Sehr wichtig!!! Hilfe!!! Virus....


  • Darknessrc
  • 1740 Aufrufe 14 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Sehr wichtig!!! Hilfe!!! Virus....

    Hallo Forum :tata: ....... bin neu hier im Forum wie man sieht. Finds gemütlich hier XD und hoffe hier lange Aktiv teilzunehmen. So jetzt zu meinem Problem:

    antivir zeigt an..... wenn ich z.B in mein Laufwerk geh dann kommt eine Viruswarnung wie imma bei nem Virus und zeigt mir "TR/Dldr.Agent.ahcg.8" Trojaner in der datei .....Dokumente und Einstellungen/"MEIN USERNAME"/Lokale Einstellungen/Temp/tmp**.tmp z.B aber wenn ich in den Ordner geh gibts die datei nich....und es is jedes mal der gleiche Trojaner, der angezeigt wird wenn ich in ein Laufwerk gehe doch die Datei im Temp Ordner heißt jedes mal anders, erst tmpA1.tmp dann vll mal tmpEI.tmp z.B .....suche ich sie jedoch existiert sie nicht.....! :mad:

    Dazu kommt, nach einem Kapersky online scan heißt es Laufwerk:/autorun.inf infected ----> Worm.Win32.AutoRun.nuu

    Bitte um Hilfe.......Falls Logfile benötigt wird kann ich machen....

    EDIT

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:27:38, on 02.11.2008
    Platform: Windows XP SP2 (*******)
    MSIE: Internet Explorer v6.00 SP2 (*********)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\Mixer.exe
    C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\vsnpstd2.exe
    C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
    C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    D:\games´n more\steam.exe
    D:\Proggs´n More\EVEREST Ultimate Edition\everest.exe
    C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
    D:\Proggs´n More\ICQ6\ICQ.exe
    C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    D:\Proggs´n More\SpeedFan\speedfan.exe
    D:\Proggs´n More\Firefox3\firefox.exe
    D:\Proggs´n More\Hijackthis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdzdj.exe] C:\WINDOWS\system32\kdzdj.exe
    O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Steam] "d:\games´n more\steam.exe" -silent
    O4 - HKCU\..\Run: [EVEREST AutoStart] D:\Proggs´n More\EVEREST Ultimate Edition\everest.exe
    O4 - HKCU\..\Run: [ICQ] "D:\Proggs´n More\ICQ6\ICQ.exe" silent
    O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Reboot.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Proggs´n More\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Proggs´n More\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{00466770-EDFE-4159-81AD-88384F936378}: NameServer = 85.255.112.81;85.255.112.205
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C572B053-3283-4534-AB63-35F485A61229}: NameServer = 85.255.112.81;85.255.112.205
    O17 - HKLM\System\CS1\Services\Tcpip\..\{00466770-EDFE-4159-81AD-88384F936378}: NameServer = 85.255.112.81;85.255.112.205
    O17 - HKLM\System\CS2\Services\Tcpip\..\{00466770-EDFE-4159-81AD-88384F936378}: NameServer = 85.255.112.81;85.255.112.205
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

    --
    End of file - 5764 bytes

    MfG Darknessrc

    Dieser Beitrag wurde bereits 8 mal editiert, zuletzt von Darknessrc () aus folgendem Grund: Hilfe...

  • Hallöchen :)

    also zu Deinem Problem mit dem Virus kann ich net viel sagen, hört sich ein wenig übel an .. ich fang mir die Dinger gar nicht erst ein und erspar mir dann die ganzen Scans ;)

    Also ich poste wegen dem von Dir angesprochenem Problem mit den Dateien, die Du nicht siehst ..
    Probiere mal folgendes:
    Doppelklick auf Arbeitsplatz
    Oben in der Leiste auf "Extras" und dort auf "Ordneroptionen..." klicken
    Ein neues Fenster öffnet sich.
    Dort den Reiter "Ansicht" auswählen.
    Dann unten in der Liste den Haken bei "Geschützte Systemdateien ausblenden (empfohlen)" wegmachen ..
    Und weiter unten bei "Versteckte Dateien und Ordner" umstellen auf "Alle Dateien und Ordner anzeigen"

