Ich habe vermutlich auch einen Wurm

Bitte seht euch mal folgenden Bericht an:

http://www.hijackthis.de/logfiles/037664ff84c9f0639b3471d056f72a9e.html


Sind die roten Einträge tatsächlich alle Gefahren?

Wie werde ich die los, bzw. wie soll ich hier vorgehen?

 

Du kannst natürlich versuchen, die Einträge (im abgesicherten Modus) zu fixen, aber da dein Betriebssystem sowieso völlig veraltet ist, empfehle ich ein Neuaufsetzen inkl. SP2 und aller updates.

Am besten nach folgender Anleitung:
http://www.cidres-security.de/neuaufsetzen.html

 

Ich würde WinXP neuinstallieren. Aber hier gibt es Tipps http://www.google.com/search?q=vbsys2.dll+&sourceid=ie7&rls=com.microsoft:de-DE&ie=utf8&oe=utf8
Und das SP2 diesmal nicht vergessen.

 

Hm, neuaufsetzen würde ich gerne vermeiden. kann mir jemand sagen welche Einträge tatsächlich nichts gutes bedeuten und entfernt werden sollen, und wie ich dies mache. Wenn das System sauber ist, kann ich es ja immernoch updaten.

Im Moment bedeutet neu aufsetzen zuviel Aufwand, da zuviele Dinge eingebaut sind und ich bestimmt eine Woche drüber wäre alle Einstellungen, und Programme Daten wieder herzustellen.

 

Jaja, Standardausrede...neuaufsetzen dauert 2 Stunden inkl. aller updates. Programme neuinstallieren nochmal 1-2 Stunden. System einrichten, so dass man sich "zuhause" fühlt, nochmal 1 Stunde. Daten kann man vorher sichern und hinterher mit einem aktuellen Scanner auf Befall prüfen.

Ein Problem ist, dass mit SP2 und der seitdem erschienenen updates ca. 1.100 Sicherheitslücken gestopft wurden, die bei dir noch offen sind. Die bleiben also während dem Reinigungsvorgang offen, die Malware ist da und reißt neue Lücken auf, so schnell kannst du die nicht schließen. Denn du musst z.B. zum Download von Reinigungstools und zum Posten hier im Forum immer wieder online gehen.

Wie man den entfernt: ghost60 hat sich ja schonmal die Mühe gemacht, den Namen des Schädlings einzugrenzen und entsprechende Funde in Google rausgesucht. Ich glaube nicht, dass du Leute in Foren dazu bewegen kannst, sich Stunden mit deinem Rechner zu beschäftigen, wenn dir ein Neuaufsetzen schon zuviel Zeitverlust bedeutet.

SP2-und-Update-Verweigerer haben einen schweren Stand...

 

Ich weis nicht warum ihr so agressiv reagiert. Ihr kennt mein System nicht, und könnt daher nicht beurteilen wie lange ich für ein Neuaufsetzen brauchen würde. Auch kann man nicht nach jedem gefundenden Virus ein System neu aufsetzen. Auch verstehe ich nicht das es hier gleich heist Standardausrede. Nach eurem Reden bräuchte man keine Entfernungstools sondern man setzt einfach immer das System neu auf. Auf die Idee wäre ich auch ohne eure Hilfe gekommen. Ich habe auch nicht vor hier stundenlang Leute zu beschäftigen, und wie ihr seht habe ich auch schon vorgearbeitet und ohne dumme Fragen zu stellen mich bei euch eingeargeitet. ich habe empfohlene Tools runtergeladen, mich beschäftigt Logs anzufertigten, bin dem Rad eures Mod gefolgt den ich in irgendeinem Beitrag gelesen habe und habe den Log hier gepostet. Und da euer Mod in einem Beitrag geschrieben hatte man soll nicht sinnlos aus der Reg alles rauslöschen, sondern hier lieber mal nachfragen, habe ich auch dies getan.

Meine Frage war eigendlich ganz einfach, ich wollte wissen welche Einträge absolutschädlich sind und weg müssen ohne das mir das System zusammenstürzt. Wegen dieser Frage kriege ich dann tolle Tipps von wegen System neu aufstetzen und werde beschuldigt hier Leute stundenlang beschäftigen zu wollen.
Super Service.
Und das obwohl ich weiter oben geschrieben habe, das ich ja bereit bin nach der Säuberung upzudaten.

