Wahrscheinlich Virus oder nicht ?

Hey,

komme gleich mal zum System
2x 3,01 GHz
GeForce GT 7600
2 GB RAM
Windows XP Professional
Motherboard Kp grad :S ist aber glaub nicht wirklich wichtig

Immoment AntiVirus und Kaspersky drauf [Kaspersky wegen nem Test]

Also vor etwa 5 Tagen war mein Pc noch sehr heil er lief normal keine Probleme usw. jetzt war ich letztens ich weiß nicht mehr welche Seite aber ich hab mehrer Seiten auf einmal geöffnet und da kam halt die Meldung von AntiVirus "Virus gefunden bla bla" mir ist in der Situation nicht eingefallen das es wohl ein Zugriff von einer Inet Seite ist und hab halt immer wieder auf löschen geklickt.

Dannach hab ich halt den Browser geschlossen.

Nunja seitdem ist mein Pc irgendwie langsamer oder wird von was andere gesteuer/gestoppt.

Fällt dadurch auf das es vom Login-Fenster in Explorer/Destop ziemlich lange brauch ist halt n Schwarzer Bildschirm nachdem ich auf Enter für Login drücke und nach 10-20 Seks kommt dann der Ton und der Hintergrund.
Was mir auch noch aufgefallen ist meine Browser sind extrem langsam geworden der Seitenaufbau ist total langsam aber manchmal auch schnell (hat nichts mit dem Inet zutun, hab schon nachgeguckt) z.B will ich in Firefox über das GoogleAddOn suchen und ich muss 5 mal auf Enter klicken damit er überhaupt den Link von Google in die Adressleiste nimmt oder er stoppt einfach zwischendurch er macht also beim Seitenaufbau was er möchte.

Und was ganz schlimm ist, [deshalb auch der Test mit Kaspersky] mein AVGuard ist weg die *.exe lässt sich nicht mehr ausführen, ausführen schon aber es kommt kein Fenster kein Taskleistensymbol nichts es ist nur im Taskmanager bei niedriger Auslastung.

Hab mir dann Kaspersky installiert und hier funktiert genauso wenig der Guard sowie öffnen geht auch nicht. Virensuche geht bei beiden aber halt nur wenn ich auf ein Ordner/Festplatte rechtsklick mache oder dann mit dem oder dem Virenprogramm suchen drücke.

Aber da in den Virenprogrammen immer im Guard die meist betroffenen Stellen sind und ich sie so nicht kenne und auch nicht finden kann, kann ich z.B de Temporären Daten usw. nicht nach Viren abssuchen


Habt ihr ne Idee

Brauch umbedingt Hilfe, denn neu machen will ich ihn nicht gerne :S

Danke

edit : Kaspersky geht durch die Rechtsklicksuche garnicht. Weshalb weiß ich immoment noch nicht -.-

 

Wahrscheinlich "Rogue-Software"
http://de.wikipedia.org/wiki/Rogue-Software

http://www.pcwelt.de/forum/sicherhe...fall-posten-bitte-abarbeiten.html#post1940399

 

Meinst du mit Rogue-Software das AntiVir und Kaspersky so eine Software ist ?

Wenn ja : Nein das kann nicht sein da ich AntiVir vorher schon drauf hatte und es von der Homepage geladen habe und Kaspersky war kostenlos bei meiner Mainbaord CD dabei und das hatte ich schonmal installiert, was vllt auch erklärt warum es nicht geht (30 Tage Version glaub ich)

Soll ich vllt mal beide deinstallieren und Avast oder sowas installieren ?

Edit : Hab grad auch gesehen. Wenn ich bei *******.com(videoseite von google you...) oben in der Suche was eingeben will hängt auch alles Pc und Browser

 

Erstelle zuerst mal die Logdateien. Wenn du jetzt noch Programme installierst, die tief ins System eingreifen, kann der PC vollends gegen die Wand gefahren werden, so dass dann gar nichts mehr geht.

 

Kenn mich mit Logdaten usw. nicht viel aus ich kenne mich allgemein wenig mit n Pc aus. Kannst du mir vllt sagen was ich genau machen sollte. Denke mal das wenn es ein Virus ist er irgendwann total weg ist und nurnoch hochfährt und dieser schöne "Virus Hintergrund" da ist

Und da ich mein Pc übern Backup installiere und nicht über die Windows Cd 45 Min. installiere. Und bis ich mein Backup fertig habe kanns natürlich sein das der Virus auch auf die Backupdatein zugreift und mein neustes Backup mit Viren beschandet

 

Das steht doch hier http://www.pcwelt.de/forum/sicherhe...fall-posten-bitte-abarbeiten.html#post1940399

 

Bin den schritten nachgegangen hab den Log jetzt für Hijackthis also die log.txt und die info.txt hab ich dannach bekommen. Leider lässt sich das Setup Malwarebytes Anti-Malware nicht starten. Es wird ausgeführt läuft aber genau so wie die Virenprogramme bei niedriger Auslastung (ca. 2,000K) im Taskmanager. Immoment fühlt sich der Pc echt so an als würde ein andere blocken das ich sein Virus lösche.

Auswerten lässt sich das per Homepage auch nicht wirklich. Ich lasse ihn immoment seit 2 Min. laden passiert nichts und ich kann mich dran erinnern das es nur n paar Sekunden damals gebraucht hat.

