hartnäckiger Virus

  • geschlossen
  • Problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • hartnäckiger Virus

    Hallo Leute
    also folgendes Problem. Ich habe mir irgendwo einen Virus oder Trojaner eingefangen das Problem is das ich absolut nicht weiß woher da ich in der Zeit als er aufgetaucht ist nicht daheim war und meine Mum oder meine Schwester am PC waren. Ich habe festgestellt das sich Avast nicht starten lies hab daraufhin mal in das Verzeichnis geschaut und gemerkt das die .Exe datei weg is. Wenn ich nun versuche Avast neu zu installieren wird die Exe sofort nach der installation wieder gelöscht. Genau das selbe Passiert mit Spybot. Außerdem ist es mir nicht möglich in der Abgesicherten Modus zu kommen da der PC sich bei dem Versuch neustartet. Hat jemand ne idee was es sein könnte. Wäre für jegliche Hilfe dankbar weil das nervt echt :mad: !
    CYA Phoenix-13-
    Why not?
  • So hier die Logfiles

    Erstens:
    09/10/07 18:15:30 [Info]: BlackLight Engine 1.0.64 initialized
    09/10/07 18:15:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    09/10/07 18:15:30 [Note]: 7019 4
    09/10/07 18:15:30 [Note]: 7005 0
    09/10/07 18:15:36 [Note]: 7006 0
    09/10/07 18:15:36 [Note]: 7011 292
    09/10/07 18:15:36 [Note]: 7026 0
    09/10/07 18:15:36 [Note]: 7026 0
    09/10/07 18:15:39 [Note]: FSRAW library version 1.7.1022
    09/10/07 18:15:55 [Info]: Hidden file: e:\Programme\Movie Maker\Shared\Empty.txt
    09/10/07 18:15:55 [Note]: 10002 3
    09/10/07 18:15:55 [Info]: Hidden file: e:\Programme\Movie Maker\Shared\Filters.xml
    09/10/07 18:15:55 [Note]: 10002 3
    09/10/07 18:15:55 [Info]: Hidden file: e:\Programme\Movie Maker\Shared\news.png
    09/10/07 18:15:55 [Note]: 10002 3
    09/10/07 18:15:55 [Info]: Hidden file: e:\Programme\Movie Maker\Shared\paint.png
    09/10/07 18:15:55 [Note]: 10002 3
    09/10/07 18:15:55 [Info]: Hidden file: e:\Programme\Movie Maker\Shared\Profiles\Blank.txt
    09/10/07 18:15:55 [Note]: 10002 3
    09/10/07 18:15:55 [Info]: Hidden file: e:\Programme\Movie Maker\Shared\Sample1.jpg
    09/10/07 18:15:55 [Note]: 10002 3
    09/10/07 18:15:55 [Info]: Hidden file: e:\Programme\Movie Maker\Shared\Sample2.jpg
    09/10/07 18:15:55 [Note]: 10002 3
    09/10/07 18:15:55 [Note]: 10002 2
    09/10/07 18:15:55 [Note]: 10002 2
    09/10/07 18:15:56 [Info]: Hidden file: e:\Programme\Skype\toolbars\Shared\SPhoneParser.dll
    09/10/07 18:15:56 [Note]: 10002 3
    09/10/07 18:15:56 [Note]: 10002 2
    09/10/07 18:15:56 [Note]: 10002 2
    09/10/07 18:15:59 [Note]: 10002 2
    09/10/07 18:15:59 [Note]: 10002 2
    09/10/07 18:16:15 [Info]: Hidden file: e:\WINDOWS\system32\drivers\hidr.exe
    09/10/07 18:16:15 [Note]: 10002 2
    09/10/07 18:16:15 [Info]: Hidden file: e:\WINDOWS\system32\drivers\srosa.sys
    09/10/07 18:16:15 [Note]: 10002 2
    09/10/07 18:24:09 [Note]: 7007 0

    Zweitens:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:13:20, on 10.09.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\csrss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\Programme\Bonjour\mDNSResponder.exe
    E:\WINDOWS\system32\svchost.exe
    F:\Software\Nero\Nero 7\InCD\InCDsrv.exe
    F:\Software\Netlimiter 2\nlsvc.exe
    E:\WINDOWS\system32\nvsvc32.exe
    E:\WINDOWS\system32\oodag.exe
    E:\Programme\Cyberlink\Shared files\RichVideo.exe
    F:\Software\Alcohol 120\StarWind\StarWindService.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\system32\wdfmgr.exe
    F:\Software\Virtual CD\System\VC8SecS.exe
    E:\WINDOWS\Explorer.EXE
    F:\Software\Creative\Volume Panel\VolPanel.exe
    F:\Software\Logitech G15\LGDCore.exe
    F:\Software\Logitech\MouseWare\system\em_exec.exe
    F:\Software\Logitech G15\LCDMon.exe
    E:\WINDOWS\SYSTEM32\CTXFISPI.EXE
    F:\Software\DAEMON Tools\daemon.exe
    F:\Software\Logitech G15\Applets\LCDCountdown\LCDCountdown.exe
    F:\Software\Logitech G15\Applets\LCDMedia.exe
    E:\WINDOWS\system32\rundll32.exe
    F:\Software\Logitech G15\Applets\LCDClock.exe
    F:\Software\Logitech G15\G15_TeamSpeak\G15_TeamSpeak.exe
    E:\WINDOWS\System32\svchost.exe
    F:\Software\ICQLite\ICQLite.exe
    F:\Software\Xfire\Xfire.exe
    F:\Software\Firefox\Mozilla Firefox\firefox.exe
    F:\Software\Winamp\winamp.exe
    F:\Software\Security Task Manager\TaskMan.exe
    F:\Software\Netlimiter 2\NLClient.exe
    E:\WINDOWS\System32\svchost.exe
    F:\Software\Thunderbird\thunderbird.exe
    F:\Software\HijackThis 2.0.2\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Suche
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Software\ICQToolbar\toolbaru.dll
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\Software\ICQToolbar\toolbaru.dll
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - F:\Software\Firefox\FlashGet\jccatch.dll
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - F:\Software\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Software\Java\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows

    Live\WindowsLiveLogin.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - F:\Software\FlashFXP\IEFlash.dll
    O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - F:\Software\Firefox\FlashGet\getflash.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\Software\Firefox\FlashGet\fgiebar.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Software\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Software\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [VolPanel] "F:\Software\Creative\Volume Panel\VolPanel.exe" /r
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [Launch LGDCore] "F:\Software\Logitech G15\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "F:\Software\Logitech G15\LCDMon.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [DAEMON Tools] "F:\Software\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Software\ICQLite\ICQLite.exe -trayboot
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Alles mit FlashGet laden - F:\Software\Firefox\FlashGet\jc_all.htm
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://F:\Software\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://F:\Software\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://F:\Software\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://F:\Software\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Mit FlashGet laden - F:\Software\Firefox\FlashGet\jc_link.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Software\Office\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Software\Java\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Software\Java\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Software\Office\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Poker\PartyPoker\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Poker\PartyPoker\PartyPoker\RunApp.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Software\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Software\ICQLite\ICQLite.exe
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Software\Firefox\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Software\Firefox\FlashGet\flashget.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Software\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Software\ICQ6\ICQ.exe
    O10 - Unknown file in Winsock LSP: e:\windows\system32\nwprovau.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet

    Publisher\FNPLicensingService.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Software\Nero\Nero 7\InCD\InCDsrv.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
    O23 - Service: NetLimiter (nlsvc) - Locktime Software - F:\Software\Netlimiter 2\nlsvc.exe
    O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\system32\oodag.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - E:\Programme\Cyberlink\Shared files\RichVideo.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Software\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - F:\Software\Virtual CD\System\VC8SecS.exe
    O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - F:\Software\VNC4\WinVNC4.exe

    --
    End of file - 8334 bytes

    Hoffe es hilft
    Why not?
  • Das ist leider nicht gut, es war wie erwartet der Bagle-Wurm, siehe dies:
    09/10/07 18:16:15 [Info]: Hidden file: e:\WINDOWS\system32\drivers\hidr.exe
    09/10/07 18:16:15 [Note]: 10002 2
    09/10/07 18:16:15 [Info]: Hidden file: e:\WINDOWS\system32\drivers\srosa.sys

    Er ermöglicht Remote-Zugriff und ist unglaublich schwer zu entfernen. Ausserdem kann aus meiner Sicht kein vertrauenswürdiges System mehr hergstellt werden!
    Und hier hast du auch den Grund wieso dein Antivirus gelöscht wurde!
    Das sicherste ist ein Neuaufsetzen des PC's-->Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung
    Sry für die schlechte Nachricht!
    Mfg
  • LOL
    Vertraue nie dieser billigen ******** wie Avast, Kaspersky oder GDATA, den Rest kannste in die Tonne treten. Kein wunder, mit so schlechtem Schutz hätte ich auch schon etliche Viren *seufz*

    Installier Kaspersky, mach den Selbstschutz an, dann gehts wieder.
  • Basti2000 schrieb:


    Installier Kaspersky, mach den Selbstschutz an, dann gehts wieder.

    Schon das installieren wird enorm schwer, denn der Bagle beendet alle prozesse der Antivirenprogs!
    Falls man es schaffen sollte, zu installieren, würde die .exe sowieso gelöscht und der Prozess beendet!
    Mfg
  • 09/10/07 18:16:15 [Info]: Hidden file: e:\WINDOWS\system32\drivers\hidr.exe
    09/10/07 18:16:15 [Note]: 10002 2
    09/10/07 18:16:15 [Info]: Hidden file: e:\WINDOWS\system32\drivers\srosa.sys


    1.Manuel löschen mit Hijackthis tool
    2. ((( nicht PC restart machen)))
    3. Kaspersky install
    4. Kaspersky macht auto reboot
    5. In Safe modus gehen *ohne Internet zugang*
    6. Fertig Install and refresh von Kaspersky
    7. PC scann
    8. reboot... normal win starten, updates ausführen und nocheinmal pc scann
  • bihsecurity schrieb:


    1.Manuel löschen mit Hijackthis tool
    2. ((( nicht PC restart machen)))
    3. Kaspersky install
    4. Kaspersky macht auto reboot
    5. In Safe modus gehen *ohne Internet zugang*
    6. Fertig Install and refresh von Kaspersky
    7. PC scann
    8. reboot... normal win starten, updates ausführen und nocheinmal pc scann

    Man kann manuell kein Rootkit "löschen"! Das würde Blacklight übernehmen!
    Und ausserdem, Rootkits sind ja dazu da, Dateien zu verstecken, damit sie nicht jeder löschen kann!
    Für mich gibts da nur Neuaufsetzen...
    Alles andere ist Pippifax^^
    Mfg