|
Antivirus XP 2008 und die Folgen
Wie sicherlich schon ein paar gelesen haben kursiert in letzter Zeit die Malware Antivirus XP 2008 und infiziert unschuldige PCs. Mein PC blieb leider nicht verschont und wurde ebenfalls befallen.
Das einzige Programm, welches es mir ermöglichte dagegen vorzugehen, war Malwarebytes' Anti-Malware. Dann hat ein check von PC-Cillin dann noch Trojan.Vundo diagnostiziert, welches ich mit der FixVundo.exe von Symantec angeblich auch wieder löschen konnte. Dann zeigte mir die Online Auswertung von HiJackThis noch eine bösartige Software: Windows\privacy_danger\index.exe Diesen Ordner kann ich aber (trotz richtiger Ordneroptionen) nicht finden, also lies ich HiJackThis das Problem "fixen". Ich bitte jetzt um Hilfe, alle möglichen mitreisenden dieser Vireninfektion ausfindig zu machen und zu vernichten. Hier der aktuelle HiJackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:55:31, on 21.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe F:\WINDOWS\system32\nvsvc32.exe F:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe F:\WINDOWS\system32\PnkBstrA.exe F:\WINDOWS\Explorer.EXE F:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe F:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe F:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe F:\WINDOWS\system32\RUNDLL32.EXE F:\Programme\Trend Micro\Internet Security 2007\pccguide.exe F:\WINDOWS\system32\ctfmon.exe F:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe F:\Programme\DAEMON Tools Lite\daemon.exe F:\WINDOWS\system32\wscntfy.exe F:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe F:\Programme\NETGEAR\WPNT121\WPNT121.exe F:\Programme\Internet Explorer\iexplore.exe F:\WINDOWS\System32\svchost.exe F:\Programme\Internet Explorer\iexplore.exe F:\Programme\Trend Micro\HijackThis\HijackThis.exe O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [WPNT121] C:\Program Files\NETGEAR\WPNT121\WPNT121.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [pccguide.exe] "F:\Programme\Trend Micro\Internet Security 2007\pccguide.exe" O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] F:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab O23 - Service: Google Updater Service (gusvc) - Google - F:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe O23 - Service: PnkBstrA - Unknown owner - F:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe -- End of file - 4128 bytes Ja, IE7 und Service Pack 3 muss ich noch installieren, hatte neu aufgesetzt und dachte mir dass PC Cillin als Schutz kurzzeitig auch ohne IE7 und SP3 ausreichen müsste... Womit soll ich noch nach möglichen Übeltätern scannen? Bitte um baldige Hilfe, lg Flo |
Unter www.hijackthis.de kannst dein Logfile auswerten lassen, ich habe das einmal für dich erledigt, schaut "clean" aus.
lg bully |
Dort habe ich mein Logfile auswerten lassen, aber nur weil es dort clean aussieht, heisst das noch lange nicht, das mein System auch wirklich sauber ist, oder?
Ich habe nämlich immernoch Probleme... Wenn ich z.B. Battlefield 2 starten möchte dauert das länger als gewöhnlich, das Beitreten eines Servers dauert ebenfalls ewig und sobald ich dann spiele hängt sich der PC nach kurzer Zeit (1-5 Sekunden) auf... Das funktionierte gestern (als ich mir den Virus einfing) allerdings noch ohne Probleme... |
Hast Du schon einen aktuellen Virenscanner über dein Sys scannen lassen, was sonst noch alles infiziert ist und gesäubert gehört?
|
Ja, habe PC-Cillin und das Windows Tool zum entfernen bösartiger Software drüberlaufen lassen und alles bereinigt...
|
Zitat:
lg bully |
Eine andere Möglichkeit gibts nicht? :(
|
Hm, lass mal von Symatec oder von Kaspersky einen Online Virenscanner drüber laufen, ober die noch was finden.
Ev. kann die Spybot helfen. |
Spybot fand 3 verfolgende Cookies und den Trojaner Virtumonde.prx
Mal sehen was Kaspersky nun sagt.. |
So nun schreit Spybot nicht mehr und Kaspersky Onlinescan hat nichts gefunden... Trotzdem besteht das Problem noch immer :(
|
Hy!
