Habe ich einen Virus drauf? |
||
---|---|---|
#0
| ||
26.05.2008, 19:24
Member
Beiträge: 99 |
||
|
||
26.05.2008, 23:55
Moderator
Beiträge: 5694 |
#2
Hallo Andrea
Dies ist natürlich so schwer zu sagen. Arbeite einmal folgendes durch dann sehen wir weiter http://board.protecus.de/t23188.htm Gruss Swiss |
|
|
||
05.06.2008, 21:56
Member
Themenstarter Beiträge: 99 |
#3
Sorry, dass ich mich erst jetzt melde, war im Krankenhaus. Per Anhang ist das log von Compofix,
das andere von HjackThis ist das: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:49:24, on 05.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\mHotkey.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ArchiCryptShredder3\ACSecureDZone.exe C:\Programme\Netlog 24\Notifier\Netlog24Notifier.exe C:\Programme\WordPerfect Office 11\Programs\CorUpd.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Andrea Rentzsch\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sat1.de/index.php?icqpath=icq R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SecureDZone] C:\Programme\ArchiCryptShredder3\ACSecureDZone.exe O4 - HKCU\..\Run: [Netlog 24] "C:\Programme\Netlog 24\Notifier\Netlog24Notifier.exe" O4 - HKCU\..\Run: [C:_Programme_WordPerfect O36] C:\Programme\WordPerfect Office 11\Programs\CorUpd.exe /Watch O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Crawler Search - tbr:iemenu O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {A689511E-78BD-4548-A09C-FC24B6704317} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {A689511E-78BD-4548-A09C-FC24B6704317} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195129325875 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195130186328 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 9296 bytes Vielen Dank Anhang: log.txt
|
|
|
||
06.06.2008, 00:37
Ehrenmitglied
Beiträge: 6028 |
#4
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dllklicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" . Waehle alle Laufwerke>Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Nehme als Update Spiegel >>It-mate.co.uk Malwarebytes Anti-Malware kann man nachher behalten ! Entferne via Software "Norton Security Scan" Update Java http://board.protecus.de/t32385-1.htm Benutze CCleaner http://www.ccleaner.de/?protecus.de __________ MfG Argus |
|
|
||
06.06.2008, 13:07
Member
Themenstarter Beiträge: 99 |
#5
Danke für die schnelle Antwort. Das Fixed Checked, heist dass, es wird die CrawlerToolbar gelöscht?
Die möchte ich eigentlich nicht löschen, die warnt immer vor Seiten und finde ich sehr nützlich. LG Andrea |
|
|
||
06.06.2008, 14:50
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo,
du solltest diese Toolbar nicht auf dem Rechner haben, sieh: http://vil.nai.com/vil/content/v_137764.htm wenn du unbedingt warnmeldungen im net benötigst, lade das (vor protecus wird hier auch gwarnt, haben wir festgestellt) http://virus-protect.org/artikel/tools/browserdefender.html oder noch viel besser, kein schnickschnack : Sandboxie http://virus-protect.org/artikel/tools/sandboxie.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.06.2008, 18:01
Member
Themenstarter Beiträge: 99 |
#7
Hallo, der Scan von MBAM ist fertig,
Malwarebytes' Anti-Malware 1.15 Datenbank Version: 834 17:55:56 06.06.2008 mbam-log-6-6-2008 (17-55-56).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 93694 Scan Dauer: 49 minute(s), 10 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) |
|
|
||
07.06.2008, 12:39
Member
Themenstarter Beiträge: 99 |
#8
Hallo,
ich habe mir nun diese Sandbox installiert, da dass Teil in Englisch ist, kenne ich mich überhaupt nicht damit aus. Was muss ich denn da einstellen? Habe unten in der Leiste so ein gelbes Teil, aber im Browser selber seh ich da nix von. Kann mir da jemand weiter helfen??? LG Andrea |
|
|
||
07.06.2008, 13:07
Ehrenmitglied
Beiträge: 29434 |
#9
meine Anleitung ist in Deutsch, damit müsstest du eigentlich klar kommen
http://virus-protect.org/artikel/tools/sandboxie.html Sandboxie Quicklaunch klicken die nun aufgerufene Seite ist indiziert, man kann sicher surfen Sandboxie stellt sich im laufenden Betrieb zwischen Windows und der entsprechend gestarteten Anwendung. So landen etwa Cookies, Spyware und ähnliches nicht tatsächlich auf der Festplatte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.06.2008, 13:59
Member
Themenstarter Beiträge: 99 |
#10
Also bei mir sieht das ganz anders aus.
Ich hab das mal abfotografiert. Hab ich im Anhang rein. Könnt ihr mir da behilflich sein? Ich überprüfe gerade den Pc meines Sohnes, könntet ihr dann auch mal da einen Blick drauf werfen? Sende euch dann die Daten. Das wäre nett. Danke LG Andrea Anhang: sandbox control.jpg
|
|
|
||
07.06.2008, 14:24
Ehrenmitglied
Beiträge: 29434 |
#11
das ist o.k. so, du kannst nun beruhigt surfen.
andere Funktionen von sandboxie dienen dazu, eventuell Software zu laden, ohne dass sie auf die Festplatte gelangt fuer dich reicht das surfen, nehme ich an, also immer Defaultbox aktiv halten.. und alles ist o.k. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.06.2008, 14:51
Member
Themenstarter Beiträge: 99 |
#12
Danke für die Antwort.
Jetzt habe ich aber Probleme mit dem Pcs meines Sohnes. Ich habe, bevor ich Combofix gestartet habe alles deaktiviert. Stand ja so drauf. Jetzt bekomme ich die Firewall nicht mehr zum starten. Beim Autostart ist sie wieder aktiviert. Sie ist von Sygate, aber irgendwie mag die nicht mehr. Und ins internet komme ich auch nicht mehr. Da steht was von Netzwerkbrücke und Lanverbindung 3 und nur Lanverbindung. Der PC ist über einen Router angeschlossen. Danke LG Andrea |
|
|
||
07.06.2008, 14:55
Member
Beiträge: 1132 |
#13
Kleiner Hinweis noch: wenn in Sandboxie ein Mail Client laufen gelassen wird oder Downloads mit dem Browser gemacht worden sind, dann vor dem Leeren der Sandbox ("Delete Contents") daran denken, die Dateien und Mails mittels "Quick Recovery" zu sichern. Sonst sind sie verloren.
Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
07.06.2008, 15:00
Ehrenmitglied
Beiträge: 29434 |
#14
Probleme mit der Internetverbindung nach Anwendung von Combofix
siehe im unteren Teil der Seite: http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.06.2008, 18:32
Member
Themenstarter Beiträge: 99 |
#15
Hallo,
das hat auch nix gebracht. Musste Systemwiederherstellung machen und dann hat auch noch der Avira gesponnen, musste ich auch neu machen. Jetzt könnte ich das mit dem Combofix machen, aber da kommt laufend Seitenladenfehler. Aber auch bei meinen PC. Haben die da Probleme? LG Andrea |
|
|
||
Mein Antivirus hatte auch 3 mal nen Trojaner gemeldet, der aber sofort isoliert wurde.
Kann es sein, das der immer noch drauf ist?
LG Andrea