Viren, Spyware, Datenschutz 11.218 Themen, 94.243 Beiträge

Verfolgung starten Optionen

clean?

Yeza / 7 Antworten / Flachansicht Nickles

hi, hab nen rechner versucht mit diversen tools clean zu bekommen (war unter anderem ein trojaner drauf). hab aber auch nicht allzu viel ahnung.
kann sich jemand eventuell mal die logfiles diverser scans anschauen und mir eventuell noch sagen, was noch gelöscht werden kann?

hijackthis:

ogfile of HijackThis v1.97.7
Scan saved at 14:56:46, on 01.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\Programme\\AVPersonal\\AVGUARD.EXE
C:\\Programme\\AVPersonal\\AVWUPSRV.EXE
C:\\WINDOWS\\System32\\nvsvc32.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\wanmpsvc.exe
C:\\WINDOWS\\System32\\MsPMSPSv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\WINDOWS\\Mixer.exe
C:\\Programme\\Real\\RealPlayer\\RealPlay.exe
C:\\Programme\\AVPersonal\\AVGNT.EXE
C:\\WINDOWS\\System32\\ctfmon.exe
C:\\Programme\\Messenger\\msmsgs.exe
C:\\WINDOWS\\System32\\shellexp.exe
C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
C:\\Programme\\Lavasoft\\Ad-aware 6\\Ad-aware.exe
C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe
C:\\Dokumente und Einstellungen\\Vati\\hijackthis\\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Programme\\Adobe\\Acrobat 5.0\\Reader\\ActiveX\\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\\WINDOWS\\System32\\msdxm.ocx
O4 - HKLM\\..\\Run: [NeroCheck] C:\\WINDOWS\\System32\\NeroCheck.exe
O4 - HKLM\\..\\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\\..\\Run: [RealTray] C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\\..\\Run: [AVGCtrl] C:\\Programme\\AVPersonal\\AVGNT.EXE /min
O4 - HKCU\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\System32\\ctfmon.exe
O4 - HKCU\\..\\Run: [MSMSGS] "C:\\Programme\\Messenger\\msmsgs.exe" /background
O4 - HKCU\\..\\Run: [Explorer] C:\\WINDOWS\\System32\\shellexp.exe en
O4 - HKCU\\..\\Run: [WNSC] C:\\WINDOWS\\System32\\wnsintsv.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\\Programme\\AOL 8.0\\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)

------------------------------------------------------------------
asviewer:

DiamondCS Autostart Viewer (www.diamondcs.com.au) - Report for Ich@WALTER, 04-01-2004
c:\\windows\\system32\\autoexec.nt
C:\\WINDOWS\\system32\\mscdexnt.exe
C:\\WINDOWS\\system32\\redir.exe
C:\\WINDOWS\\system32\\dosx.exe
c:\\windows\\system32\\config.nt
REM Die EMM-Größe wird in der PIF-Datei (entweder die Datei _DEFAULT.PIF
C:\\WINDOWS\\system32\\himem.sys
c:\\windows\\system.ini [drivers]
timer=timer.drv
c:\\windows\\system.ini [boot]\\shell
C:\\WINDOWS\\Explorer.exe
c:\\windows\\system.ini [boot]\\scrnsave.exe
C:\\WINDOWS\\System32\\ssflwbox.scr
HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell
C:\\WINDOWS\\Explorer.exe
HKCU\\Control Panel\\Desktop\\scrnsave.exe
C:\\WINDOWS\\System32\\ssflwbox.scr
HKCR\\vbsfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\vbefile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\jsfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\jsefile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\wshfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\wsffile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NeroCheck
C:\\WINDOWS\\System32\\NeroCheck.exe
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\C-Media Mixer
Mixer.exe /startup
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NvCplDaemon
RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\RealTray
C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\AVGCtrl
C:\\Programme\\AVPersonal\\AVGNT.EXE /min
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CTFMON.EXE
C:\\WINDOWS\\System32\\ctfmon.exe
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MSMSGS
C:\\Programme\\Messenger\\msmsgs.exe
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Explorer
C:\\WINDOWS\\System32\\shellexp.exe en
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WNSC
C:\\WINDOWS\\System32\\wnsintsv.exe
HKU\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CTFMON.EXE
C:\\WINDOWS\\System32\\CTFMON.EXE
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\
C:\\WINDOWS\\system32\\SHELL32.dll
C:\\WINDOWS\\system32\\SHELL32.dll
C:\\WINDOWS\\System32\\webcheck.dll
C:\\WINDOWS\\System32\\stobject.dll
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk
C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 8.0 Tray-Symbol.lnk
C:\\Programme\\AOL 8.0\\aoltray.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk
C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinScheduler.lnk
C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk
C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
HKLM\\System\\CurrentControlSet\\Control\\Session Manager\\BootExecute
autocheck autochk *
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit
C:\\WINDOWS\\system32\\userinit.exe
HKLM\\System\\CurrentControlSet\\Control\\WOW\\cmdline
C:\\WINDOWS\\system32\\ntvdm.exe
HKLM\\System\\CurrentControlSet\\Control\\WOW\\wowcmdline
C:\\WINDOWS\\system32\\ntvdm.exe -a %SystemRoot%\\system32\\krnl386
HKLM\\System\\CurrentControlSet\\Services\\Winsock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\
C:\\WINDOWS\\system32\\mswsock.dll
C:\\WINDOWS\\system32\\rsvpsp.dll

