Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Win XP: Virus Hilfe

Also ich ahtt auf meiem Rechner ein Virus...
Der interntexplorer hat sich immer von allein geöffnet und werbung angezeigt.
Später hat das Virus dann alle meine .exe dateien lahm gelegt.
Konnte gerade noch "Malwarebytes " herunter laden und das dann im abgesichterten Modus usführen.
hat sich auch gelohnt...alles wieder wie vorher...FAST

Wenn ich jzz mit firefox oder auch mit IE ins internet will kann mir z.b. Google.de nicht angezeigt werden.

Netzwerkverbindung habe ich jedoch, da ich auf mein heimnetzwerk zugreifen kann.
Außerdem funktionieren meine Online-Banking Seiten...?

Arbeite mit Win 7 64bit
Rechner HP xw6200
Hatte noch nie ein derartiges Problem!

Was kann ich tun?
Danke



Antworten zu Win XP: Virus Hilfe:

Ganz ehrlich:Daten sichern und Neuinstallation.
Auf einem bereits infiziertem Rechner nachträglich noch eine Sicherheitssoftware wie Malwarebytes z.B.zu installieren ist nie eine gute Idee.Diverse Sicherheitsprogramme sollten sich vorher schon auf dem System befinden.Interessant wäre zu erfahren, was dein Antiviren-Programm für Schädlinge gefunden hat und was Malwarebytes alles so ans Tageslicht befördert hat.Vielleicht mal das Log hier reinkopieren.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7019

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

04.07.2011 19:48:11
mbam-log-2011-07-04 (19-48-11).txt

Art des Suchlaufs: Flash-Scan
Durchsuchte Objekte: 127679
Laufzeit: 24 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
c:\Users\Jan\AppData\Roaming\dwm.exe (Trojan.Backdoor.Gen) -> 1572 -> Unloaded process successfully.
c:\Users\Jan\AppData\Roaming\microsoft\conhost.exe (Trojan.Backdoor.Gen) -> 1644 -> Unloaded process successfully.
c:\Users\Jan\AppData\Local\Temp\csrss.exe (Trojan.Backdoor.Gen) -> 1780 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\DVYHI42JUG (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\R4B1ZAOPF5 (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Backdoor.Gen) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Backdoor.Gen) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\R4B1ZAOPF5 (Trojan.FraudPack.Gen) -> Value: R4B1ZAOPF5 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\gA01602LnCbD01602 (Rogue.RemovalTool.M) -> Value: gA01602LnCbD01602 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Backdoor.Gen) -> Bad: (C:\Users\Jan\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Jan\AppData\Roaming\dwm.exe (Trojan.Backdoor.Gen) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\microsoft\conhost.exe (Trojan.Backdoor.Gen) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Local\Temp\csrss.exe (Trojan.Backdoor.Gen) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Local\Temp\Ozy.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Local\Temp\0.7709403985398299.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\plugs\mmc116.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\plugs\mmc138.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\plugs\mmc19131890.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\programdata\ga01602lncbd01602\ga01602lncbd01602.exe (Rogue.RemovalTool.M) -> Quarantined and deleted successfully.
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Das mit der Neuinstallation ist mir klar...
werd ich auch machen, sobald mein Prüfungsstress vorbei ist.
Das dauert noch 2 Wochen...solange suche ich eine prfisorische Überganslösung

Die sollte es aber bei der Vielzahl der Infizierungen nicht geben.Das System ist unterwandert und nicht mehr als Vertrauenswürdig anzusehen.Von einem sauberen Rechner aus,alle Passwörter ändern!Und System neuinstallieren.Alles andere macht doch keinen Sinn!
Und Malwarebytes ersetzt kein Antivirenprogramm!Welches Antivirenprogramm läuft den auf deinem Rechner?Gab es dort auch Funde?Dazu hast du gar nichts gesagt.

Windows 6.1.7600 (Safe Mode)

Hier handelt es sich um eine Volumenlizenz, nämlich Windows 7 Enterprise, die man als normal Sterblicher NICHT hat und auch nicht so einfach erwerben kann. ;)
Frage: woher stammt die???

