WinFuture-Forum.de: Virus - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Virus Hilfe - BITTE!


#1 Mitglied ist offline   m00n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 732
  • Beigetreten: 05. November 03
  • Reputation: 0

geschrieben 14. August 2005 - 10:04

Hi,

hab nen Virus am laufen.

Ich kann kein Antivir mehr starten. Auch nicht im abgesichterten Modus.

Hier mal ein HijackLog.

Könnt ihr mir bitte helfen wie ich mein System wieder repariere?

Bye

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 11:04:42, on 14.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\services.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Appz\Tools\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://support.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{46156F6E-3CC7-49E9-90EA-572F5C73EC1B}: NameServer = 194.25.2.129
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

=)
0

Anzeige



#2 Mitglied ist offline   stefanra 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.199
  • Beigetreten: 13. September 04
  • Reputation: 1

geschrieben 14. August 2005 - 10:09

Auf die Gefahr hin, dass du es nicht hören willst, formatieren ist bei Kompromittierung die einzig richtige Wahl.

Hier die Auswertung: http://www.hijackthis.de/logfiles/18c18acb...859707e33a.html
0

#3 Mitglied ist offline   m00n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 732
  • Beigetreten: 05. November 03
  • Reputation: 0

geschrieben 14. August 2005 - 10:35

Was für alternativen gibt es denn?
=)
0

#4 _Breaker_

  • Gruppe: Gäste

geschrieben 14. August 2005 - 10:38

Alternative wäre, zu versuchen die Probleme im abgesicherten Modus zu fixen und mit einem separaten Virenscanner die Festplatte nochmals zu durchsuchen, um dann mit der Ungewissheit zu leben, 1. ob wirklich alles gefixt wurde, 2. wenn nicht alles gefixt wurde ob nicht irgendwann die Polizei vor der Haustür steht, da dein Rechner als Vertriebsweg für z.b. Kinderpornografie missbraucht wurde.
Überlegs dir.

Dieser Beitrag wurde von Breaker bearbeitet: 14. August 2005 - 10:40

0

#5 Mitglied ist offline   m00n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 732
  • Beigetreten: 05. November 03
  • Reputation: 0

geschrieben 14. August 2005 - 16:56

Kann ich das mit dem Vertriebsweg nicht irgendwie beobachten?

Im Abgesichterten Modus startet der AV auch nicht. Was meinst du mit seperatem Scanner?

Bye
=)
0

#6 Mitglied ist offline   andreasm 

  • Gruppe: aktive Mitglieder
  • Beiträge: 707
  • Beigetreten: 19. Juni 05
  • Reputation: 0
  • Wohnort:Saarland
  • Interessen:Elektrotechnik, Elektronik, Programmierung (PHP, MYSQL, Pascal, C++), Energie allgemein, alternative Energiequellen, sonstige Umweltthemen, Digitale Fotografie, Heimwerken, Partys, Fernsehen, .... also von allem etwas :-)

geschrieben 14. August 2005 - 17:35

installiere dir doch mal bitdefender, ob der etwas findet!

http://www.bitdefender.de/bd/site/download..._v72.exe&what=1
0

#7 _Breaker_

  • Gruppe: Gäste

geschrieben 14. August 2005 - 17:44

Zitat (m00n: 14.08.2005, 17:56)

Kann ich das mit dem Vertriebsweg nicht irgendwie beobachten?
<{POST_SNAPBACK}>

Wie willst du das machen? Alle ein- und ausgehenden Verbindungen beobachten die da kommen?
Wie willst du dir sicher sein was davon gut und was böse ist?
Wie willst du dir sicher sein das das Programm, mit dem du die ein- und ausgehenden Verbindungen beobachtest zwischenzeitlich nicht auch schon kompromittiert wurde und dir nur anzeigt was du sehen sollst?

Zitat (m00n: 14.08.2005, 17:56)

Im Abgesichterten Modus startet der AV auch nicht. Was meinst du mit seperatem Scanner?
<{POST_SNAPBACK}>

AntiViren Programme:

Zitat

- AntiVir (DE | http://www.free-av.com | *thx an Crashtaker*)
- ClamWin (EN | http://www.clamwin.com | *thx an hans_maulwurf*)
- BitDefender Free Edtition (DE | www.bitdefender.de | *thx an regenwurm*)
- AVG FreeEdition (EN | http://free.grisoft.com | *thx an Indoril*)

Dieser Beitrag wurde von Breaker bearbeitet: 14. August 2005 - 17:46

0

#8 Mitglied ist offline   theoutsider 

  • Gruppe: aktive Mitglieder
  • Beiträge: 424
  • Beigetreten: 27. März 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Schweiz

geschrieben 14. August 2005 - 17:48

Oder ne Trial Version von Kaspersky

Nochbesser wär du würdest formatieren!

Oder die Platte ausbauen und in einen andern Rechner einbauen und von dort aus scannen!
Wenn die Welt untergeht heisst das noch lange nicht, dass das die Schweiz auch betrifft. Eingefügtes Bild
0

#9 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.505
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 14. August 2005 - 17:52

Zitat

Wie willst du dir sicher sein was davon gut und was böse ist?

Gar nicht, da man trivial das Gegenteil beweisen kann.

Zitat

Wie willst du dir sicher sein das das Programm, mit dem du die ein- und ausgehenden Verbindungen beobachtest zwischenzeitlich nicht auch schon kompromittiert wurde und dir nur anzeigt was du sehen sollst?

Indem man einen Sniffer in die Leitung hängt.

Zitat

Was meinst du mit seperatem Scanner?

Einem, dessen Programmdaten nicht kompromittiert sind und der von einem nichtkompromittierten System gestartet wird.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#10 _Breaker_

  • Gruppe: Gäste

geschrieben 14. August 2005 - 17:56

Zitat (Rika: 14.08.2005, 18:52)

Einem, dessen Programmdaten nicht kompromittiert sind und der von einem nichtkompromittierten System gestartet wird.
<{POST_SNAPBACK}>

Nur zur Erklärung: Das heisst für dich nicht zwingend, das du deine Festplatte ausbauen sollst und in einem anderen Rechner überprüfen musst, bei den meisten AntiVirenprogrammen ist eine bootfähige CD mit dabei, mit der du die Festplatte scannen kannst ohne das kompromittierte System zu starten, sofern die bootbare CD auf einem nichtkompromittierten System erstellt wurde.

Dieser Beitrag wurde von Breaker bearbeitet: 14. August 2005 - 17:57

0

#11 Mitglied ist offline   m00n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 732
  • Beigetreten: 05. November 03
  • Reputation: 0

geschrieben 15. August 2005 - 03:53

Also BitDefender lässt sich nicht installieren.

Wenn er die Dienste bei der Installation ca 50% starten will dann kommt eine Meldung ich hätte nicht die nötigen Rechte.
=)
0

#12 Mitglied ist offline   daarg 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.211
  • Beigetreten: 30. November 11
  • Reputation: 4
  • Geschlecht:Männlich

geschrieben 15. August 2005 - 06:45

ab cd booten und ab cd scannen.
as wolves among sheep we have wandered [bathory, dis irae]
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0