Virus-Infektion, aber kein Progr kann ihn beseitigen

[totti_steffi]

Hall Ihr lieben,

so langsam bin ich echt am verzweifeln ...

Ich glaube es ist ein neuer Virus unterwegs, und ich habe Ihn bei mir zu besuch

Vorgersten hat alles angefangen, ich habe ICQ an gehabt, eine Nachricht bekommen mit einem Link drinen, ich habe aber nicht drauf geklickt, und schon gings los...

Ich hatte in der Tasklleiste einen roten Kreis, mit einem Kreuz drin, irgend ein dubioses AntiSpy ware Program fing an meinen PC zu scannern, ich habe es natürlich SOFORT abgebrochen und deinstalliert. Danach habe ich mit Ewido Scurity Suite gescannt (ist auch sonst sehr zuverlässig) Trojaner.Downloader gefunden, und beseitigt.

Seid dem war mein Desktop Hintergrund blau, mit einem schwarzen Textfeld mit roter Schrift Spyware infekted.

Ich habe alles mögliche versucht den Hintergrund zu ändern, aber es geht nicht. Irgend wann habe ich entnerft aufgegeben, und bin schlafen gegangen. Als ich gestern morgen meinen PC wieder an gemacht habe, hatte ich die selben Symthome wie z.B. sie Lovesan verursacht hat.

Mein PC ist immer wieder runter gefahren. Mit shutdown.exe -a war das aber zu stoppen, ich habe den PC inzwischen mit Ad-Aware gesacnnt, Spybot installiert, und Stinger findet auch nichts. Pandavirus habe ich aus lauter Verzweifelung auch ausprobiert, leider auch ohne Erfolg.

Habe auch versucht wie auf dieser Seite beschrieben, den Virus manuell zu entfernen, aber keinen Virus gefunden.

Heute morgen habe ich den Panda aktualiesiert, gescannt, nichts, deinstalliert, und nochmal mit ewido gesacnnt (natürlich auch vorher geupdatet) nichts ...

Das Problem mit dem selbst runterfahren wird von Panda geblockt, aber nicht vernichtet

Hintergrund geht immer noch nicht zu ändern, und der PC schnekt durch die weltgeschichte

Ich weiß echt nicht, was ich noch tun kann... ich muß dringent arbeiten, habe aber angst, dass ich den Virus weiter verbreite ...

Ich habe auch keine Ahnung welche Datei mir Probleme macht ...

Bitte bitte helft mir mal wieder ...

DAAAANKE !!!

Noch was vergessen, ich nutze normaler weise den CrazyBrowser, aber mit dem kann ich keine I-net Seite anzeigen lassen, jetzt bin ich über den i-Explorer drin ...

Editiert am 14/11/2005 von totti_steffi

 

[Kajaphas]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Hallo Steffi,

dass ein PC runtergefahren wird hab ich bisher nur von Würmern gehört.
Ich würde dir empfehlen mit HijachThis einen Log zu erstellen und hier zu poste, hier die Anleitung:

Please, Anmelden or Registrieren to view URLs content!

Wenn dieser sauber ist nochmal mit Spybot und Ad-Aware scannen, danach schaun wir mal weiter.

MfG

 

[totti_steffi]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Hallo Kajaphas,

danke für die schnelle Reaktion

Please, Anmelden or Registrieren to view URLs content!

... bin keine Profi, aber mir ist gerade ganz schlcht geworden ...

Ich glaube das sieht gar nicht mal so gut aus ... super viele URL´s, ich denke da versorgt er mich mit neuen Problemen ...

Habe versucht eine System Wiederherstellung zu machen, habe ein komische Fehlermeldung bekommen:

Enhanced On-Access Antivirus Scanner Process, hat einen Fehler ermittelt und musste beendet werden

... ???

Liebe Grüße

Steffi

 

[Dualdisk]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Ciao Steffi,

ja , der Schädling hat ganze Arbeit geleistet :mad2:

:note:
Wichtig wäre jetzt keinesfalls Online Banking zu tätigen
Wie man sieht, sind ausser Italienischen auch deutsche Banken in dem Logfile.

Ich empfehle dir die kostenlosen Programme Spybot Search& Destroy
sowie Microsoft AntiSpyware. (Wird demnächst Windows Defender heissen)

Please, Anmelden or Registrieren to view URLs content!

Please, Anmelden or Registrieren to view URLs content!

Nach der Installation von Spybot, Updates herunterladen, Databank immunisieren, danach scannen, alle Beanstandungen markieren und säubern lassen.
Wahrscheinlich musst du diesen Vorgang mehrmals wiederholen und wirst aufgefordert Windows neuzustarten.
Spybot wird fragen ob er nach dem Bootvorgang automatisch mitstarten darf, dies bejahen.

Mit diesen Beiden Programmen soweit wie möglich säubern lassen, danach ein neues Hijackthis Logfile uploaden.

PS: Wichtig wäre natürlich das zweite Windows Service Pack (SP2) zu installieren.

