
[FUND] Enthält Signatur des PHISH/CitiBkfrau.Z1-Virus
--> citilogo.gif
[FUND] Enthält Signatur des PHISH/CitiBkfr.Z1.B-Virus
--> cblogo.gif
[FUND] Enthält Signatur des PHISH/CitiBkfr.Z1.A-Virus

Wenn ich diese Email bei Thunderbird suche, findet thunderbird nichts. Rufe ich den ordner auf, so ist dieser leer, obwohl ich alle Dateien anzeigen lasse.

Ich gehe davon aus, dass die Email in der Datei inbox enthalten ist, die ich aber nicht öffnen kann. Ich wäre euch dankbar, wenn ihr mir einen Tipp geben könntet, wie ich die Datei löschen kann!

Danke im Voraus!


Gruss, Philipp

 

[H0m3r.S!mps0n]

hi,

ich hab irgendwie mal ein virus (ich weiss nich ob ichs so nennen darf )
der meine cpu übertaktet aufm pc gehabt.
mein athlon 1800 war dann bei ca 2 ghz.
war dann kaputt. musste dann einen neuen prozessor kaufen.

(auch wenn komisch klingt, es is nich efunden. Ich schwörs!)

tschüssie

euer reaper

 

[Dangermany]

Habe hier ein seltsames Problem:

Bei dem Rechner meines Vaters komme ich nicht auf seine Webseite (www.villa-klatt.de) und auch nicht auf die Webseite des Webhosters (www.netclusive.de). Ich komme nur mit einem trick auf diese Webseite, wenn ich den Explorer unter Windows 2000 mit dem Taskmanager komplett schließe. Ansonsten sagt er mir immer, er könne die Webseite nicht anzeigen. Das alles begann vorgestern abend, scheinbar hat mein Vater einen flaschen Klick gemacht.

Ironischerweise finde ich keinen Virus, nach einem Update von Avira Antivir auf den aktuellsten Stand durchsucht er zwar den gesamten systemordner aber findet keinen einzigen Virus.

Ich dachte, der Virus sei vielleicht zu neu, so dass ich gestern abend abbrach und hoffte, mit einem heutigen Update würde ich den Stier bei den ... Hörner ... packen - aber weit gefehlt: er findet immer noch nichts.

Ergo ist irgendwas im Windows kaputt bzw. irgendein Programm stört: Aber wenn ich alles im Taskmanager schließe und auf das absolute minimum alles schließe, habe ich nach wie vor dieses Problem, dass ich kein Internet habe, solange der Explorer von Windows 2000 läuft.

Ich erspare mir die Auflistung des Systems, es sollte für euch ausreichend sein, dass es sich um einen Athlon XP 1800+ mit 512MB RAM und einem K7S5A Mainboard handelt.

Noch etwas: Auf meinem Laptop und auf dem Zweitrechner bekomme ich ganz normal alle Internetseiten, wenn ich sie anschließe, nur die villa-klatt.de-Seite nicht und die von dem Provider auch nicht, was mich annehmen lässt, dass der Routerport wohl einen weg hat - dennoch treten auch bei dem Zweitrechner die Probleme mit dem zu schließenden Explorer überhaupt nicht auf, nur hier. (Der Router steht im Keller und ein Kabel führt nach oben - hier oben wird alles über einen Switch verteilt und lief bisher problemlos).

Vielleicht hat ja jemand einen Tip, was denn hier so derartig schief läuft. Für Vorschläge bin ich immer offen Freunde!

Beste Grüße
DanGermany

 

[Iverson]

Was heißt ärger gehabt also cih hatte mal meinen PC mit TRojaner verseucht ! Und Fehler hatte er AUCH SCHON DURCH vIREN ALSO ES WURDEN MIR MANCHMAL vERKNÜPFUNGEN GELÖSCHT! aber sonst hatte ich noch nich so viel ärger damit ...

 

[sunset_rider]

Hallo allerseits.



Antivir findet in den Temporary Internetfiles stets: JS/Click.Tagem.A

Antivir ist (aktuell geupdatet!).


Habe das jetzt schon x-fach gelöscht und zudem einmal in Quarantäne. Ohne Erfolg.

Habe zudem Adaware, Spybot und auch den Look2Me-Remover drüberlaufen lassen. Habe bei google gelesen, das solle helfen. Er fand aber leider gar nichts.




Habe mal online gescant. Hier das Ergebnis:



Offenbar schlägt nur Antivir und Ikarus an. Alle anderen erkennen darin keinen Schädling. Auch Kaspersky hat nichts zu bemängeln.



Würdet ihr trotz allem davon ausgehen, dass die Datei potentiell verseucht ist?

Wie kann ich Antivir dazu bringen mich nicht dauernd damit zu nerven, dass die Datei verseucht ist?

Ich wäre jedem von hier sehr dankbar, wenn er mir helfen könnte. Ich weiß mir keinen Rat mehr.

Danke schon herzlich im Voraus für jeden Tipp!

Gruss, Philipp

 

[ddennis]

Moin, habe mal eine Frage, hatte gestern ein Backdoor Programm drauf: Small.Hi.

