Virus Hilfe ! Bitte Helft mir

[gibtsnet]

Hallo liebe CB Community

ich habe gestern festgestellt als ich Avira runterladen wollte dass der Download bei FF3 nicht geht, und zwar öffnet sich das Datei Speichern Fenster kurz und schließt sich samt Browser das ist mit anderen Browsern genauso.
Dann habe ich XP neu installiert und Avira installiert und dann beim Scan kamen dan 167 Viren Funden von wegen HTML Script Virus irgendwelche pagefile.pif Dateien und Viele Anwendungen (.EXE) wären irgendwelche Trojaner vor allen ist das lustige dass diese auch bei Spielen sind wie z.B.B BF2 Hilfedateien im HTML Format bei COD4 auch und bei anderen Games.
Dann habe ich jetzt Vista installiert und dann nach 3h habe ich wieder das Problem wie beschrieben. Könnt ihr mir Helfen bitte.

Danke im vorraus gibtsnet

EDIT: Hier das Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:49, on 14.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode with network support

Running processes:
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')
O4 - Global Startup: ~.exe.110464.exe
O13 - Gopher Prefix: 
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O20 - AppInit_DLLs: C:\Windows\system32\dnsq.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (X86)\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 4844 bytes

 

[supastar]

Du hast Windows neu installiert und hast 167 Viren danach?
Vllt solltest du einen nicht infizierten Windows-Datenträger nutzen....

 

[CoolHandLuke]

hmmm, irgendwoher müsste man sich nun eine Linux LiveCD beschaffen und davon starten. Hier ließe sich auch ein Virenscan durchführen - allerdings sollte man eher seine wichtigsten Daten (Texte, Bilder und andere Dokumente wie Mailkonten usw.) auf einen sauberen Datenträger sichern. Ist man mit der Datensicherung durch, so kann man die Festplatten endlich restlos säubern und wenn man auf Windows angewiesen ist, von einem wirklich virenfreien Datenträger installiert. (Wer weiß, was sich z.B. bei via nlite erzeugten Installationsmedien noch einschleichen kann...)

Achso: und danach den IE vorerst nicht benutzen (wenn man heise in den letzten Tagen verfolgt hat, weiß man warum ;-) )

 

[Kommandofrosch]

Überprüfe mal bitte die Herkunft deiner Software wie mein Vorposter es schon erwähnt hat.
Meide Software von weiteren Personen, fremde Speichermedien wie Usb-sticks und vieles mehr.
Sonst überschreibe vor einer Windowsinstallation deine Festplatte(n) von einer LinuxCD mit Nullen/Zufallszahlen und verwende demnächst authentische Software um Kompromittierung zu umgehen.
Vermeindliche Tuningtools und modifizierte Installer mit "coolen" Themes sind sehr oft böse.

 

[gibtsnet]

Ich habe jetzt Backtrack als Live system am laufen die Datenträger die ich benutzt habe waren alles meine.
Was kann man denn für einen Virenscanner unter Linux nutzen? Der sich auch in BT einbinden lässt

 

[Kommandofrosch]

Für Linux als Antivirussoftware gibt es verschiedene.
ClamAV ist ein Opensourceprojekt und wird wohlmöglich bei vielen Linuxdistributionen dabei sein.
Sonst gibt es alternativ Antivir auch für Linux, Solaris, FreeBSD und OpenBSD.
Mit Antivir persönlich unter Linux habe ich gute Erfahrung gemacht. Leider kann ich den AVguard von Antivir nicht verwenden, weil meine Kernel zu neu sind.
Antivir als Kommandozeilentool ist simpel:
antivir --update und antivir --parameter zum scannen
Ich persönlich tendiere zu Antivir, weil a) ein Gutes Handbuch als PDF vorliegt.
b) auch in der Konsole ist AV einfach zu bedienen und man muss sich nur die Tabelle mit den Parametern anschauen.
c) Es scheint für den nichtkommerziellen Betrieb kostenlos zu sein.

In ein LiveCD-System lässt sich schlecht ein Virenscanner einbinden.
Sonst hier ist ein LiveSystem von free-av:
http://www.free-av.de/en/tools/12/avira_antivir_rescue_system.html

 

[supastar]

Kauf dir die aktuelle c't. Da gibt es das Knoppicillin, das genau dafür ausgelegt ist.
Zudem ist auch eine Anleitung für das Erstellen einer PartPE-CD mit integriertem Virenscanner drin.

 

[gibtsnet]

Danke schon mal für die Hilfe mit Avira habe ich weniger erfolg gehabt da ich dort nichts sehe außer 95% schwarz und der verbleibente rest ist gelblich also auf Deutsch sehe ich da mal nichts.
Ich werde morgen mal die aktuelle ct ranholen mal hoffen vlt. gehts damit.
Ansonsten muss alles Komplett Formatiert werden

 

[Frostborn]

Du hast Windows neu installiert und hast 167 Viren danach?
Vllt solltest du einen nicht infizierten Windows-Datenträger nutzen....

Also ich denke mal er hat ne andere Partition als die infizierte genommen. Wenn er auf die infizierte platte installiert hat, dass heisst auch formatiert hat, sollten die Viren jedenfalls in 95% der fälle weg sein.

 

[jochen1001]

was heißt bei dir genau Windows neu installiert? hast du vorher formatiert? dann dürften da keine Viren drauf sein, wenn du aber bloß Windows überschreibst, sind die Daten incl. Viren ja noch da

 

[gibtsnet]

Ich habe Windows so installiert dass ich die Partition formatiert habe. Aber auf der Windwos Partition war dann schon wieder was druff. Ich kann mir das überhaupt net erklären.
Naja werden morgen mal das Knoppicillin ranholen und das mal durchlaufen lassen.
Ansonsten muss einfach alles Formatiert werden was ich eigentlich net wollte

 

[supastar]

Evtl hast du auf der anderen Platte dann die Viren, die sich auf die andere Platte übertragen...

 

[Frostborn]

jop,
supastar sagt es. Du solltest komplett formatieren. Das heisst alle Partitionen bzw Festplatten die du hasst. Vorher alle daten sichern.

 

[Kommandofrosch]

Entschuldigung, ich möchte nicht aufdringlich sein, meine Befürchtung ist, dass die Windowsinstallationsmedien kompromittiert sind.
Leider ist Windows ein idealer Brutkasten für Schadsoftware. Bitte fordere beim Support von Microsoft gegen einen geringen Aufpreis einen verifizierten Installationsdatenträger an. Bei MS sollte man einen Datenträger inklusive SPs bekommen. Bei dem Slipstreamen eines Windowsservicepacks kann mal was schiefgehen. Oder sonstige modifizierte Installationsroutinen mit vorinstallierter Software sind nicht immer fehlerfrei.

 

[supastar]

Hatte ich ja auch schon beschrieben, dass der Datenträger zu prüfen ist.
Das kommt aber in der Regel sehr selten vor, dass man einen Virus auf nem Windows-Datenträger hat.
Den muss man sich schon aus sehr dubiosen Quellen besorgt haben...

 

[gibtsnet]

Der Datenträger ist sauber(Windows CD). Ich habe jetzt mal des Knoppicillin am Laufen und werde dann auch mal die Platten alle Komplett Formatieren. Denn ich glaube dass der Ursprung sich auf einer anderen Partition befindet wie Athlon64 und supastar sagt.

EDIT:

Hat sich am Montag rausgestellt dass der Virus aus dem Uni-Netz kam.
Aber da hatte ich meinen Daten schon lebwohl gesagt.
Danke für eure Hilfe.