Virus im Arbeitsspeicher (robinho25)

robinho25
Gast

« am: 27.03.09, 16:06:20 »

hi, hab vorhin ne meldung von meinem avast bekommen: Virus im arbeitsspeicher. das programm hat mir empfohlen einen scan beim neustart durchzuführen (im boot..). beim hochfahren hat avast dann denn scan durchgeführt, es kam dann ne meldung: 0 datein gescannt, 0 ordner durchsucht. mein pc ist schon seit längerem ziemlich langsam, vor allem wenn ich im internet bin, die seiten laden deutlich länger wie früher. wenn ich auf google auf die suchergebnisse klicke kommt es öfters vor das sich andere seiten öffnen als die gesuchten.

hier sind die letzten ergebnisse des scans bei hochgefahrenem pc: Infektion:Win32:Sudiet[Trj] wird 5 mal angezeigt und Infektion:Win32:Rootkit-gen[Rtk). die hab ich in den Container verschoben.
ich hab auch vorher schon ein paar viren gelöscht, aber das problem hat sich dadurch nie gelöst.

hier der Hijackscan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:03, on 27.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\acs.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINXP\system32\WgaTray.exe
C:\WINXP\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Crawler\CToolbar.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60430
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60430
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60430
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60430
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60430
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{676534D7-7D1E-4789-94C7-7A7089325854}: NameServer = 85.255.112.117,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF6A050C-6239-4437-9519-8C0ACD61D36B}: NameServer = 85.255.112.117,85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINXP\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 8122 bytes

Moderator informieren

HCK
Gast

Re: Virus im Arbeitsspeicher

« Antwort #1 am: 27.03.09, 16:53:38 »

[X] - O17 - HKLM\System\CCS\Services\Tcpip\..\{676534D7-7D1E-4789-94C7-7A7089325854}: NameServer = 85.255.112.117,85.255.112.121
[X] - O17 - HKLM\System\CCS\Services\Tcpip\..\{BF6A050C-6239-4437-9519-8C0ACD61D36B}: NameServer = 85.255.112.117,85.255.112.121
[X] - O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
[X] - O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
[X] - O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121

Deine Daten laufen über:
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
phone: +380487311011
fax-no: +380487502499

Sofort vom Netz ,verseuch deine Freunde nicht !

Formatieren & Neu installieren !!

NEUE Passwörter (alle !!) vergeben !!!

Moderator informieren

ersguterjunge (7.378)

35x Beste Antwort

50x "Danke"

Re: Virus im Arbeitsspeicher

« Antwort #2 am: 27.03.09, 18:25:43 »

Hat dir diese Antwort geholfen?

Schleunigst formatieren, dein PC ist nicht mehr "deiner"!!

Moderator informieren

robinho25
Gast

Re: Virus im Arbeitsspeicher

« Antwort #3 am: 27.03.09, 22:02:48 »

vielen dank
ich hab jetzt meinen pc formatiert und bin grad dabei meine passw.... zu ändern.

Moderator informieren

ersguterjunge (7.378)

35x Beste Antwort

50x "Danke"

Re: Virus im Arbeitsspeicher

« Antwort #4 am: 27.03.09, 22:25:36 »

Hat dir diese Antwort geholfen?

Sehr gut =)

Mach direkt en Image dann haste keine Probleme mehr.

Moderator informieren

megagonzo (524)

7x Beste Antwort

1x "Danke"

Re: Virus im Arbeitsspeicher

« Antwort #5 am: 28.03.09, 12:09:17 »

Hat dir diese Antwort geholfen?

Und in Zukunft bitte nur mit eingeschränktem Bennutzerkonto arbeiten.

Moderator informieren

addddmn
Gast

Re: Virus im Arbeitsspeicher

« Antwort #6 am: 28.03.09, 12:56:34 »

Hallo,
Wollt nur sagen hatte auch das Problem vor einem monat habe windows neuinstalliert und passw geändert meine frage was sind die odessa hacker ``?

Moderator informieren

ersguterjunge (7.378)

35x Beste Antwort

50x "Danke"

Re: Virus im Arbeitsspeicher

« Antwort #7 am: 28.03.09, 13:03:08 »

Hat dir diese Antwort geholfen?

Die verseuchten PCs laufen über einen Server in der Ukraine um genauer zu sein Odessa. Somit werden die Daten etc. abgefangen und es kann die volle Kontrolle über dein System erlangt werden.

Moderator informieren

addddmn
Gast

Re: Virus im Arbeitsspeicher

« Antwort #8 am: 28.03.09, 13:08:27 »

Kann man die nicht ürgend wie anzeigen ?

Moderator informieren

ersguterjunge (7.378)

35x Beste Antwort

50x "Danke"

Re: Virus im Arbeitsspeicher

« Antwort #9 am: 28.03.09, 13:13:56 »

Hat dir diese Antwort geholfen?