Meine Antivirus hat es gelöscht nur da es sich in die registrie eingetragen hatte hat es sich jedesmal wenn ich online ging wieder installiert.

Hab dann bissl gesucht und im internet gefunden durch welche Sicherheitlücke es immer wieder geht, die hab ich zugemacht, antivirus nochmal gelöscht und nun ist es weg.Wenn ich nun auch nen Komplettscan mache findet er nichts.Ist das Programm nun weg oder nicht?Das meine Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 08:28:37, on 25.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\spupdwxp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\apvxdwin.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Xfire\Xfire.exe
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\DOKUME~1\Denni\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153780290921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153780281328
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4FE26BD-CC5E-4202-AB61-36DDC5A021D6}: NameServer = 217.237.151.33 217.237.150.225
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe

 

[arkantos2160]

hi ich habe da ein klaines problem und zwar findet der antivir guard immer wieder den selben trojaner und zwar im C:seytem volume information keine ahnung was das zu bedeuten hat was aber noch viel komischer ist ist das sich daernt der internetexplorer öffnet und eine seite öffnet auf der mit antivir sofware geworben wird, ich habe alle möglichen tools durchlaufen lassen und auch schon ordner im abgesicherten modus gelöscht die eindeutig bösartige software enthielten aber mit dem teil wer ich net fertig ich hab antivir schon x-mal durchlaufen lassen baer es findet das ding nicht bis es dann wieder vom guard entdeckt wird.

ich hoffe einer kann mir helfen

 

[Spielkind]

@atiradeonplayer
Besteht dein Problem noch? Die automatische Auswertung stört sich an dieser Datei
>C:\WINDOWS\system32\spupdwxp.exe.

Du kannst sie >hier< online überprüfen lassen. Dein Windows ist nicht gepatched (SP2/ Updates) und du benützt keine Firewall (z.B. Firewall des SP2), der Acrobat Reader (6 statt 7) ist nicht aktuell und deine Java- Version (1.4 statt 1.5) ist uralt.

@arkantos2160
Ich tippe (rate): Du hast einen Browser HiJacker drauf. Bitte mache ersteinmal ein >HiJackThis Log< und analysiere es auf >hijackthis.de<. Bei dir unbekannten Einträgen besser nochmal fragen. Fixen/ Löschen von Einträgen/ Mailware nur im abgesicherten Modus und bei deaktivierter Systemwiederherstellung >Klick<

 

[arkantos2160]

ich habe es genau so gemacht wie du es geschrieben hast aber es passiert immer noch, immer wenn sich diese seite öffnet hat i explorer ne auslastung von 50% und er hängt sich für ein paar minuten auf keine ahnung was er in der zeit macht

 

[Spielkind]

@arkantos2160
Die Schadsoftware wird durch die Systemwiederherstellung wieder hergestellt und lädt erneut Schadcode aus dem Internet herrunter. Du kannst das nur effektiv unterbinden indem du zum Scannen/ Löschen die Systemwiederherstellung deaktivierst.

Beim normalen Starten von Windows wird auch die Schadsoftware mit gestartet, so das die Schadprogramme in Benutzung sind und so nicht gelöscht werden können. Daher der abgesicherte Modus wo nur die Minimalkonfiguration von Windows gestartet wird.

>Klick mich< für das Deaktivieren der Systemwiederherstellung und Booten im abgesicherten Modus.

Wie weit bist du? Welche "alle möglichen Tools" hast du bislang durchlaufen lassen? Stellt sich nur noch die Frage was du löschen mußt? Wenn du einen HiJacker für den IE drauf hast, ist HiJackThis das bevorzugte Tool um diesen zu suchen und zu entfernen. Die Auswertung läuft dann auf >HiJackThis.de<.

 

[arkantos2160]

genau das hab ich gemacht systemwiederherstellung aus windows im abgesicherten modus gestartet und hijackthis durchlaufen lassen dann die log datei ausgewertet und die bedenklichen einträge gefixt aber das problrm besteht immer noch

an tools habe ich einige virenscaner duirchlaufen lassen wie kasperly bit defender und natürlich Avira Antivir was ich fest verwende zusätztlich noch spybot und windows defender

 

[Spielkind]

Imo hast du dir einen HiJacker eingefangen. Dieser wird von Anti- Viren- Programmen üblicherweise nicht gefunden.

Ein HiJack This Log besteht aus mehreren Teilen. Der obere Bereich zeigt die Systeminformationen und den Patchstand an. Der Mittlere die aktuell laufenden Prozeße und unten dann die Einträge unter R- O >Klick<. Nur die Einträge im Log zu fixen beseitigt nicht die Mailware auf deinem Computer. Hierzu mußt Du den Schadcode suchen und löschen. Dazu ist es sinnvoll sich alle Dateien im Windows Explorer anzeigen zu lassen. Klicke dazu im Explorer -> Extras -> Ordneroptionen -> Ansicht -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> OK. Gestartete Dateien und Programme die sich u.U. nicht löschen lassen können mit der Killbox beendet und beim Reboot gelöscht werden >Klick<.

 

[BigChiller]

http://www.pytal.de/ <- grad entdeckt

 

[Gonzo71]

Und was hat dieser Webhoster mit Viren zu tun?
Hostet der die Kostengünstig?