    Dann könntest Du nochmals in den Temp-Ordner gehen und mal schauen, ob die Dateien dann angezeigt werden und sie dann manuell löschen ..
    Aber ich denke da musst Du zu härteren Maßnahmen greifen .. Mal Malwarebytes drüberlaufen lassen ;)


    Hoffe ich konnte ein wenig helfen und vll meldet sich ja noch jemand, der sich mit Deinem besagten Problem besser auskennt.
    Und in einem anderen Unterforum wäre dieser Thread bestimmt besser aufgehoben ;)


    Viel Erfolg bei der Beseitigung
    PIMP :)

  • Ich würde dir mal einen Virenscanner vorschlagen, bei dem dein System nicht aktiv ist. Zu finden u.a. auf der Hiren´s Boot-CD. Manchmal ist es nämlich wichtig, daß die Windows-Dateien nicht in Gebrauch sind. Sonst lassen sich die Dateien mitunter nicht löschen, weil das aktive Windows-System drauf zugreift, bzw. Der Virus sich sofort bei einem Löschversuch woanders hinkopiert.

    greetings beatman

    Nachtrag:
    Und wegen den nicht sichbaren Dateien... Nutze doch einen Dateimanager... Wie z.B.: SpeedCommander oder TotalCommander... Da brauchst dann aber nix im Windows umstellen... Die Programme haben ihre eigenen Einstellungen.

  • schaue hier hinein :) wozu haben wir das denn als sticky,wenn es keiner ließt.

    freesoft-board.to/f389/virenen…und-entfernen-173018.html

    dieses kannste fixen

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdzdj.exe] C:\WINDOWS\system32\kdzdj.exe

    O4 - Startup: Reboot.exe

    O17 - HKLM\System\CCS\Services\Tcpip\..\{00466770-EDFE-4159-81AD-88384F936378}: NameServer = 85.255.112.81;85.255.112.205
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C572B053-3283-4534-AB63-35F485A61229}: NameServer = 85.255.112.81;85.255.112.205
    O17 - HKLM\System\CS1\Services\Tcpip\..\{00466770-EDFE-4159-81AD-88384F936378}: NameServer = 85.255.112.81;85.255.112.205
    O17 - HKLM\System\CS2\Services\Tcpip\..\{00466770-EDFE-4159-81AD-88384F936378}: NameServer = 85.255.112.81;85.255.112.205

    dein pc gehört zu einem botnetz :mad:

    dieses siehste an dem rot gekennzeichneten.

    empfehle eine neu aufsetzung deines system bzw alle deine passwörter ersetzen,weil die sind schon weiter geleitet.

    wenn du es nicht machen möchtest---besorge dir eine vieren bootcd,
    von der kannst du dann starten ohne das windows arbeitet.
    damit solltest du alles fixen können,aber trotzalledem sind deine ganzen passwörter schon übermittelt worden.

    sorry für diese nachricht ist aber zur zeit in deutschland verstärkt im umlauf
    und manche scanner haben mit diesem problem schwierigkeiten dieses zu erkennen.

    hoffe die info hilft dir etwas

    gruß snoppy:drum:

  • Neu Aufgesetzt!!

    So ich hab mein PC neu aufgesetzt...(...hab erst systemwiederherstellung probiert ) ..bzw windows neu drauf........meine Platte(partention) mit Dateien usw hab ich gelassen...... Trozdem Thx an snoppy1906......pu des mim Botnetzt is hart^^

    Ich stell jetzt dann nochma eine logfile rein schaun ob sich da noch was tut....^^

    EDIT

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:41:52, on 02.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\msiexec.exe
    D:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduce.exe] C:\WINDOWS\system32\kduce.exe
    O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B4F841EA-246F-485E-8686-5AD0A4CDC271}: NameServer = 85.255.112.11;85.255.112.93
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    --
    End of file - 2732 bytes

    IST DAS ROTE GEFÄHRLICH?

