Virus?

[Pelzameise]

Hallo,

ich glaube ich hab einen Virus auf meinem Rechner.
Ich hab schon HijackThis laufen lassen, und das LogFile bewerten lassen.
Das Ergebnis: einmal aüßerst schädlich und noch ein paarmal schädlich.

Hier das Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44:28, on 28.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\RivaTuner v2.24\RivaTuner.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Leo1\LOKALE~1\Temp\b.exe
C:\PROGRA~1\ICQ6.5\ICQ.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\msa.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.24\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.24\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\Leo1\LOKALE~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6254 bytes

Bei den Prozessen ist das msa.exe äußerst schädlich, das b.exe hat ein Fragezeichen.

Im Autostart ist nur der VPN Client.

Ich hab die beiden Prozesse erstmal beendet, mal schauen ob der Rechenr sich wieder festfährt.


Wie kann ich die loswerden ohne dass ich das Windows neuinstallieren muss?
Reicht es, wenn ich mal Kaspersky installier und Viren entferne?


Danke

 

[HisN]

Reicht es, wenn ich mal Kaspersky installier und Viren entferne?


Danke

Und Du meinst das es mit dem Löschen von 3 Dateien getan ist? Was ist mit den ganzen Windows-Internen-Files die die Schadsoftware geändert hat? Wahrscheinlich steht jetzt Tür und Tor für ähnliche Software offen.

Ich würd an Deiner Stelle keine Bank-PWs mehr tippen (am besten gar keine PWs mehr) und das System ganz fix neu aufsetzen.

Und so nebenbei: Zur Zeit verteilst Du höchstwahrscheinlich die Schadsoftware fleissig weiter. Also Betroffener: VIELEN DANK

Warum kann man nicht konsequent sein? Windows-Neu-Install dauert 15 Minuten. Ich weiß Du willst das nicht hören, es bedeutet ja Arbeit für Dich, aber DU bist mit ein Grund (wahrscheinlich) warum soviel davon unterwegs ist. Jeder ist sich selbst der nächste, aus dem Grund mein Beitrag.

 

[Pelzameise]

Ja klar nur in der letzten Zeit muss ich mein Windows ständig wegen irgendeinem Scheiss neu installieren. Deshalb die Frage ob es reicht mit Kaspersky Viren zu entfernen.

 

[HisN]

Nein, wenn ein Virus im System schon aktiv ist "bevor" Du den Scanner installierst, dann ist inzwischen die meiste Schadsoftware so "intelligent" sich vor dem Scanner der auf dem System läuft zu verstecken.
Ich würde das eher mit einer Software machen die man von CD booten kann.

Aber wenn Du das in letzter Zeit häufig machst, dann biste doch geübt^^, dann gehts ja noch schneller mit dem neu Aufsetzen :-)

 

[Pelzameise]

also bei mir dauert die Installation mehr als 15min....
so lange dauert allein die Einrichtung schon

Ergänzung (29. Juni 2009)

na gut dann wird heute noch neu installiert.
meine 2. Partition kan ich aber lassen, oder?

 

[BrollyLSSJ]

Die zweite Partition kannst du hinterher (also nach der Neuinstallation) mit einem Virenscanner ueberpruefen. Dies wuerde ich auch auf jedenfall tun, um sicherzugehen, dass sich der oder die Schaedlinge nicht noch weiter verbreitet haben.

 

[Matze89]

Ja klar nur in der letzten Zeit muss ich mein Windows ständig wegen irgendeinem Scheiss neu installieren.

Ja wie? Soll das heißen du hast öfter Viren drauf? :freakFalls ja, würde ich mir mal Gedanken über die I-net-Nutzung machen.

Ich würde an deiner Stelle trotzdem das System neu aufsetzten. Gerade wenn du wichtige Daten gespeichert hast oder Online-Banking o. ä. betreibst.

Mfg Matze

 

[ffrswrc02]

hey
hast du überhaupt irgendeinen gescheiten Virenschutz laufen??? Wenn nicht dann ist man selber schuld, wenn man mit Windows ins Net geht sollte man schon einen haben.
Ach ja und eine Firewall wäre auch zu empfehlen.