Wenn er fertig ist mit Asuwerten was soll ich nun machen ?

Edit : Nach 5 mins laden kam "504 Gateway Time-out" liegt dann dneke ich mal am Hijackthisserver

 

Kann man die Logs mal sehen?

 

Ich verstehe unter den Logs wenig habs halt immer Hijackthis machen lassen

 

2010-01-03 00:26:34 ----A---- C:\WINDOWS\system32\krl32mainweq.dll
huch!

auch nicht gerade prickelnd:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ee91b94-ef1d-11de-a4e9-000cf65583f4}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe NADJA.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ce63ceae-86a8-11de-a3b3-000cf65583f4}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FOX.vbs

http://ad13.geekstogo.com/RootRepeal.rar
auf den desktop herunterladen, entpacken, als admin ausführen, report/scan/alle haken setzen,
bestätigen, laufwerk c auswählen, bestätigen und das logfile, das erscheint, bitte posten.

 

hmm als Admin ausführen geht schonmal bei mir nicht. Tschuldige ich denke ich gehe euch wohl ziemlich auf die nerven damit weil ich echt keine Ahnung davon habe ich versuche nur mit meinem winzigen Wissen euren Befehl zu machen. Ich habe immer nur mit dem Account Rutzius in meinen Pc eingeloggt und weiß daher kein Password für den Administrator das ich fürs ausführen brauch.

Wenn ich das Programm normal in diesem Account öffne, kann ich nur Scan oder Save Report klicken. Soll ich nun Scan klicken dann dne Report speichern und hier einfügen ?

 

wenn du das programm ausführen kannst, hast du adminrechte.

report, scan, alles anhaken, ok drücken, laufwerk c anhaken, ok drücken und das programm durchlaufen lassen. wenn der scan beendet ist, öffnet sich ein log, RootRepeal report datum (uhrzeit).txt. dieses log bitte posten.

 

Gut, ich hoffe du meintest ich soll den File Scan machen und nicht den Drivers scan. Gab da nämlich mehrer Kategorien und bei Files konnte ich bei Scan halt Laufwerk C auswählen.

Editiere gleich wenn er fertig ist

Edit : ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/01/04 20:11
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Hidden/Locked Files
-------------------
Path: C:\WINDOWS\system32\H8SRTflodnwgsbd.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\H8SRTgpooicogep.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\H8SRTqjuoextrdr.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\H8SRTxyddkyjnjn.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\Temp\H8SRT90dc.tmp
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\drivers\H8SRTioynmoejay.sys
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\Rutzius\Desktop\Dal\Opera.bmp
Status: Visible to the Windows API, but not on disk.

Path: C:\Dokumente und Einstellungen\Rutzius\Lokale Einstellungen\Temp\H8SRT5c36.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\Rutzius\Lokale Einstellungen\Temp\h8srtmainqt.dll
Status: Invisible to the Windows API!

Path: c:\dokumente und einstellungen\rutzius\anwendungsdaten\opera\opera\global_history.dat
Status: Size mismatch (API: 115907, Raw: 115715)

 

hallo,
das war zwar nicht ganz das richtige(vielleicht sollte ich die anleitung verständlicher formulieren), aber die informationen reichen aus.
das

ist das tdss-rootkit.

da der kamerad ein backdoor-schädling ist, gibt es imo nur eine option, wenn du wieder ein vertrauenswürdiges system haben möchtest:
den sauberen neuanfang.

wenn dir kein finanzieller schaden entstanden ist, kannst du folgendes

datensicherung
http://forum.chip.de/viren-trojaner...fizierten-datentraegern-rechnern-1133907.html,
neuaufsetzen
http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html,
passwörter ändern.
für die zukunft:
http://forum.chip.de/viren-trojaner-wuermer/leitfaden-pc-sicherheit-968736.html

in angriff nehmen.

 

Vielen Danke habe mich soeben zu einem Neuanfang entschlossen bin grad dabei mein Backup zu machen...

Ne Frage wenn ich jetzt mein Backup draufschreibe (was dieses mal auf der C Festplatte war für ein paar Monate) sind die Viren auch noch da oder muss iuch ganz neu formatieren 45misn windows installieren und dann mein Backup raufspielen vllt n älteres ?

 

hmm.
schau dir meinen letzen beitrag doch noch einmal genau an.
mit der live-cd unabhängig vom infizierten system deine bilder, musik...auf einen stick, externe platte...kopieren.
das
http://www.microsoft.com/downloads/...a8-5e76-401f-be08-1e1555d4f3d4&displaylang=de
würde ich via ubuntu ebenso wie benötigte treiber mit auf den stick/externe platte packen.
dann die xp-cd einlegen, partitionen auflösen, neu erstellen, mit ntfs formatieren und offline service pack 3 einspielen.

mit ubuntu solltest du hinsichtlich
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ee91b94-ef1d-11de-a4e9-000cf65583f4}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe NADJA.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ce63ceae-86a8-11de-a3b3-000cf65583f4}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FOX.vbs
auch alle wechseldatenträger untersuchen.

wenn sich autorun.inf-dateien in den wurzelverzeichnissen befinden, schau dir den inhalt dieser dateien an.
wenn auf einen schädling verwiesen wird, also z.b. xyz.vbs, dann die autorun.inf und die eigentliche malware löschen.