Verdacht auf Trojaner oder anderen Virus

#31 Hi,

Blacklight, unten auf der Page unter "Downloads":
http://www.f-secure.com/security_center/

chris

#32 Hm hab mit Dr. Web gescannt und dann alles was gefunden wurde desinfiziert/gelöscht.
Blacklight hat keine Viren gefunden.
Aber mein Internet ist immer noch langsam.
Wieso ?

#33 Hi,

gibt es die Datei:
C:\Program Files\Vqzg\Jmoxp.exe
noch? (Ist mir beim Durchsehen der Logs aufgefallen, leider sind keine Logs dabei welche Dateien z. B. Dr. Web gelöscht hat....)

Du hattest eine u.a. eine new.net-Infektion, das hat die unangenehme Eigenschaft sich sehr tief zu verankern.

Download LSPfix: http://cexx.org/lspfix.htm
und
Winfix: http://www.iup.edu/house/resnet/winfix.shtm

Wir operieren jetzt an der Interanbindung...
Starte LspFix, es wird sich ein Fenster öffnen, suche im linken Fenster die Datei newdotnetx*.* (wenn keine zu finden ist, abbrechen und bei 2. weitermachen)...
Verschiebe die newdotnetx_xx.dll von links (Keep) nach rechts (Remove) im Fenster, den Rechner neu starten, danach sollte alles wieder funktionieren!

Sollte nach dem Neubooten das Internet nicht laufen Winfix ausführen (und nur dann!) folgen den Anweisungen der angegeben Seite (Druck sie Dir aus) und neu booten, dann sollte das Internet wieder laufen.

2. Hosts-File anzeigen:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

3. TCP-View:
http://www.chip.de/downloads/c1_downloads_13015059.html
Lade Dir TCPview, es werden jetzt alle bestehenden Verbindungen ins Internet aufgelistet, prüfe die Liste (kennst du die Verbindungen/Programme etc.), poste das Log.

chris

#34 Hallo ihr,
also ich schildere mal kurz mein Problem:
Ich kenne mich kaum mit pc und co aus das gebe ich ja zu aber so einen Virus oder was auch immer das is hab ich noch nie gesehen...

Beim hochfahren meines Computers ist im Hintergrund das normale Windows Startmenü zu sehen DOCH im vordergrund ist ein grauer Kasten in dem "Fixed" steht,oben rechts ein x zum schließen und unten ein OK Button.

Wenn ich x oder OK anklicke geht es weg dann gebe ich mein Windows Passwort ein er startet kurz (ich sehe kurz meinen eigenen Hintergrund)und dann meldet er sich sofort wieder ab und das mit dem Kästchen geht von vorn los..

Abgesicherter Modus geht auch net...passierts auch!!
Systemwiederherstellung mit der XP CD geht auch net oder funktioniert nicht...
Virenprogramme die ich beim Start Boote (aktuelle c`t Zeitung) finden nichts und sie können sich nicht updaten weil keine Internetverbindung besteht...

Weiß einer was ich tun kann? ich vermute ich habe mir den Virus bei msn eingefangen, habe was geschickt bekommen,entpackt und angeklickt...

HIIILLLLLLLLLLLFFFFFFEEEEEEEEEEEEEEEE!!!!!!!!

Danke

#35 DIe Datei C:\Program Files\Vqzg\Jmoxp.exe konnte ich nicht finden.
In LspFix konnte ich newdotnetx_xx.dll niocht finden also habe ich mit Schritt 2. weitergemacht.

Habe 2 mal 'hosts' gefunden , hier die beiden Logs :
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost



# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost




Wie kann ich denn das Log von TCPview finden ?

#36 @HilfeTrojaner
Hi,

einfach Menü "File", "Save" dann in den Editor laden und hier posten.
Das Hostsfile ist OK, wenn nichts unbekanntes bei TCPview auftaucht,
bin ich mit meinem Latein am Ende...

chris

#37 Hi fixed,

auf der CD von Ct müsste ein Programm sein, das Dir es erlaubt Dich remote mit der Registry deines Rechners zu verbinden.

(Ich habe die CD/Heft leider nicht hier).

Sinngemäß musst Du die Autostarteinträge suchen und unwirksam machen (z.B. ein .test an den EXE-Namen hängen). Vielleicht hast Du Glück und erwischt so den ungebetenen Gast (wenn es kein Dienst oder Treiber ist)...