---------------------------------------------------------------------

warnungen von AntiVir:

C:\\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\7U8BBPC5
CnsMin[2].cab
ArchiveType: CAB (Microsoft)
--> CnsMin.dll
HINWEIS! Der Archivheader ist defekt
--> CnsMin.inf
HINWEIS! Der Archivheader ist defekt
--> cns02.dat
HINWEIS! Der Archivheader ist defekt
--> CnsHook.dll
HINWEIS! Der Archivheader ist defekt
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\GL4TERO1
NSupd9x[1].cab
ArchiveType: CAB (Microsoft)
--> NSupd9x.inf
HINWEIS! Der Archivheader ist defekt
--> nsupdate.dll
HINWEIS! Der Archivheader ist defekt
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\RLWANHHE
bg2desktop_2[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\\WINDOWS\\system32\\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

-------------------------------------------------------------------
spybot:

Alexa Related: What\'s related link (Datei austauschen, nothing done)
C:\\WINDOWS\\Web\\related.htm

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-20\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-18\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-21-1454471165-839522115-725345543-1004\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-19\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-21-1454471165-839522115-725345543-1004\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-20\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-19\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

bei Antwort benachrichtigen
Stigal Yeza „clean?“
Optionen

Deine logfiles sind ja ganz schön ;-)
Am besten du löscht sie - mit denen kann keiner was anfangen.

Gib lieber http://www.symantec.com/cgi-bin/securitycheck.cgi
in deine Browser ein und mach einen Virencheck (die Firma Symantec ist eine der besten Sicherheitsfirmen in Sachen Internet - z.B.: Norton AntiVirus kommt von ihr)

Die Seite durchsucht deinen Computer auf befallene Dateien und gibt dir dann eine Liste mit den Infizierten Dateien aus.
Am besten du kopierst dir diese Liste und speicherst sie in einem Text-File ab.
Dannach musst du von den Infizierten Dateien Abschied nehmen (ich nehme an das diese sowieso nicht mehr funktionieren.
Am Anfang solltest versuchen die Dateien unter der normale Windows - Sitzung zu löschen und wenn dann noch Dateien überbleiben sollten wechselst du am besten in den "Abgesicherten Modus" !

Versichere dich nach dem löschen ob die Datei auch wirklich gelöscht wurde - es gibt nämlich Viren die sich wiederherstellen bzw. wenn es sich um eine Systemdatei handelt stellt Windows diese meist von selbst wider her (diese ist dann genau in dem gleichen Zustand als vor dem löschen !)

Bevor du aber in den "Abgesicherten Modus " wechselst solltest du dich informieren wie wichtig die Dateien sind die du dann noch löschen musst da es sich warscheinlich nur mehr um infizierte Systemdateien handeln wird, die zwar, von Windows, meistens eh nicht (wirklich) gebraucht werden.
Im schlimmsten Fall kann es dazu kommen, dass sich nach deren löschen, Windows nicht mehr hochfahren lässt ! (kommt meistens nicht vor)

Nachdem du alle infizierten Dateien gelöscht hast solltest du nochmal einen Virencheck machen, da warscheinlich wider ein paar Dateien neu infiziert sein werden (keine Sorge - es werden weit weniger sein als beim ersten mal)
Dann wider löschen, wider Virencheck usw.
Normalerweise sollte dein Computer nach dem 2ten löschvorgang "sauber" sein.

Sollte dir das alles zu mühsam sein oder sich Windows nicht mehr starten lassen hilft wohl nur noch den PC neu "aufzusetzen".

P.S.: Wenn du etwas Zeit hast solltest du dich vielleicht mit LINUX vertraut machen - da die Virenattacken unter Windows immer schlimmer werden und die lieben Microsoft-Programmierer anscheinen zu blöd sind um ein gescheites OS zu schreiben.
Unter LINUX gibt es so gut wie keine Viren und die meisten Programme kannst du dir gratis herunterladen !

lg Stigal

bei Antwort benachrichtigen
Deine logfiles sind ja ganz schön - Am besten du löscht sie - mit denen ... Tyrfing
Moin, @Yeza -- soll wohl ein Aprilscherz sein, Deine Frage? Aber nur so ... Andylol
MSIE: Internet Explorer v6.00 6.00.2600.0000 Dein IE ist nicht auf dem ... -IRON-
hmm, ich hatte schon erwartet, dass man mich etwas ernster nimmt... ich hab ... Yeza
...hmm, ich hatte schon erwartet, dass man mich etwas ernster nimmt... ... GarfTermy
okay, dann isses wohl bei mir falsch angekommen, sorry Yeza