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von Darknessrc ()

  • ich hab mal eben mein System getestet... Ich weiß, daß mein System Clean ist...

    PHP-Quellcode

    1. O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
    2. O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    3. O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL


    Da bei mir kein o17-Eintrag erscheint und bei dir die IP-Adresse verdächtig ähnlich ist mit der im Anfangsbeitrag, gehe ich mal davon aus, daß da schon wieder was ist...
    Du hast ja bei HiJackThis die Möglichkeit den Eintrag anzuhaken und zu entfernen. Ich würde ggf. erstmal ´ne Umbenennung versuchen und dann mal schauen, was passiert beim Neustart. Hast du beim erneuten Scan wieder einen oder mehrere solcher Einträge drin, gehe davon aus, daß du definitiv, trotz Neu-Installation infiziert bist. Ich schätze mal, es ist irgendeine zusätzliche Software, die du installiert hast.

  • das mitm "anhacken" und "fixen" hab ich schon probiert.......der gleiche Eintrag kommt jedoch immer wieder.....(zur info ich hab nur die Windows partention formatiert und windows neu aufgesetzt)

    ich wüsste nich was das für eine Software sein sollte ich hab gerade Installiert :
    ICQ6
    Live Messenger
    Steam (Counterstrike Source)
    Mozilla Firefox
    HijackThis
    Treiber(Graka, Sound)

  • Wenn du die IP Adressen die da stehen nicht kennst oder die Seiten auf die sie verweisen solltest du das fixen!

    Du kannst die Logfiles auch online überprüfen lassen das geht auf der Seite
    **nee kann ich nicht verlinken ist ein Board

    Nee ist doch kein Board hijackthis.de/

    (Sollte der Link nicht Regel konform sein bitte ich um einen Hinweis, ich entferne ihn dann Sofort!)

    MfG
    MC-Master

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von MC-Master ()

  • solltest mal dein vierenscanner überdenken :)

    schaue hier


    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduce.exe] C:\WINDOWS\system32\kduce.exe

    O17 - HKLM\System\CCS\Services\Tcpip\..\{B4F841EA-246F-485E-8686-5AD0A4CDC271}: NameServer = 85.255.112.11;85.255.112.93

    das sind die übeltäter.alles fixen

    hast du von einem backup installiert?
    stelle dein Firewall mal einen zacken schärfer ein und kontrolliere deine einstellungen am router bzw das gerät womit du ins i-net gehst.

    kontrolliere deine hostdatei!!!

    gruß snoppy:drum:

  • hast du deine Festpaltte komplett formatiert als du dein System neuaufgesetzt hast? Benutzt du eine legale Windows Version oder hast du dir sie runtergeladen? Vielleicht ist da auch schon was integriert... Hast du Daten von deinem PC gesichert die eventuell was enthalten? Oder haste eine externe Festplatte auf der was rauf ist? Sonst hat das neuaufsetzen ja gar keinen Sinn!

    Weil ich kann mir nicht vorstellen wie du sowas gleich wieder draufbekommen hast......

  • sry das es so spät kommt^^ xD

    So, mein Pc läuft wieder rund und scheint sauber zu sein....nichtsmehr verdächtiges in Logs und auch sonst läuft er......keine Virenmeldungen oder ähnliches.........lag wohl beim ersten Formatiern daran das ich nur meine Windows Partention formatiert habe und meine 2te nich da ich Zeug drauf hatte das ich nicht löschen wollte.....doch das musste dann wohl doch dran glauben :D !!

    Ja ...........so ist es :weglach:

    PROBLEM ERLEDIGT....kann geschlossen werden!