Antivirus XP 2008 pro - IE spinnt, Programme blockiert etc.

#0
01.07.2008, 01:26
...neu hier

Beiträge: 2
#1 Hallo Leute,

ich habe mir beim Surfen eine schlimme Pest eingefangen, obwohl ich eigentlich nie unbedacht irgend etwas klicke, aber einmal eine falsche Seite besucht und schon kann es passiert sein.

Habe mir oben genanntes Ding oder einen Ableger davon eingehandelt und das macht mir jetzt das PC-Leben zur Hölle.

Neben den bekannten Symptomen kann ich noch mit einigen Extras aufwarten ("verbesserte" Version?), die da wären:

Bestimmte Programme sind blockiert. Firefox lässt sich gar nicht mehr starten, ebenso wenig Spybot Search & Destroy. Außerdem versagt ab und an das Internet und der IE spinnt sowieso total. Ständig gehen dort Warnmeldungen und dubiose Scans auf oder ich werde zu irgendwelchen bizarren Seiten umgeleitet. Unbekannte Suchmaschinen, eine Seite über Alzheimer (!!!) etc.

Habe es mit Mühe und Not geschafft, Hijack This zu installieren. Konnte wohl auch einige Probleme fixen, aber trotzdem geht hier nichts mehr wie es sollte.
Ich poste mal das aktuelle Logfile (zur Auswertungsseite von Hijack This komme ich leider auch nicht):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:22:30, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\WINDOWS\system32\CTHELPER.EXE
E:\Programme\Java\jre1.6.0_05\bin\jusched.exe
E:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
E:\Programme\Softwin\BitDefender10\bdagent.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Softwin\BitDefender10\vsserv.exe
E:\Programme\Malwarebytes' Anti-Malware\mbam.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [StartCCC] "E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] E:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "E:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://E:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://E:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://E:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://E:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{663FCB83-ABD6-4D1C-B046-7A1389B65F7E}: NameServer = 62.220.18.8 89.246.64.8
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - E:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 4678 bytes

Für mich sieht das eigentlich relativ unaufällig aus, aber ich bin kein Experte und zur Auswertung komme ich wie gesagt leider nicht. Ich hoffe, es kann mir jemand weiterhelfen. Wenn es noch Detailfragen gibt, bitte postet diese. Ich bin sicher noch eine Weile online und am Basteln. LG von


Reaperman
Seitenanfang Seitenende
01.07.2008, 02:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,
schaffst du es, Combofix anzuwenden ?
falls ja, post hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.07.2008, 09:44
Member

Beiträge: 325
#3 Hallo Reaperman!
Die Hijackthis- Auswertung hat diesen Eintrag hier von Dir in Frage gestellt,wenn Du die IP oder Domäne nicht kennst, dann Fixen steht dort.
(Aber bitte beachte, dass die Auswertungen auf dieser Seite auch "ungenau" sein können)-bevor mich hier jemand steinigt!!

O17 - HKLM\System\CCS\Services\Tcpip\..\{663FCB83-ABD6-4D1C-B046-7A1389B65F7E}: NameServer = 62.220.18.8 89.246.64.8
Seitenanfang Seitenende
01.07.2008, 10:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 der 017-Eintrag ist in Ordnung. Habe ich schon überprüft. (Domain: versatel-west.de)
Leider hat der User das Log vom HijackTHis nach dem Fixen gepostet und logisch, so kann man nichts mehr erkennen,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.07.2008, 11:14
Member

Beiträge: 325
#5 Vielleicht hat Reaperman noch eine Backup-Datei von Hijackthis, die er zwar nicht wiederherstellen sollte(!), aber mal mit dem Editor öffnet, und den kopierten Text nochmal hieher postet?? :p)
Dieser Beitrag wurde am 01.07.2008 um 11:19 Uhr von Provisitor editiert.
Seitenanfang Seitenende
01.07.2008, 19:25
...neu hier

Themenstarter

Beiträge: 2
#6 Hallo ihr Lieben,

erst mal vielen Dank für eure Antworten. ;) Also, ich glaube, daß ich mein System wieder sauber gekriegt habe, obwohl die Symptome doch echt krass waren. Was ich gestern im Eifer des Gefechts noch vergessen hatte: Der Schädling hatte mich ja noch mit einem schönen neuen Wallpaper (knallblau mit fettem Warnschild ^^) beglückt UND die Benutzeroberfläche von Win XP verändert. Unter Desktop --> Eigenschaften fehlte plötzlich der Eintrag "Desktop", wo man ja normalerweise einen Hintergrund wählen kann. Also konnte ich diese scheußliche Beleidigung für meine Augen noch nicht mal manuell fixen. Darüber hinaus wurden wohl auch ganz gezielt Updates von bestimmten Schutzprogrammen blockiert. Ts ts, schon echt unglaublich.

Na, jedenfalls hatte ich zu dem Zeitpunkt, wo ich gestern nacht bzw. heute morgen ins Board gepostet habe, bereits Malwarebytes laufen. Zum Glück war meine Freundin noch wach und die hat für mich im Internet geforscht (z.B. hier im Board, was SEHR hilfreich war) und mir auch einen Direktlink zum Download von Malwarebytes durchgegeben. Anders wäre es nicht gegangen, denn wenn ich eine normale Internetseite aufgerufen habe, bin ich ja sofort umgeleitet worden bzw. es kamen wieder diese komischen Warnungen und/oder Scans. Ok, ich konnte Malwarebytes jetzt zwar nicht updaten (s.o.), aber ich habe es halt einfach mal ohne Update durchlaufen lassen. Als ich heute morgen dann geguckt habe, hatte es gut 40 (!!!!) infizierte Objekte bzw. Einträge gefunden, die ich dann mal locker weggehauen habe. Malwarebytes hat mich daraufhin gebeten, einen Neustart zu machen und dabei mitlaufen zu dürfen, um die letzten Reste zu entfernen. Klappte alles sehr gut.

Jo, und was soll ich sagen...danach war alles schon mal wieder wesentlich besser. Desktop war wieder normal und die Benutzeroberfläche von XP ebenso. Außerdem ließ sich Firefox wieder starten (juchuuu!!), ebenso wie Spybot. Updates gingen auch wieder. Habe nach dem erfolgreichen Update Malwarebytes nochmal durchlaufen lassen, wobei dann noch 3 andere Einträge entdeckt und entfernt wurden.

Ein anschließender Scan mit Spybot konnte dann gar nichts mehr entdecken. Anschließend habe ich noch einen Tiefenscan mit BitDefender gemacht, der noch zwei Viren bzw. Trojaner in der Systemwiederherstellung entdeckte. Diese habe ich daraufhin auch gereinigt. Erneute Scans mit Malwarebytes und noch einmal BitDefender konnten dann keine Verseuchung mehr erkennen. Habe dann nochmal einen Scan mit HijackThis! gemacht und dann auswerten lassen. Alles im grünen Bereich!! Und ja, die fraglichen IPs haben mit meinem ISP zu tun. ;) Das wußte ich aber schon von früheren Scans.

Ja, also...ich kann guten Gewissens sagen, daß ich jetzt keinerlei Symptome mehr habe, alles ist so wie es sein sollte. Leider habe ich kein Logfile von HijackThis! vor dem Fixen, sorry. ;) Aber ich kann mich noch gut an die gefixten Einträge erinnern. Einer war im Bereich "Toolbar", 3 im Bereich BHO. Diese bestanden aus wilden Buchstabenfolgen, begannen aber alle mit dem Buchstabe Q und endeten auf deaa7 bzw. deaa7.dll bei den BHO-Einträgen. Zu den BHO-Einträgen konnte man die passenden dlls im System32-Ordner finden. Mehr kann ich dazu leider nicht mehr sagen. Diese Angaben sind auch ohne Gewähr.

Aber ich wollte unbedingt möglichst ausführlich antworten, um vielleicht anderen Leuten mit einer ähnlichen Problemlage zu helfen. So hat es bei mir geklappt, und vielleicht klappt es bei jemand anderem auch. Sollten wider Erwarten doch noch irgendwelche Effekte bei mir auftreten, werde ich natürlich schreiend und wild mit den Armen rudernd wieder hier ins Forum zurück eilen und es euch wissen lassen. Bis dahin!! ;)

Gaaanz liebe Grüße von


Reaperman
Dieser Beitrag wurde am 01.07.2008 um 19:32 Uhr von Reaperman editiert.
Seitenanfang Seitenende
01.07.2008, 19:47
Moderator

Beiträge: 5694
#7 Hallo Reaperman

Um Sicher zu gehen, dass auch wirklich alles sauber ist, wende Combofix an:
und post hier den report
http://virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: