Kniffliges Virenproblem

#1 Hallo

da ich ein (für mich) sehr kniffliges Problem mit meinem Rechner habe, wende ich mich nun an euch. Es geht um...:

Am Samstag habe ich meinen Rechner formatiert. Merkwürdigerweise muckte er nach der Neuinstallation von WinXP ziemlich, so dass ich in den Tagen darauf noch weitere male formatiert und neuinstalliert habe. Eines der grössten Probleme war immer, dass das Internet enorm langsam war. Schon bei der Startseite (msn.ch) hatte ich ca. 5 Minuten, bis sie vollständig geladen war. Ich dachte zuerst, dass eventuell ein Problem beim Provider besteht, so dass ich dort mal angerufen habe. Der Kerl am Telefon checkte mein Modem und meinte, dass da ein riesiger Datenaustausch stattfände und ob ich gerade irgendein P2P-Programm verwende. Ich verneinte, denn ausser Winamp und Winzip habe ich noch nichts (!) auf dem Rechner installiert... ich war noch nicht mal richtig im Internet, weil das nicht wirklich ging.

Anschliessend habe ich Norton installiert, das w32.spybot.worm und w32.korgo.w gefunden hat. Auf der Symantec-Seite habe ich mir das Tool gegen w32.spybot.worm runtergeladen und gestartet, doch irgendwie scheint das absolut nicht zu funktionieren. Eine komplette Virenprüfung funktioniert nicht, weil Norton immer wieder abstürzt.

Ich habe auf diesem Board mal die Beiträge zu diesem Spybot-Zeugs durchgelesen. Ebenfalls habe ich auf der Symantec-Seite alles über den Wurm gelesen, der mir aber nach den Beschreibungen nicht so schlimm erscheint, wie das Zeugs, das gerade meinen Rechner krank macht. Liegt das Problem bei irgendwas anderem? Könnt ihr mir sagen, was ich machen soll? Denn ich kann kaum surfen und die meisten Programme laufen schlecht, so dass ich auch online kein Virentest machen kann.

Vielen Dank

#2 Du kannst natuerlich ein Hijackthis log posten, es wird aber darauf hinauslaufen, das du nochmal formatieren/instalieren musst. Du must vor dem ersten onlinegehen die Windows(xp) firewall aktivieren, sofern du Xp nutzt.
Der lahme Internetzugang liegt wohl daran, das einer deiner "bots" sich fleisig als Spam oder Proxymaschine betaetigt.

Wichtig nach erfolgreicher installation ist es, dein System zu aktualisiweren und aktuell zu halten.
__________
MfG Ralf
SEO-Spam Hunter

#3 ich hoffe mal, dass ich einer erneuten formatierung aus dem weg gehen kann. schau(t) mal, was ihr da rauslesen könnt. ich habe das log schon auf der hijackthis-seite auswerten lassen und da gab es massenhaft zeugs, das mit "unbedingt fixen!" ausgewertet wurde.

alors, wie sieht's aus? kann ich da noch was retten? oder muss ich wieder (zum etwa 6. mal in den letzten drei tagen *grml*) formatieren?



Logfile of HijackThis v1.98.2
Scan saved at 20:58:45, on 12.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\csdata32.exe
D:\WINDOWS\System32\atiphexx.exe
D:\Programme\Winamp\winampa.exe
D:\WINDOWS\system32\cmd.exe
D:\WINDOWS\system32\ftp.exe
D:\WINDOWS\System32\lssrv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\dvldr.exe
D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
D:\WINDOWS\System32\host32.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\AIM95\aim.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.aol.de
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [candy] command32.exe
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Patches Value] WinGamed.exe
O4 - HKLM\..\Run: [Registry Checkup System] Winregs.exe
O4 - HKLM\..\Run: [ati control panel] atiphexx.exe
O4 - HKLM\..\Run: [Windows Update] D:\WINDOWS\System32\qfznsurn.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Auto updat] crsrs.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Microsoft Data Machine] csdata32.exe
O4 - HKLM\..\Run: [Popup Blocker System] PopUpBlocker.exe
O4 - HKLM\..\Run: [Windows Automatic Updates] dvldr.exe
O4 - HKLM\..\Run: [kernel32sys.dll] IEXPLORER.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\RunServices: [candy] command32.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Patches Value] WinGamed.exe
O4 - HKLM\..\RunServices: [Registry Checkup System] Winregs.exe
O4 - HKLM\..\RunServices: [ati control panel] atiphexx.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Auto updat] crsrs.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Data Machine] csdata32.exe
O4 - HKLM\..\RunServices: [Popup Blocker System] PopUpBlocker.exe
O4 - HKLM\..\RunServices: [Windows Automatic Updates] dvldr.exe
O4 - HKLM\..\RunServices: [kernel32sys.dll] IEXPLORER.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\RunOnce: [Microsoft Data Machine] csdata32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Patches Value] WinGamed.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Registry Checkup System] Winregs.exe
O4 - HKCU\..\Run: [ati control panel] atiphexx.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Auto updat] crsrs.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Data Machine] csdata32.exe
O4 - HKCU\..\Run: [Popup Blocker System] PopUpBlocker.exe
O4 - HKCU\..\Run: [AIM] D:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Sygate Personal Firewall] host32.exe
O4 - HKCU\..\RunOnce: [Microsoft Data Machine] csdata32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

