Virus? Google Links werden weitergeleitet!

    • Verlain
      Verlain
      Silber
      Dabei seit: 04.04.2007 Beiträge: 141
      Ja hallo also hab da n großes Problem hatte nen Virus drauf den ich aber auch weggekriegt habe mit allen möglichen Programmen.

      Das Problem ist das ich meine Virenscanner nicht updaten kann, die können nicht connecten. Und auch Panda ActiveScan funktioniert nicht.
      Des weiteren gehen Googlelinks nicht ich werde immer weitergeleitet.

      Hab hier meine HiJackThis Logfile

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:11:06 PM, on 10/29/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\Explorer.EXE
      C:\Programme\Razer\razertra.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\Programme\ICQ6\ICQ.exe
      C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Programme\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Programme\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netcologne.de
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
      O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
      O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
      O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
      O4 - HKUS\S-1-5-21-448539723-1957994488-682003330-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'diablo')
      O4 - HKUS\S-1-5-21-448539723-1957994488-682003330-1008\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (User 'diablo')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
      O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
      O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
      O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
      O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
      O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
      O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
      O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
      O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - E:\Bodog Poker\BPGame.exe (file missing)
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149420552453
      O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
      O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{8FC6EA2D-9232-4031-B406-2866302EE0B1}: NameServer = 217.237.150.115 217.237.151.205
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
      O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
      O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

      --
      End of file - 6604 bytes

      Danke
  • 5 Antworten
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von Verlain
      Ja hallo also hab da n großes Problem hatte nen Virus drauf den ich aber auch weggekriegt habe mit allen möglichen Programmen.
      ......
      Danke
      das reicht nicht ! - rechner platt machen und neu aufsetzen !
    • Verlain
      Verlain
      Silber
      Dabei seit: 04.04.2007 Beiträge: 141
      ja lustig der herr kann ich aber leider im moment nicht da alle meine daten, fürs geschäft und co leider auf der platte liegen
    • hErrcHilloR
      hErrcHilloR
      Bronze
      Dabei seit: 19.09.2006 Beiträge: 1.057
      dann sichern und system nbeu aufsetzen
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von Zweery
      Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern !!!.


      Was tun bei Kompromittierung des Systems?

      Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.

      Wenn man diese Annahmen trifft, müssen zwingend folgende Maßnahmen durchgeführt werden:

      *

      Das betroffene System ist sofort herunterzufahren, man kann sogar über ein hartes Ausschalten nachdenken. Es gibt hier sich widersprechende Ansichten, ich bin der Meinung, dass weitere Datenmanipulationen verhindert werden müssen. Hat man ausreichend Backups im Schrank, reicht aber auch eine Trennung vom Netzwerk.

      *

      Alle sensiblen Informationen wie Passwörter für Betriebssystem, Online-Banking, Datenbanken etc., personenbezogene Daten, Geschäftsgeheimnisse, also alles, was irgendwie vor den Augen Dritter geschützt sein soll, muss als öffentlich bekannt angesehen werden. Dementsprechende Maßnahmen müssen eingeleitet werden.

      Neuaufsetzen des Systems: Zuerst muss das System vom LAN/Internet getrennt werden. Dann empfiehlt es sich die Festplatte, die das Betriebssystem enthielt, vorher zu formatieren, deren Bootsektor zu überschreiben und anschließend das Betriebssystem neu zu installieren. Wichtig ist, dass nur von garantiert sauberen Installationsmedien die Installation des Betriebssystems vorgenommen werden darf. Es darf nichts mehr verwendet werden, was zuvor auf der Festplatte lagerte (Programme, Treiber, Dateien mit ausführbarem Inhalt). Mit einem Linux wie httpKnoppix lässt sich beispielsweise prima eine Festplatte komplett leeren, auf der Kommandozeile einfach mal dd if=/dev/zero of=/dev/hda eintippen, sofern es sich um eine IDE-Festplatte handelt. Man sollte aber wissen, was man tut. Hat man mehrere Festplatten eingebaut und erwischt die falsche, wäre das nicht so günstig.

      *

      Die Passwörter, die zur Anmeldung an das Betriebssystem verwendet wurden, müssen neu ausgewählt werden, da die alten Passwörter als bekannt angesehen werden müssen.
      Geht man von Manipulationen aus, müssen alle Dateien, die auch ausführbare Inhalte haben können, als schädlich angesehen werden. Dateien, die wirklich ausschließlich Daten und keinen ausführbaren Code enthalten, müssen, sofern der Inhalt wichtig ist, verifiziert werden, entweder durch Durchsicht oder automatisiert durch geeignete Algorithmen.

      Eine Aufzählung von Dateitypen mit ausführbarem Inhalt für Windows hier:

      .asf .com .exe .html .js .mde .nws .reg .url .ws
      .bas .cpl .folder .inf .jse .msc .pdf .scf .vb .wsc
      .bat .crt .hlp .ins .jsp .msi .pif .scr .vbe .wsf
      .chm .doc .hta .isp .lnk .msp .pl .sct .vbs .wsh
      .cmd .eml .htm .jar .mdb .mst .ppt .shs .vcd .xl*


      Alle PW Änderungen von einem anderen Rechner durchführen !!!!


      siehe auch hier: Keylogger/Virus? Rapidshare Acc PW usw. funzt nicht mehr.
    • Verlain
      Verlain
      Silber
      Dabei seit: 04.04.2007 Beiträge: 141
      war kein Keylogger nurn fieser Trojaner barstk.exe und karna.dat, hab windoof platt gemacht und neu installiert. danke trotzdem