Hab grad auch so einen Rechner reinbekommen und folgende Anleitung gfunden. http://forum.hijackthis.de/showthread.php?t=25728 Vielleicht hilfts Dir ja weiter. Grüße, Alexx |
Danke für den Link, XP Antivir 2008 konnte ich allerdings schon erfolgreich entfernen, es geht mir jetzt eher um die mitgereisten Schädlinge...
Edit: Die Prozesse TmProxy.exe und PcScnSrv.exe (beide von PC-Cillin und auch in dessen Ordner gespeichert und nicht im System32 Ordner) verursachen immer wieder für längere Zeit eine CPU-Auslastung von bis zu 100%. Also bis zu 50% je Prozess. Ausserdem hat PcScnSrv.exe eine Speicherauslastung von 150.828K und TmProxy.exe eine von 52.568K, ist das nicht viel zu viel? Liegt es an PC-Cillin? Oder hat sich da wohl was übleres eingeschlichen? :( |
Was bewirken die beiden Programme? ich kenne diese nicht.
Hast Du auch kontrolliert, welche Programme beim Start des PC aktiviert werden? |
Okay, das mit den beiden Dateien konnte ich nun auch Regeln, lag an einem Konflikt zwischen Spybot und PC-Cillin.
Battlefield 2 stürtzt beim Spielen weiterhin dauernd ab und generell würde ich das System im Moment als "langsamer" bezeichnen. |
Welche Resourcen verbrauchen die meiste CPU-Leistung bzw. haben den größten Speicherverbrauch?
|
iexplore.exe: 57.304K
explorer.exe: 16.082K svchost.exe: 11.760K Das warn mal die Top3, CPU Auslastung ist mittlerweile normal, System immer noch "langsam"... |
Seits ma ned böse, aber in den Stunden, die du jetzt schon mit Messungen usw. versch..... hättest den Rechner schon dreimal aufgesetzt. Er läuft ja noch, also runter mit den Daten auf eine externe Platte und los gehts.
Ich habe Tage und Nächte damit verbracht, ein mehrfach infiziertes System zu säubern - und das war dein Rechner eindeutig - optimal ist keins mehr geworden. lg bully |
Wäre es nicht einfacher, dass Du Dir Deinen PC neu aufsetzt? Sicher benötigt das auch seine Zeit, aber rechne mal die Zeit, die Du bis dato investiert hast, etc. Da gehts andersrum schneller und allemal bist Du auf der sicheren Seite.
|
Aber wenn ich mir nun infizierte Sicherungen mache, beginnt der Kreislauf doch nach einer Windows Neuinstallation von vorne, oder nicht?
|
Also du sollst ja auch nur die Daten sichern, und keine System- oder Programmordner. Diese ganzen Trojaner/Würmer infizieren in den seltensten Fällen Datendateien. System neu aufsetzen, dann die Sicherungen gründlich vom sauberen frischen System scannen, mit ordentlichen Programmen, wie Avast, Spybot und Adaware, und dann einspielen. Da passiert nix. Ich hab das schon zigmal so gemacht, nie ein Problem.
lg bully |
Zitat:
Zitat:
Ausser man hat keine CD/DVDs mehr oder so!;) |
Habe eine Vista und eine XP Partition, müsste ich beides neu Aufsetzen? :/
|
Nein, nur das BS, das infiziert war.
lg bully |
von 10-21 Uhr da setzt ich beides 3x auf:confused::rolleyes:
|
Generell schlage ich für solche Sachen und Harwarprobleme vor, immer ein aktuelles Backup bei der Hand zu haben.
Einfach formatieren, restoren und fertig. Daher mache ich mindestens 1x in der Woche ein Backup der ganzen Systempartition. |
|
Der Pandascan zeigt mir nur "gefährliche" Cookies an, die aber nach dem Löschen immer wieder kommen, ohne je auf einer dieser Seiten gewesen zu sein, also irgendwo ist noch der Wurm drinnen... :/ Naja werde heute oder morgen neu aufsetzen, dann hat sich das ;)
|
also für mich gibts da keien diskussionen.