#4 hi

hier dein logfile automatisch ausgewertet (39 böse !)
http://www.hijackthis.de/logfiles/2a13d1bc5b461ef01d4b44c7b49af933.html

befolge ramans ratschlag
wenn du die möglichkeit hast, über einen sauberen rechner ein
antivirenprogramm mit aktueller vdf,
spybot s&d
windowsxp2 (auch von Heft CD) --> firewall aktivieren oder eine
PFW (zonealarm, kerio ) vorzubereiten
erst dann das system aufsetzen und sicher einstellen --> dann ans netz
__________
lg
Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links

#5 Ueberlege, ob du Norton nochmal installierst, da du ja nun siehst, das es dich nicht wirklich schuetzen kann. Nimm da lieber Antivir. Shuetzt dich auch nicht vor allem, ist aber Resourcenschonender und kostenlos.
__________
MfG Ralf
SEO-Spam Hunter

#6 Beim Formatierter HD dürfte die Neuinfektion das Problem sein.

Es ist heute leider so, das ein ungeschütztes und ungepatchtes System (bis SP1) im Schnitt nach spätestens 20min von einem Virus infiziert ist, wenn es im Netz ist.

Ist estmal einer drin, kommen weitere recht flott nach.

Versuch folgendes:
1. Besorge Dir am besten ein SP2 (die "Experteninstallation" - ca 300MB, kann auf CD gebrannt werden. Mal Freunde, Arbeitgeber usw. anbetteln), ansonsten ist es notwendig, alle Sicherheitspatches selber rauszusuchen.

2. Besorg Dir einen tagesaktuellen Virenscanner. (ebenfalls von Freunden woanders runterladen lassen)
Irgend ein veralteter Scanner von Cd nützt Dir überhauptnichts, der kennt die im Moment gefährlichen Fieslinge nicht.

3. Um eventuelle Fehler zu vermeiden, trenne den Rechner physisch von allen möglichkeiten, ins Netzt zu gehen. (Stecker raus!=

4. Formatiere komplett und installieren neu. Gehe noch nicht ins Internet

5. Installiere das SP2 (oder alle relevanten Patches) Gehe noch nicht ins Internet

6. Installiere jetzt den Virenscanner.

7. Gehe erst jetzt erstmals ins Netz. Besuche keine Seite sondern führe als erste Amtshandlung ein Windowsupdate durch (sofern verfügbar)

8. Update als zweiten Schritt den Virenscanner.

9. Um in Zukunft besser geschützt zu sein, führe Schritt 7 u. 8 mindestens 3 mal wöchentlich durch!

So sollte es klappen!

#7 Hallo.

Ich habe das selbe Problem
Der selbe Virus wurde bei Norton Antivirus 2004 gefunden. ich hab auch schon 3 mal Formatiert, aber ohne erfolg.. Solangsam nervt mich das, weil der ganze rechner dadurch spinnt.
Service Pack 2 kann ih nicht holen...

Mal ne frage:

Wär der Virus weg, wenn ich mir jetzt Win Me draufmachen würde??

Davor natürlich formatieren?? Oder wie geht es sonst noch, gibt es kein Patch oder was in der Art ??

Danke schonmal!!

liebe grüsse

#8 Dein Problem ist nicht das Betriebssystem, sondern du sicherst dein System nicht gut genug, bevor du Online gehst.

Versuche es nach dieser Anleitung und dir bleibt ein sechstes mal formatieren erspart:

http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Ralf
SEO-Spam Hunter

#9 Würde sich was ändern, wenn ich die Festplatte wechseln würde. Also alte raus, neue rein. hab da eh ne neue...

Is dann alles weg??? Bitte schnell antworten, mein PC is sowas von am Ar*ch

Das ist nicht mehr normal

danke ;-\

#10 Es kommt darauf an, was du machst, bevor du das erste mal in Internet gehst. Wie du es machen kannst steht im obigen Link, bzw auch hier:
http://board.protecus.de/t13019.htm

Deswegen brauchst du die Platte nicht zu wechseln.
__________
MfG Ralf
SEO-Spam Hunter

#11 Also, ich hab jetzt das gemacht was oben steht.
Formatiert, Firewall Eingeschalten, Windows Update......

Aber. Schon nach der Installation von WinXp, haben sich komsiche progs im Taskmanager geöffnet..ich hatte XP grad mal paar sekunden drauf

Und jetzt öffnen sich ab und zu auch noch Popups mit Pornoseiten...find ich nich grad Lustig...

Auf welchem Bauteil des rechners ist das Teil drauf wenn nich auf der Festplatte. Ich will das teil weg haben... hatte mittlerweile auch mal Win 98 drauf, ging aber nich, weil ich da DSL nich zum laufen bekommen hab

Roman, kannst dich im ICQ melden, dann kann ich dir nen Screenshot schicken, von dem taskmanager gleuich nach der Installation von XP..

Liebe grüsse BMW