 

[Scheinweltname]

Ja klar nur in der letzten Zeit muss ich mein Windows ständig wegen irgendeinem Scheiss neu installieren.

investier dein Geld mal in ein BackUp-Programm (z.B. Acronis True Image. Vielleicht gibts aber auch brauchbare Freeware?!?), dann dauert Festplatte formatieren + die Herstellung des exakten Zustandes wie beim Image keine halbe Stunde; inkl. aller Programmeinstellungen usf. Natürlich sollte das Backup-Image von einem Zustand gemacht werden, der definitiv virenfrei ist.

Wenns aber an deinem Surf- oder Downloadverhalten liegt, dass du dauernd neu installieren musst, dann müsste ich Matze89 zustimmen!

 

[Pelzameise]

nein ich musst immer wegen anderen Sachen neu instalieren...

Naja ich schreib jetzt schon aufm frischen Windows.

Bei der Acronis Software reicht doch für das eine Mal eine Testversion oder?
Kann mir jemand einen Link geben wo das beschrieben ist wie das geht?

 

[markus1234]

Kann es sein dass du auf einem veralteten System online gehst.?
Z.B. XP ohne SP3 und essentiellen Updates?

So könnten diverse Schädliche auch direkt auf deinen Rechner gelangen - ohne dass du eine bestimmte Webseite ansteuern - oder gar manuell etwas downloaden musst.

mfg,
Markus

 

[BrollyLSSJ]

Bei der Acronis Software reicht doch für das eine Mal eine Testversion oder?

Wenn du eine Seagate oder Maxtor Platte hast, koenntest du dir den Seagate Disc Wizard laden. Ob man mit der Trial von Acronis auch n Backup wieder einspielen kann weisz ich nicht. Aber irgendeine Beschraenkung wird die Trial haben.

 

[pcpanik]

Man könnte (nur mal so als Denkantoß) sich

a) vorher einen geeigneten Virenschutz installieren
b) das System up to date halten per Windows Update
c) einen User mit niedrigen Rechten zum Internet surfen benutzen
d) den Klon einer virtuelle Maschine für den Internet Besuch nutzen

c und d in Kombination, gepaart mit a und b dürfte Dir helfen so etwas zukünftig zu vermeiden.

Dann kannst Du im falle eines Falles einfach die Vm klonen und hast wieder ein frisches System.

 

[Scheinweltname]

c) einen User mit niedrigen Rechten zum Internet surfen benutzen
d) den Klon einer virtuelle Maschine für den Internet Besuch nutzen

oder kauf dir Kasperksy Internet Security 2010, da ist eine virtuelle Umgebung drin, aus der Viren nicht rauskönnen, wenn man sie nicht lässt. Sollte sicher sein, wenn man die Browser darin laufen lässt. Allerdings weiß nicht, wie das mit der Kompatibilität aussieht bzw. was z.B. mit E-Mails (besonders POP3 mit webclients), Cookies usf. passiert, wenn man die virtuelle Maschine zurücksetzt.

Wobei uns ja interessieren würde, wegen was du denn den Rechner so oft neu aufsetzen musst . Vielleicht gäbe es dafür eine wesentlich einfachere (und weniger zeitaufwendige) Lösung

 

[Pelzameise]

das SP3 hatte ich nicht installiert da es bei mir damit nur Probleme gab.
Jetzt hab ich es wieder über automatische Updates installiert und jetzt hängt der Rechner beim Willkommensbildschirm und bei einem blauem Bildschirm beim Hochfahren bestimmt 3 Minuten.

 

[Agi Hammerklau]

Er hängt nicht, er läd das ganze Zeus erstmal (ist bei mir auch so).Nehme meist den Ruhezustand. Es gab ja mal Berichte daß Microsoft mit XP-SP3 XP extra verlangsamt hat um Vista besser verkaufen zu können - nun wers glaubt.....

 

[Pelzameise]

naja aber ehrlich gesagt wenn das SP2 in weniger als der Hälhte oder so hochfährt da nehm ich dann doch lieber das SP2

 

[markus1234]

Aber bitte meide dann das Sicherheits-Unterform, denn du erfüllst dann keinesfalls die Voraussetzungen dafür.

Wenn du meinst auf ein aktuelles System verzichten zu müssen, dann mach das.
Und nun ist mir auch klar, was zu deinem Problem geführt hat - Absolute Faulheit.

Da ist (dir) leider nicht mehr zu helfen.

mfg,
Markus.