Leider weis ich nun immer noch nicht welche Regeinträge tatsächlich weg müssen, da in der Anleitung des Tools steht, man soll sich nicht auf das Tool verlassen sondern mal nachfragen.

 

Hallo Hausgespenst

Neu aufsetzen halte ich auch für die bessere Wahl. Im übrigen ist die auf deinem Rechner installierte Java-Version total veraltet. Die solltest du deinstallieren und von http://www.pcwelt.de/index.cfm?pid=300&pk=21203&dl=1946&p=2 das Java Runtime Environment (JRE) 5.0 Update 9 herunterladen und nach der Neuinstallation von Windows XP sowie des SP2 installieren.

Für die Zukunft empfehle ich dir die Verwendung eines Image-Programms. Damit erstellst du praktisch eine Kopie der Installationen der Partition C. Im Falle eine Vireninfektion spielst du dann einfach das (hoffentlich virenfreie) Image wieder zurück und hast wieder ein funktionierendes System. Das Rückspielen des Images dauert, je nach Größe der Systempartition, von wenigen Minuten bis zu einer Stunde.

Du solltest auch mindestens einmal die Woche einen vollständigen Systemscan deines Systems mit einem Anti-Viren-Programm durchführen, damit du dir relativ sicher sein kannst, keinen Schädling auf'm Rechner zu haben. Erst dann solltest du das Image erstellen.

Noch ein Tipp: Wenn du im Internet surfst, dann solltest du dies unter einem Benutzerkonto mit eingeschränkten Rechten tun, um die Möglichkeit einer Infektion noch weiter zu senken. Wie du ein solches Konto erstellst, kannst du hier nachlesen:

http://www.cidres-security.de/benutzerkonto.html

Auf der genannten Seite findest du auch eine Anleitung zum Neuaufsetzen des Systems:

http://www.cidres-security.de/neuaufsetzen.html

Gruß
Nevok

 

Wie bitte? Wo denn?

Nein. Lass' es hier und da eine Stunde mehr sein, aber eine Woche ist Unsinn. Wir wissen durchaus, wovon wir reden.

Sicherer ist das. Ich würde mich nicht mehr wohl fühlen, bei Backdoorbefall ist es sogar ein absolutes MUSS.

Weil man das hier seit Jahren 5mal die Woche liest. Deshalb Standardausrede, denn die meisten sind einfach zu faul Die meisten betroffenen glauben, wir haben eine "ein-klick-Lösung" parat, so wie es die AV-Software-Lösung gerne glauben machen will. Aber das gibt es nicht, die manuelle Entfernung ist oft ein Akt von Stunden. Wenn man geübt ist.

Mindestens die rot markierten, das muss doch schon nach meiner ersten Antwort klar gewesen sein. Ob noch andere schädlich sind, dafür müsste man jetzt eben tief in die Materie einsteigen. Nicht jeder Schädling wird dort aufgeführt nach dem Motto "hier bin ich, lösch' mich!".

Ja! Super-Service, nämlich verantwortungsvoll! Beschuldigt hat dich niemand. Ich habe mich bisher schon 20 Minuten mit deinem Problem beschäftigt, gelesen, geprüft, abgewägt, gegoogelt. Und was machst du? Schei_ßt uns hier vor die Tür! Deshalb ist für mich jetzt hier Schluß.
Schönen Tag noch.

 

Es bringt überhaupt nix jetzt irgendwelche Einträge zu löschen da mit 100%tiger Sicherheit das was im moment sichtbar ist nur ein Bruchteil der Infektion deines Rechners ausmacht.
Wenn du ein sauberes und sicheres system willst mach was dir angeraten wurde und setzt den Rechner neu auf(inklusive der aktuellsten Servicepacks sowie Updates).