Prüfe dann auch diese Einträge:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*" <- so sollten sie aussehen

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*" <- so sollten sie aussehen

Wenn nicht anderes mehr geht, versuchen Systemwiederherstellung, letzten Funktionsfähigen Stand wiederherstellen oder Neuinstallation...

Dann von CD booten, die Daten retten und System neu aufsetzten...

chris

#38 Leider habe ich keine Ahnung wovon du sprichst...

Wie mache ich das was du sagst?

bin echt unerfahren!!!
Danke

#39 Das Log ist :
[System Process]:0 TCP carola:epmap dslb-084-061-043-089.pools.arcor-ip.net:48195 TIME_WAIT
[System Process]:0 TCP carola:1357 213.199.167.253:https TIME_WAIT
[System Process]:0 TCP carola:epmap dslb-084-061-168-076.pools.arcor-ip.net:4087 TIME_WAIT
[System Process]:0 TCP carola:epmap dslb-084-061-168-076.pools.arcor-ip.net:4087 TIME_WAIT
[System Process]:0 TCP carola:epmap dslb-084-061-168-076.pools.arcor-ip.net:4087 TIME_WAIT
[System Process]:0 TCP carola:epmap dslb-084-061-168-076.pools.arcor-ip.net:4087 TIME_WAIT
alg.exe:1024 TCP carola:1029 carola:0 LISTENING
GoogleToolbarNotifier.exe:2188 TCP carola:1321 ik-in-f103.google.com:http CLOSE_WAIT
iexplore.exe:1260 UDP carola:1324 *:*
lsass.exe:1136 UDP carola:isakmp *:*
lsass.exe:1136 UDP carola:4500 *:*
svchost.exe:1400 TCP carola:epmap carola:0 LISTENING
svchost.exe:1520 UDP carola:ntp *:*
svchost.exe:1520 UDP carola:ntp *:*
svchost.exe:1520 UDP localhost:ntp *:*
svchost.exe:1584 UDP carola:1341 *:*
svchost.exe:1584 UDP carola:1051 *:*
svchost.exe:1584 UDP carola:1082 *:*
svchost.exe:1584 UDP carola:1340 *:*
svchost.exe:1756 UDP carola:1900 *:*
svchost.exe:1756 UDP localhost:1900 *:*
svchost.exe:1756 UDP carola:1900 *:*
System:4 TCP carola:microsoft-ds dslb-084-061-168-076.pools.arcor-ip.net:4102 ESTABLISHED
System:4 TCP carola:microsoft-ds dslb-084-061-137-085.pools.arcor-ip.net:2713 ESTABLISHED
System:4 TCP carola:microsoft-ds dslb-084-061-041-063.pools.arcor-ip.net:4319 ESTABLISHED
System:4 TCP carola:microsoft-ds carola:0 LISTENING
System:4 TCP localhost:netbios-ssn carola:0 LISTENING
System:4 UDP localhost:netbios-ns *:*
System:4 UDP localhost:netbios-dgm *:*
System:4 UDP carola:microsoft-ds *:*



Vielleicht habe ich ja gar keinen Virus mehr?
Woran könnte es denn noch liegen das mein internet so langsam geworden ist?

#40 @HilfeTrojaner,

sieht jetzt nicht sehr ungewöhnlich aus...

chris

#41 Wie meinst du das ?
Leon

Kann meine langsame Internetgeschwindigkeit denn sonst noch Gründe haben ?

#42 Download CounterSpyV2.0 zum Desktop
und dopplelklick um das Program zu installieren
CounterSpy wird geupdatet
Klicke: " System scan "
Nach dem Scan muss man sich entscheiden für: * Remove --> Status: Deleted
Nur für Windows XP(32bit) - Windows Vista (32bit) - Windows 2000 (SP3+)
Note
CounterSpy hat den Nachteil --> es will sich stets updaten
Wenn man CS startet:
Would you like to enable Automatic Updates? Wähle --> No
Would you like to enable Active Protection? Wähle --> No
Would you like to join ThreatNet? Wähle --> Yes
Häckchen entfernen bei --> Recommended
__________
MfG Argus

#43 Hatte ich das nicht schon gemacht ?

Ich Scanne einfach nochmal aber was ist wenn das auch nichts nützt ?
Hilft nur noch formatieren ?

#44 Ist schon benutzt
Entferne
C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb1942.dat
C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb4827.dat
C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb2391.dat
C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb5436.dat

Neu aufsetzen waere besser es ist zuviel passiert was die Infektionen betrifft
__________
MfG Argus

#45 Was meinst du denn mit neu aufsetzen?