Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Windows Vista: Malware/Viren gefunden, Computer ferngesteuert?

Hallo zusammen!!!

Ich habe seit heute abend ein Problem an meinem Acer-Notebook. Ich bin mir nicht sicher, aber es ist doch sehr wahrscheinlich, dass es mit dem Anschließen einer externen Festplatte an mein Notebook, zu tun hat, denn seit diesem Zeitpunkt erst habe ich das Problem.

Zunächst wurde der Rechner kurzzeitig sehr langsam, als ich einige Dateien aufgerufen habe, die sich auf der externen Platte geöffnet habe. Dann habe ich die Verbindung getrennt zwischen PC und Festplatte und bald bekam im Anschluss folgende Antivir-Meldungen:

-------------

In der Datei 'C:\Users\acer\AppData\Local\Temp\arxnsmowec.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/TDss.ayva.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\arxnsmowec.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/TDss.ayva.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\wocxseamrn.exe'
wurde ein Virus oder unerwünschtes Programm 'W32/Virut.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\wocxseamrn.exe'
wurde ein Virus oder unerwünschtes Programm 'W32/Virut.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\excwamsrno.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\cmsernwaox.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.gy.9' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\cmsernwaox.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.gy.9' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\newcorxmas.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\newcorxmas.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Temp\smcxwoaenr.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Scar.bueu' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\acer\AppData\Local\Temp\smcxwoaenr.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Scar.bueu' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Users\acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KGXQ307V\get[2].js'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen



---------

Also machte ich einen Malwarebytes-Scan.

logfile hier:

---------

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18828

31.03.2010 21:33:38
mbam-log-2010-03-31 (21-33-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 221828
Laufzeit: 1 Stunde(n), 10 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\acer\AppData\Local\Temp\acermwnxso.exe (Trojan.Hiloti) -> No action taken.
C:\Users\acer\AppData\Local\Temp\Cm1.exe (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.

-----------

Das zweite Logfile, das ich just nach dem Beenden&Neustarten- Befehl von Malwarebytes kam, ist hier:

-----------

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18828

31.03.2010 21:34:16
mbam-log-2010-03-31 (21-34-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 221828
Laufzeit: 1 Stunde(n), 10 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\acer\AppData\Local\Temp\acermwnxso.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Users\acer\AppData\Local\Temp\Cm1.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

-------------

leider ließ sich Malwarebytes danach nicht neustarten und musste von Vista automatisch beendet werden, nachdem erstmal eine Zeit verging. Dazu fiel auf, dass während des Scans ständig popup-Fenster des Internet-Explorers aufpoppten mit ** Netiquette! **igem Werbe-Zeugs, obwohl ich diesen Explorer so gut wie nie verwende. Außerdem ist nach dem Neustart des Computer eine Meldung gekommen, dass einige Autostart-Programme geblockt werden, welche, wird aber nicht angezeigt.

Könnt Ihr mir helfen?

Was muss ich jetzt tun?


Vielen Dank!!!

Achja: Hijack funktioniert irgendwie auch nicht, könnte aber daran lieben, dass ich es als Administrator ausführen müsste, oder?






Mein Computer-System:
   
Mein PC ist etwa 0-2 Jahre alt.


Auftretende Fehlermeldung:

Ich erhalte eine Fehlermeldung beim Starten von Windows.
Die Fehlermeldung lautet: Wie unten/oben berichtet: Autostart Programme geblockt...



Antworten zu Windows Vista: Malware/Viren gefunden, Computer ferngesteuert?:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Beste Lösung:

Formatieren, neu installieren.

Wenn Risiko verbleiben soll:

Eine AV-Boot-CD erstellen (als ISO-Image), davon den Rechner starten und und bereinigen lassen.

http://download.bitdefender.com/rescue_cd/

http://downloads1.kaspersky-labs.com/utils/bootdisk/

http://www.avast.com/de-de/bart-cd

http://www.freedrweb.com/livecd/

Hallo!
vielen Dank für Deine Antwort!
Nunja. Das ist zunächst mal äußerst unbefriedigend. Würdest Du mir kurz erläutern, an was es denn liegt, was ich falsch gemacht habe, und was ich nun machen soll? Außer alles "plattmachen"?


Drei Fragen verbleiben darüber hinaus:


1.)Was mache ich denn mit meinen wichtigen Dateien, die auf dem Rechner sind? Kann man die retten (Fotos, Dokumente, etc...)?

2.) Was mache ich mit der externen Festplatte? hier sind noch mehr wichtige Daten (archivierte Fotos, Dokumente etc...)

3.) Ich habe auf dem Notebook eine VISTA und zwei DATA-Festplatten. Sind diese etwa auch befallen? Also ALLE meine Daten komplett unbrauchbar/befallen?

Vielen Dank noch einmal für die Antwort, aber irgendwie werde ich aus "alles plattmachen" Hinweise nicht besonders schlau ;)

 

Gelöscht, da ich auf Pöbeleien keine Lust mehr habe.   ::)

« Letzte Änderung: 01.04.10, 13:51:45 von greenivy »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
Die empfohlene Dr-Web-CD kann ich dir übrigens nicht ans herz legen.
Bla bla, bla bal bla...

Funktioniert tadellos!!

Also lasse den Müll hier, @greenivy, und kümmere dich um deinen eigenen Dreck!!

PS:

Solltest du hier noch mehr Schwach_sinn verzapfen, so lasse ich dich sperren, klar jetzt?

Sie hat bei MIR NICHT funktioniert. Allein das habe ich behauptet und mir ist unklar, wieso ich das nicht äußern darf ...

?????????????

hä????


??????????

mal ganz ehrlich, ich bin hier nicht hergekommen, um irgendwelche gerkänkten eitelkeiten zu bedienen (o.ggf. zu suchen)..........

noch jemand nen tipp? ;)
bzw. antworten auf meine fragen?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
noch jemand nen tipp?
bzw. antworten auf meine fragen? 
Die Tipps stehen oben in Antwort #1.

Wenn @greenivy der Meinung ist, die Dr.Web-CD laufe nicht (was sie aber tut), so nimm eine der 3 anderen Varianten!

na gut. und wie erstelle ich eine iso cd?

Ich traus mich ja kaum zu sagen ....  ;)
Falls du kein anderes Brennprogramm hast, kannst du es mit dem hier machen: http://download.freenet.de/system/brennprogramme/download-BurnCDCC-2.00a-englisch--6296.xhtml

Damit habe ich ganz persönlich gute Erfahrungen gemacht und es ist sehr leicht zu bedienen. 

http://download.bitdefender.com/rescue_cd/
---> habe eine cd erstellt mit dem empfohlenen Programm, dann natürlich im Bootmenu auf CD umgestellt, er bootet aber nicht von CD, weshalb auch immer, mein Arbeitsplatz zeigt mir auch an, dass die CD angeblich leer sei...

http://downloads1.kaspersky-labs.com/utils/bootdisk/
----> habe vergeblich versucht, mit dem empfohlenen Programm hieraus eine boot-cd zu erstellen... es sagt mir, dass die datei zu klein wäre

http://www.avast.com/de-de/bart-cd
----> das hier kostet Geld und ist daher für mich nicht wirklich eine Alternative

http://www.freedrweb.com/livecd/
----> bleibt also wirklich nur noch das hier....

vielleicht muss ich hinzufügen, dass keinerlei iso als image brennen funktioniert... also bei jedem iso ist die dvd hinterher leer........

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wenn alles nicht hilft :
Scannen mit LiveCD .....
http://www.free-av.com/de/tools/12/avira_antivir_rescue_system.html
ist nur am Download-Tag aktuell!!

Beschreibung
http://www.pcwelt.de/start/sicherheit/antivirus/news/189739/neue_version_des_avira_antivir_rescue_system/

ggf beim Nachbarn / Kumpel brennen .....

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Warum man hier ein total unbekanntes und einseitiges Brennprogramm empfiehlt, noch dazu veraltet und auf Englisch, bleibt mir ein Rätsel. ::)

Auf der Homepage des "BurnCDCC-Entwicklers" gibt es dieses Brennprogramm schon garnicht mehr!!

Also: was vernünftiges benutzen!

http://cdburnerxp.se/

Dort die Funktion "Iso-Image" verwenden zum Brennen, langsame Brenngeschwindigkeit ebenfalls einstellen.

Sonst sind noch mehr Rohlinge "nicht lesbar", nicht bootfähig oder "leer"!  ;)


« Windows XP: csrcs nicht gefundenWin XP: Löschen von Hacktool fehlgeschlagen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Festplatte
Die Festplatte ist ein interner Datenträger im Computer. Man unterscheidet nach den Größen der Gehäuse in 2,5" (hauptsächlich für Notebooks...

Notebook
Ein Notebook ist ein kleiner, zusammklappbarer Computer für unterwegs. Er besteht aus Tastatur, Touchpad oder ähnlichem Mausersatz, Bildschirm und dem Innenlebe...

Multiprozessor Rechner
Zu dieser speziellen Kategorie der Multiprozessor Rechnern von Computern zählen jene, die nicht auf einer einzelnen CPU basieren, sondern auf zwei oder mehr Prozesso...