 

Wenn du trotzdem dein System nicht neu aufsetzen willst, dann hier die Liste, welche Einträge du mittels HijackThis fixen kannst:

• R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.viplegal.com/search
• O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
• O8 - Extra context menu item: Search Using Copernic Agent - C:\Programme\Copernic Agent\Web\SearchExt.htm
• O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
• O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
• O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c282.cab
• O16 - DPF: {33331111-1111-1111-1111-611111193423} -
• O16 - DPF: {33331111-1111-1111-1111-611111193429} -
• O16 - DPF: {33331111-1111-1111-1111-615111193427} -
• O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
• O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll

Die Dateien (fettgedruckt) folgenden Einträgen bitte mal online unter http://virusscan.jotti.org/de/ oder http://www.virustotal.com/en/indexx.html überprüfen lassen:

• C:\WINDOWS\System32\PNTRoute.exe
• O4 - HKLM\..\Run: [vmxtj.exe] C:\WINDOWS\System32\vmxtj.exe
• O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

Die folgenden Einträge solltest du mal dahingehend überprüfen, ob sie dir bekannt verkommen, bzw. ob du diese selber vorgenommen hast. Wenn nicht, dann kannst du die ebenfalls fixen:


O15 - Trusted Zone: *.waitsex.com
O15 - Trusted IP range: 66.230.143.209
O17 - HKLM\System\CCS\Services\Tcpip\..\{207E0B74-2337-4D06-954B-21241BD53399}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{71AC6BFD-55A6-4FF8-9D66-3F6E0E2CABEA}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

Wie man Einträge fixt, kannst du hier nachlesen:

http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Bevor du Einträge fixt, solltest du deinen Rechner im abgesicherten Modus hochfahren. Dazu drückst du beim Hochfahren die F8-Taste (evtl. mehrmals drücken) und wählst als Startoption "Abgesicherter Modus".

Gruß
Nevok

 

@ghost60 und Nevok ich kann das Sytem im Moment nicht neu aufsetzten, es ist zu komplex. Mir helfen da auch nicht die Tipps wie man es neu installiert. Wie man es neu aufsetzt weiss ich, aber wie gesagt es ist zu komplex mit allen Programmen und Einstellungen. Dazu kommt das das System nach außen hin fehlerfrei läuft, keine Abstürze hat nix. Auf dem System läuft Norton, auch wird das System einmal die Woche Freitags um 20Uhr von Norton automatisch gescannt und ist nach Aussage von Norton auch in Ordnung.
Nur der Logfile den ich gepostet habe sagt ganz was anderes, wodurch ich der Meinung bin das der Norton lügt. Es ist sogar möglich, das hier in der Registry einträge von Trojaneren sind, die ich vor langer Zeit vom System gelöscht habe, und die hier zwar angezeigt werden, aber vielleicht gar nicht mehr da sind. Und nur wegen einer unsauberen Registry das System welches funktioniert neu aufzusetzen ist meineserachtens in diesem Fall Blödsinn.

Besser für mich wäre wenn mir einer sagen könnte welche Einträge nix gutes verlauten lassen, und man entfernen sollte.

Danach kann ich immernoch Sp2 aufspielen was ich wohl demnächst muß da der Support für Sp1 eingestellt wurde. Auch habe ich kein Problem
Ratschlägen zu folgen Java neu auszuspielen, das ist ja ok.

Nur das System neu aufzusetzen geht nicht, ganz abgesehen das ich nicht mal mehr alle Programme hätte, und die Zeit von einer Woche schon gar nicht bis alles wieder stimmt.

Das mit dem Image herstellen war mir auch bekannt, ich habe sogar Norton Ghost auf der Platte, und verfüge über ein ca. 1-2 Jahre altes Image davon.

Wie gesagt, ich möchte einfach erstmal die schädlichen Einträge in der Registry los werden, und denke das dies völlig ausreichend im Moment ist, da ja mein System läuft.

Nur ich bin mir nicht sicher welche Einträge weg müssen, das war ja meine Frage.

/edit, dieser Beitrag hat sich wohl mit dem von Nevok überschnitten,

Danke an Ghost60 und Nevok

 

@Nevok, der Beitrag von Dir um 12:35 ist genau das was ich suchte, und dies hilft mir auch.

DANKE

 

Das denkt sich Programmierer deines ungebetenen Gastes auch und erfreut sich an deiner einfältigkeit

 

Darüber solltest du dir mal Gedanken machen.... siehe dein HJT log...

 

@ Hausgespenst

Das ist aber keine Garantie, dass dein System nach der Entfernung der genannten Einträge wieder einwandfrei läuft. Ich halte eine Neuinstallation immer noch für sinnvoller.

Wenn du ein Image-Programm auf'm Rechner hast, warum nutzt du es dann nicht? Es hätte dir viel Ärger und Zeit erspart.

Gruß
Nevok