Zum anderen: warum wurde im abgesicherten Modus gescannt? Das bringt nicht unbedingt alles ans Tageslicht ;)

Bedeutend besser wäre hier, von einer AV-Boot-CD den Rechner zu scannen. ;)

Onlinebanking wurde betrieben? Da wäre ich mir nicht so sicher, dass deine Zugangsdaten nicht ausspioniert wurden, weil du über einen Proxy geleitet wurdest ;D

 http://support.kaspersky.com/de/viruses/rescuedisk/main?qid=207621612

Windows 6.1.7600 (Safe Mode)...das hatte ich doch glatt übersehen....und @Jbengelm meldet sich nicht mehr... ::)

Da es sich bei den Infizierungen auch um Backdoor [url=http://www.computerhilfen.de/fachbegriffe-t-Trojaner.html]Trojaner[/url] handelt,ist hier sowieso nichts mehr zu machen.

Definition Backdoor Trojaner:
-Kompromittierung(Bloßstellung)des Systems
-Alle Dateien auch AV Anwendungen können manipuliert werden
-Sensible Daten des Benutzers bzw. des Systems sind als bekannt anzusehen
-Es besteht die Möglichkeit des Fernzugriffs durch dritte   

« Letzte Änderung: 05.07.11, 19:48:43 von Exit »

 

Zitat
.und @Jbengelm meldet sich nicht mehr..

Jaja, was so ein Scan doch mitunter alles ans Tageslicht befördert... ;D

Dumm gelaufen.Aber vielleicht bekommen wir ja noch eine plausible Antwort... ;D 

« Letzte Änderung: 05.07.11, 22:03:26 von Exit »

 

Zitat
Aber vielleicht bekommen wir ja noch eine plausible Antwort.

Was träumst du Nachts?

ALLE illegalen User melden sich nie wieder, z.B. auch hier nicht:

http://www.computerhilfen.de/hilfen-7-373114-0.html

Gib mal "rzr-Dateien" in Google ein ;)

Die ersten Treffer: boerse.bz, torrent, emule, gully, ......

Klingelt was??  ;)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Also mal langsam...
Die WindowsVersion habe ich über meinen Arbeitgeber zum Schnäppchenpreis erworben!

Dass ich auf Seiten wie

Zitat
Die ersten Treffer: boerse.bz, torrent, emule, gully, ......
war gebe ich zu...
und zwar habe ich nach nem Lizen-Key für Acrobat Standard gesucht...(nicht wirklich für mich, da ich auch dieses Programm vom Arbeitgeber quasi geschenkt bekommen habe!)

Habe hier auch eine Datei downgeloaded.
Aber nach dem mein AntiVir diese datei als gefährlich eingestuft hat diese ohne Sie auszuführen wieder gelöscht.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

würde hier generell neuinstalieren und garnicht erst lange fackeln.
eine übergangslösung wäre ein paldo linux auf extra platte.bisherige platte kann man dann nur lesend einbinden.
alles andere wären kinderien und sicherlich nicht brauchbar,besonders für die daten,die dann eventuel verschwinden könnten.
alle externe datenträger,die bislang am rechner waren,bevor die infektion bemerkt wurde,dürfen auch als verseucht angesehen werden.
viel vergnügen mit den reinigungsarbeiten...

 

Zitat
Aber nach dem mein AntiVir diese datei als gefährlich eingestuft hat diese ohne Sie auszuführen wieder gelöscht.  

Dir scheint nicht klar zu sein, dass Avira lediglich ein Placebo ist und nie, niemals etwas verhindert, geschweige denn bereinigt?

Die Suche nach dem Key für die sehr teure Acrobat-Software (Download eines Keygen) sollte der Verursacher sein. ;)
Zitat
Die WindowsVersion habe ich über meinen Arbeitgeber zum Schnäppchenpreis erworben!
 
Somit OK, falls dieser wirklich eine solche Volumenlizenz besitzt. ;) 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
Somit OK, falls dieser wirklich eine solche Volumenlizenz besitzt. Wink 

Tut er...die Firma hat über 40000 Mitarbeiter weltweit und ist Maktführer in vielen Bereichen!

Werd Wohl solange aucf meinen 2. Rechner Ausweichen müssen!
Habe von diesem die Festplatten als etzlaufwerke hinzugefügt!?
Sind diese auch verseucht?
Anmerkungen haben sie bis jzz noch nicht gemacht!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

alle bis zum bemerken der infektion verbundenen laufwerke,auf die geschrieben werden konnte,können verseucht sein,müssen es aber nicht.
ich würde ich paranoid sein und jegliches weitere risiko vermeiden,so unangenehm dir das erscheint.


« Windows Vista: mailsWindows 7: undefinierbares Fenster beim Starten von firefox »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!