JEDER rechner, und ich meine wirklich JEDER der mit irgendeinem trojaner/wurm/virus/sonstwas infiziert war/ist IST AUSNAHMSLOS neu aufzusetzen. 1. die zeit welche man mit suchen, scans, nachlesen, warten auf antworten in foren usw versch.... da hat man den rechner schon 10x neu aufgesetzt. wer kein backup macht is eh selber schuld wenn die daten futsch sind, da hab ich nichtmal mehr mitleid. ist mir selbst auch schon passiert. seither hab ich ein backup. der mensch is dumm und faul, erst wenns ihm selber passiert glaubt ers. ;) 2. kann man sich, egal wie "gut" diese removal-tools sind, niemals sicher sein,dass das system wieder 100%ig sauber ist (was die probleme mit deinen komischen cookies und dem spiel eindeutig beweisen). schließlich weiß man nie wie viel schadsoftware so ein wurm schon nachgeladen hat und welche systemroutinen er verbogen hat. 3. ist man mit neu aufsetzen auch keine gefahr mehr für andere. schließlich kann ein mit einem rootkit infizierter rechner wenn man ihn nicht neu aufsetzt (und sonst kriegt man sowas kaum weg) jahrelang viren verschleudern. |
Ja buntstift, da hast du recht. Ich habe nur gerade erst vor ein paar Tagen komplett neu aufgesetzt (Vista + XP), beide OS auf verschiedenen Partitionen installieren und ein Bootmenü einzurichten war für mich als DAU schon ein graus :D
Aber wenns nicht anders geht werd ich mir das wohl wieder antun müssen ;) lg Flo |
also zum einrichten ... am einfachsten is es wenn du erst xp und danach vista installierst. dann sollte (zumindest theoretisch?) das vista automatisch den bootmanager so einrichten, dass xp und vista zur auswahl stehen.
aber hab das leider in der praxis noch nciht selbst versucht, da kein vista zur hand. |
Zitat:
lg bully |
dachte ichs mir :D
hab nur theoretisch was drüber glesn aber in der praxis noch nie gemacht (wie gesagt kein vista zur hand) |
Naja hatte zuerst Windows und dann XP, da ich bei Vista direkt die Partition erstellen und formatieren konnte für XP. Das einzige Problem war dann eben das Einrichten des Bootmanagers, das ich erst nach mehreren Stunden lösen konnte :/iere
Aber jetzt wo ich die Partitionen ja schon erstellt und formatiert habe müsste das ja nun gut klappen, wenn ich XP zuerst installiere. Werde dann heute Abend das Ergebnis schreiben ;) PS: Dieser Panda Active Scan hat bei mir auch "gefährliche Cookies" auf der Vista Partition gefunden obwohl ich mir den Virus in XP eingefangen habe. Muss ich nun doch komplett formatieren (XP + Vista + gemeinsame Partition) oder reicht es wirklich nur die XP Partition zu formatieren? |
Vergiss die gefährlichen Cookies, is ganz normal..............
lg bully |
hey hab da noch ne frage.
hab auch diesen antivirus xp scheiß aufm pc. ich werd meinen rechner natürlich mit nem neuen betriebssystem bespielen. & jetzt weiß ich nicht ob die dateien wie bilder, musik etc auch befallen sind. die sind alle auf ner externen festplatte. kann ich die dann ruhig wieder anschließen ohne bedenken ? also wenn ich das neue betriebssystem wieder aufm rechner hab |
Ohne Bedenken ist immer ganz schlecht. Würde zuerst Antivirus (einen richtigen, keinen Virus mit Tarnbezeichnung ;) ) auf Rechner installieren, danach Platte anschließen und gründlich durchsuchen.
|
Gegen den Antivirus 2008 ist "Malware Bytes", siehe http://www.malwarebytes.org/ das richtige Mittel. Damit habe ich bereits ein gutes Dutzend PC erfolgreich bereinigt.
|
Kann ich nur zustimmen! Ich habe mit dem "Malware Bytes" auch sehr gute Erfahrungen gemacht.
Neu aufsetzen und sicherheitshalber die gesciherten Daten nochmals mit einem Virenscanner und eben dem "Malware Bytes" dursuchen lassen, dann sollte es passen. Vielleicht auch interessant - Hier kann man sich ein Iso File runterladen und damit die Festplatte durchsuchen lassen. http://www.avira.com/de/support/support_downloads.html :bier:Nellyby |
normalerweise macht man eine systemwiederherstellung und die sache ist in 5min erledigt.
|
Zitat:
Sonst kanns schlimm werden. |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 19:42 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag