Virus gefunden, breitet sich aus |
||
---|---|---|
#0
| ||
02.07.2010, 12:39
Member
Beiträge: 28 |
||
|
||
02.07.2010, 14:44
Member
Themenstarter Beiträge: 28 |
#2
4.) Gmer Log erstellt nach Scan, befindet sich im Dateianhang.
5.) HijackThis Scan durchgeführt und Log erstellt: Zitat Logfile of Trend Micro HijackThis v2.0.46.) Uninstall Liste HiJackThis Zitat Adobe Acrobat 5.0So, ich wäre dann damit durch. Außer Updates für alle möglichen Programme und Windows einzuspielen und diesen Updateüberprüfer von Secunia (oder wie er heißt), sowie neuen Virenschutz und Firewall zu installieren, fiele mir nichts mehr ein. Wäre daher super, wenn ihr mir helfen könntet! Anhang: gmer.txt Dieser Beitrag wurde am 02.07.2010 um 14:52 Uhr von armertropf editiert.
|
|
|
||
02.07.2010, 15:32
Member
Beiträge: 21 |
#3
möchte nicht gern dazwischen gehen,aber
@armertropf zur Information: wenn der Fall hier mit dem Virus erledigt sein sollte, darf ich Dich bitte darauf aufmerksam machen, den IE updaten auf den IE 8 . Zitat MSIE: Internet Explorer v7.00(auch wenn Du mit einem anderem Browser surfst, Du holst Dir ja mit dem IE diese Windows-updates. ) zudem diese Java updaten , wir haben schon das update 20! denn der hier ist sehr veraltert: C:\Programme\Java\jre1.6.0_03\bin\jusched.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab deinstalliere bitte dann das Java und downloade es Dir von hier : https://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_Developer-Site/en_US/-/USD/ViewProductDetail-Start?ProductRef=jre-6u20-oth-JPR@CDS-CDS_Developer Toolbars wie Google auch deinstallieren. C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/ die Einträge O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe kannst Du unter den Diensten beenden! lasse die bitte weg. Das war meine Wenigkeit dazu. |
|
|
||
02.07.2010, 15:35
Member
Themenstarter Beiträge: 28 |
#4
Hallo grünspatz!
Danke für deine Tipps! Es ist nicht mein PC, mein eigener ist recht aktuell gepatcht. Die von Dir gemachten Anmerkungen werde ich auf jeden Fall auch umsetzen. Warte nur noch auf Anweisungen, was ich noch machen muss, um die Viren auch wirklich loszuwerden. Achso, wäre es sinnvoll der Besitzerin unter XP nur Benutzerrechte zuzuweisen oder gibt es dann zu viele Probleme mit Programmen/Installationen, die fehlende Rechte beklagen? Ich hab selbst auch immer als Admin gearbeitet und jetzt unter Win 7 diese Benutzerkontensteuerung, wo das ja besser geregelt ist. Daher weiß ich nicht, wie es in der Praxis ist unter Win XP als Benutzer zu arbeiten. |
|
|
||
02.07.2010, 15:51
Member
Beiträge: 21 |
#5
Hallo armertropf
ist oki, was mir jetzt aufgefallen ist, dieses Avira, kann es sein, daß da noch eine alte Avira Installation drauf ist? ich gebe Dir mal den link zur aktuellsten Version (10-er) http://www.free-av.de/de/download/download_servers.php das wäre die (deutsche Version) Free Md5: 436ad8bb691999b50b0bfb54c24b84b7 mit den 47,76 mb ! alles Gute |
|
|
||
02.07.2010, 15:55
Member
Themenstarter Beiträge: 28 |
#6
Zitat grünspatz posteteJop, ist ne völlig veraltete drauf und die Firewall ebenso, das hatte ich schon vor das beides zu aktualisieren. Firewall weiß ich aber noch gar nicht so genau, was ich da nehmen soll. Ich hab selbst sowas nicht, bzw. eben nur die Windows Firewall, bin aber auch hinter einem Router und sie verbindet sich offenbar direkt. |
|
|
||
02.07.2010, 22:41
Member
Themenstarter Beiträge: 28 |
#7
Ich bräuchte schon noch Hilfe, ich glaub das ging jetzt etwas unter wegen der Ratschläge von grünspatz. Hab inzwischen alle Windows Updates inkl. IE 8 installiert. Java, Flash, Adobe Reader geupdatet, Secunia PSI installiert und scannen lassen. Microsoft Security Essentials installiert und scannen lassen (wieder 3 Funde).
Das alte Antivir und Zonealarm hab ich deinstalliert, auch das alte Java. |
|
|
||
03.07.2010, 11:05
Moderator
Beiträge: 5694 |
#8
Schritt 1
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. Schritt 2 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. |
|
|
||
03.07.2010, 13:06
Member
Themenstarter Beiträge: 28 |
#9
@Swisstreasure: Bin so froh, dass du da bist!
Den Rootkitscan mit GMER hab ich schon gemacht, das Log befindet sich im Anhang meines zweiten Postings. Ich kann es aber auch erneut machen, wenn was nicht richtig war. Ich mach zunächst mal den Systemscan mit OTL und editiere das Ergebnis dann hier rein. Ein Problem ist, dass der Rechner, wenn ich den Echtzeitscanner von Microsoft Security Essentials laufen lasse, in dem Prozess "MsMpEng.exe" oft 100% CPU-Last verursacht, was das arbeiten sehr erschwert. Und beim Neustarten muss ich immer zwei Fehler schließen. Einmal ServerWnd und einmal WindowsFormParking, beides irgendwie hängende im Hintergrund laufende Applikationen. Ich habe nachgelesen, dass es mit veralteteter T-Online Software bzw. mit veralteter HP-Software/Treibern zusammenhängen soll. Schritt 1 Code OTL logfile created on: 03.07.2010 13:12:21 - Run 1 Code OTL Extras logfile created on: 03.07.2010 13:12:21 - Run 1 Dieser Beitrag wurde am 03.07.2010 um 13:21 Uhr von armertropf editiert.
|
|
|
||
03.07.2010, 20:12
Moderator
Beiträge: 5694 |
#10
Werde heute Abend posten wie es weiter geht
|
|
|
||
03.07.2010, 21:33
Member
Themenstarter Beiträge: 28 |
#11
Zitat Swisstreasure posteteDas ist super, vielen, vielen Dank schon mal, bin so froh über deine kompetente Hilfe. |
|
|
||
04.07.2010, 00:57
Moderator
Beiträge: 5694 |
#12
Du hast Dir übere infizierte externe Medien (USB-Stick, -Festplatte..) etwas eingefangen. Und zwar über E:\ Was hast Du dort angeschlossen in letzter Zeit?
Schritt 1 Desinfizierung/Absicherung externer Medien Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Gehe nun wie folgt vor: • Trenne den Rechner physikalisch vom Netz. • Deaktiviere den Hintergrundwächter deines AVP. • Schließe jetzt alle externe Datenträgeran Deinen Rechner an. • Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. • Wenn der Scan zuende ist, kannst du das Programm schließen. • Starte Deinen Rechner neu. Hinweis: Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist. Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal. Schritt 2 Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen. Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Zitat C:\WINDOWS\System32\drmupgds.exeSchritt 3 Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun den Inhalt in die Textbox. Code :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Run Fix Button. • Klick auf . • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument. Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread Schritt 4 Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. Download Mirror #1 - Download Mirror #2 • Doppelklick auf die SystemLook.exe, um das Tool zu starten. Vista-User mit Rechtsklick und als Administrator starten. • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools: Code :filefind• Klicke nun auf den Button Look, um den Scan zu starten. • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten. • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. Schritt 5 Rootkitscan mit RootRepeal • Gehe hierhin, scrolle runter und downloade RootRepeal.zip. • Entpacke die Datei auf Deinen Desktop. • Doppelklicke die RootRepeal.exe, um den Scanner zu starten. • Klicke auf den Reiter Report und dann auf den Button Scan. • Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT . • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. • Wähle C:\ und klicke wieder Ok. • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. • Wenn der Suchlauf beendet ist, klicke auf Save Report. • Speichere das Logfile als RootRepeal.txt auf dem Desktop. • Kopiere den Inhalt hier in den Thread. Schritt 6 Erneuter Systemscan mit OTL • Doppelklick auf die OTL.exe • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output • Unter Extra Registry, wähle bitte Use SafeList • Klicke nun auf Run Scan links oben • Wenn der Scan beendet wurde werden 2 Logfiles erstellt • Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
04.07.2010, 14:40
Member
Themenstarter Beiträge: 28 |
#13
Nachdem ich heute Vormittag eine ausgedehnte Radtour gemacht habe, wollte ich mich eben dem Problem mit dem PC wieder widmen, aber beim Abziehen des Lan-Kabels ging im selben Augenblick die Maus nicht mehr. Auch nach 2-3x Neustarten und Testen an verschiedenen USB-Ports fror der Mauszeiger immer kurz nach der Anmeldung ein. Dann ging die Maus mal wieder längere Zeit und ich hatte das Programm aber irgendwie noch nicht heruntergeladen, hab das Lan-Kabel wieder rein und sofort stand der Mauszeiger wieder.
Die Tastatur geht allerdings. Man, der PC kostet mir echt den letzten Nerv. Falls es dann irgendwann klappt, hab ich noch ne Frage zu dem Flash Disinfecor: Soll ich wirklich erst den infizierten Stick rein tun und dann das Programm starten oder umgekehrt? |
|
|
||
04.07.2010, 17:27
Moderator
Beiträge: 5694 |
#14
Zuerst alles anstecken. Einfach nichts vom Stick ausführen. Also beim einstecken und gleichzeitig die Shift-Taste gedrückt halten.
|
|
|
||
04.07.2010, 23:21
Member
Themenstarter Beiträge: 28 |
#15
Schritt 1
Desinfizierung/Absicherung externer Medien Durchgeführt. Kam nur ne Meldung mit "Ok" und dann hab ich den Rechner neu gestartet. Muss ich mit dem Stick denn noch was machen? Oder ist der nun virenfrei? Schritt 2 Virustotal (Datei1): Code Datei drmupgds.exe empfangen 2010.07.04 21:21:46 (UTC)Antivirus Version letzte aktualisierung ErgebnisVirustotal (Datei2): Code Datei wpdshextautoplay.exe empfangen 2010.07.04 21:26:28 (UTC)Antivirus Version letzte aktualisierung Ergebnis Dieser Beitrag wurde am 04.07.2010 um 23:29 Uhr von armertropf editiert.
|
|
|
||
1.) Bisher habe ich den PC nur kurz angeguckt, es handelt sich um einen PC mit Windows XP SP 3 Home, auf dem neben Antivir noch eine Software Firewall installiert ist, da der PC wohl direkt per DSL-Modem mit dem Internet verbunden ist. Die Bekannte berichtete, dass sich Antivir seit einiger Zeit nicht mehr updaten ließe und dass sie sich den Virus wohl bei der Installation von Skype eingefangen habe. Antivir bringt demnach Meldungen über den Virenbefall, kann aber nichts löschen und ein USB-Stick, der an den Rechner angeschlossen und daraufhin an einem anderen PC benutzt wurde, ließ den zweiten Rechner auch Virenalarm auslösen.
Was es für ein Virus ist, weiß ich noch nicht. Ich habe bisher nur ein Image mit Acronis von der ganzen Systemplatte erstellt. Ich fang dann mal an, die weiteren Punkte abzuarbeiten!
2.) Temporäre Dateien und Systemwiederherstellung bereinigt.
3.) Scan mit aktuellem Malwarebytes durchgeführt. 150 Infizierte Objekte gefunden und entfernt, er benötigte für manche einen Reboot. Logfile nach der Bereinigung ist im Datei Anhang.
Zwischenfrage: Wieso findet er eigentlich etwas in "C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Temp\" wenn ich voher doch temporäre Ordner über die Datenträgerbereinigung gelöscht haben wollte?