 

[totti_steffi]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Ciao Dualdisk,

isch habe fertisch,... aber leider siehts nicht wirklich besser aus

Please, Anmelden or Registrieren to view URLs content!

Ich habe das Gefühl, dass sobald ich mit dem I-Net verbunden bin, alles wieder zurück kommt

Ist das ein fieses virtuelles Unkraut

P.S: Du hast mich erwischt ...

Werde SP2 installieren, sobald ich dieses sch*** Unkaut los geworden bin

 

[Kajaphas]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Also Steffi folgendes solltest du mit HiJachThis fixen (Häckchen dran und auf fix checked klicken):

O1 - Hosts: 216.180.239.154 bancopostaonline.poste.it
O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154 mybank.bybank.it
O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154 ibank.internationalbanking.barclays.com
O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154

Please, Anmelden or Registrieren to view URLs content!

O1 - Hosts: 216.180.239.154 welcome7.co-operativebank.co.uk
O1 - Hosts: 216.180.239.154 welcome11.co-operativebankonline.co.uk
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) -

Please, Anmelden or Registrieren to view URLs content!

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Danach wie empfohlen Ad-Aware und Spybot drüber laufen lassen und und noch mal berichten, evtl auch mit neuer Log.

MfG

 

[totti_steffi]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Also...

fast hätte ich gejubbelt ... mein Desktop Hintergrund ist jetzt wenigstens schon mal der, den ich mir ausgesucht habe, aber ich kann Ihn immer noch nicht ändern.

Adware hat 4 Objekte gefunden und beseitigt, Spybot hat nichts gefunden.

Gerade hatte ich arge Probleme mich aus dem Internet aus zu loggen, habe dann aus verzweifelung einen Neustart gemacht. Nach dem Neustart, habe ich die Scanns mit Spybot und Adware gemacht, wollte mich wieder ins Internet einwählen, aber hatte keine Chance, Systemwiederherstellung hat auch nicht funktioniert ... konnte die Internet Verbindung auch nicht anklicken, wenn ich auf "Eigenschaften" geklickt habe, kam "ein unerwarteter Fehler ist aufgetreten"

Habe dann das Kabel komlett aus der Dose gezogen, jetzt omme ich wieder ins Netz, aber das Problem mit dem automatischen Neustart ist wieder da

Please, Anmelden or Registrieren to view URLs content!

Kopieren und Einfügen funzt auch nicht ....

 

[totti_steffi]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

So langsam wird´s lustig ...

nein, Spaß beiseite, ich bekomme langsam Angst ...

Ich konnte gerade den CrazyBrowser nicht nutzen, weil er von einem anderen Programm benutzt wurde?!

Und dann ist der PC sofort wieder runter gefahren, diesmal ohne Vorwarnung

Hiiiiiiielfeeeeeeeeeeeee ... !!!

Ich weiß Ihr habt das drauf

P.S: Panda blockt einmal den Vorgang mit dem Runterfahren, wenn ich auf mehr Infos klicke öffnet sich diese Seite, vielleicht könnt Ihr damit ja mehr anfangen

Please, Anmelden or Registrieren to view URLs content!

 

[Kajaphas]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Also ich würde noch folgendes fixen:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -

Please, Anmelden or Registrieren to view URLs content!

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Und das hier kann ich net so zuordnen, weiß du was das ist?

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -

Please, Anmelden or Registrieren to view URLs content!

Danach nochmal Spybot updaten und scannen und immuniesieren.

MfG

 

[stefbeer]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Hallo!

Dann versuchen wir Plan B!

Starte deinen PC im abgesicherten Modus. (Anleitung

Please, Anmelden or Registrieren to view URLs content!

!)

Danach Startest du HiJackThis, und Löschst Folgende Einträge:

---

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe (Müsste eigentlich svchos.exe heißen!)
O4 - HKLM\..\Run: [viktqzkmlkseqhlryb] C:\WINDOWS\System32\nrkxzha.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\System32\mvwt.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [viktqzkmlkseqhlryb] C:\WINDOWS\System32\nrkxzha.exe

---

Und dann auch im Abgesicherten Modus Folgende Dateien Im Explorer Löschen:

---

C:\DOKUME~1\MASTER~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\TEMP\~2.tmp.exe
C:\WINDOWS\SYSTEM32\mvwt.exe
C:\WINDOWS\System32\iexplore.exe

---

Danach den PC neu Starten. Mache nach dem Neustart wieder einen Log! KEINE INTERNETVERBINDUNG AUFBAUEN, INTERNET EXPLORER NICHT STARTEN!!! SOFORT LOGFILE ERSTELLEN!

[COLOR= red]Wenn du in HiJackThis Einträge Löschst, musst du zuvor aus dem Internet gehen und alle Offenen Programme Schließen![/COLOR]

Und nun den neuen HiJackThis-Log hier Hochladen.

Tschüss,
stefbeer

 

[totti_steffi]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

ER... ist einfach nicht klein zu kriegen ...

Musste mich gerade schon wieder mit shutdown.exe -a vor dem Absturz retten

Ich find´s ziemlich gemein, dabei geben wir uns doch alle sooo viel Mühe ...

Kopieren und Einfügen funzt immer noch nicht, was ich ziemlich ätzend finde

_VWUPSRV.EXE lässt sich nicht löschen ... das Problem habe ich aber schon länger ...

Mir ist eben aufgefallen, dass im Temp Ordner komische Unterordner sind, die ich auch nicht löschen kann, der Name ist zu lang ... da sind einfach edliche "z" oder "y" ...

Bevor ich das im Abgesicherten Modus versucht habe, hat der Panda einiges vernichtet, ich hab´s mir mal aufgeschrieben, vielleicht hilft´s ja ...

W32/Poebot.FN.worm
W32/Gaobot.FVK.worm
W32/Baxbo.A

Bck/Paebot.BJ
Ifj/Agent.ADA

Please, Anmelden or Registrieren to view URLs content!

 

[Dualdisk]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Schade, hab einen ausführlichen Beitrag geschrieben, leider hat das Posten nicht geklappt, alles wieder weg.

Hier eine Kurzfassung:

Nach Stefbeer seinen hilfreichen Tipps sieht dein Logfile nun immer besser aus.

Eigentlich müsste O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\MASTER~1\LOKALE~1\TEMP\_VWUPSRV.EXE ungefährlich sein, glaub aber kaum dass in dem obengenannten Ordner normalerweise hingehört.

O8 - Extra context menu item: &Search - h**p://bar.mywebsearch.com/menusearch.html?p=ZS
Dies gehört auch gefixt.

In c:\Dokumente und Einstellung\ Dein Username Master ....\ Lokale Einstellungen den Inhalt des TEMP sowie des Temporary Internetfiles Ordners löschen.

Antivir erneut installieren und Festplatte scannen.
Am Ende im Report die Befunde lesen.
Hoffentlich vertragen sich PANDA und Antivir ....

 

[Kajaphas]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Wie ich oben schon mal geschrieben hab kommt das automatsche runterfahren von einem Wurm und du hast hier ja auch gepostet das dein Scanner da was gefunden hat:

W32/Poebot.FN.worm
W32/Gaobot.FVK.worm
W32/Baxbo.A

Um das mit dem runterfahren in den Griff zu bekommen würd ich sagen du scannst nochmal und suchst hier:

Please, Anmelden or Registrieren to view URLs content!

nach dem passenden Removaltool.
Falls die passenden Removaltools nichts finden meld dich nochmal dann musst du vorher was umstellen.

 

[anonymum2]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Hallo totti_steffi

Diese solltest Du auch löschen:
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O8 - Extra context menu item: &Search -

Please, Anmelden or Registrieren to view URLs content!

Auch gelöschte Wurmdateien finden sich noch im Prefetch-Ordner wieder. Deshalb sollte der Inhalt
von Prefetch komplett gelöscht werden. Zuletzt den ganzen Fehleitragsmüll mit Reg-Supreme löschen. (offline)
SP 2 zu installieren ist unerlässlich.

gruss rolfpower

 

[totti_steffi]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Hallo, da bin ich wieder

Leider bin ich immer noch nicht wirklich weiter gekommen

Für die Würmer die ich mit dem Panda gefunden haben finde ich leider kein Removaltool, außer für W32/Gaobot ... aber nicht für den den ich habe, der hat ja noch ein FVK hinten dran hängen ...

Gefixt habe ich alles was Ihr mir noch geraten habt.

Leide habe ich keinen blassen schimmer was ein Prefetch-Ordner ist

... und Reg-Supreme, ist dass nicht das selbe wie Tuneup utillities?

Panda sagt mir wenn der "gefärliche Vorgang" geblockt wird: "Zugeordnete Datei: C\Windows\System32\svchost.exe"

Kann ich die Datei fixen? ... Oder passiert dann ein unglück?

Wie sieht das aus, wenn ich mir eine neue Festplatte besorge, da Windows drauf mache, und meine alte erst mal als 2. benutze, kann ich dann erstmal so arbeiten, oder muß ich damit rechnen, dass die neue Festplatte dann auch verseucht ist?

Liebe Grüße

Steffi

P.S: Im Ordner Temp (Lokale einstellungen) kann ich nicht alle Ordner löschen, 3 haben zu langeNamen, um gelöscht zu werden, umbenennen kann ich sie nicht, da sin einfach edliche "z" und "y" ... ???

Editiert am 15/11/2005 von totti_steffi

 

[Dualdisk]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Ciao Steffi,

Zu Deiner Reg Supreme Frage:

Ja beide machen das gleiche: Die Registry ausmisten.
Beide sind shareware, aber am besten beide Ausführen.
Ich finde dass Reg Supreme viel mehr tote Registry einträge findet als Tuneup.
Tipp: Nach dem Prüfvorgang der Registry, kannst du Ruhig alles markieren was Reg Supreme beanstandet. Bei mir ist es halt so dass das Programm nach der Säuberung, beim zweiten und dritten Scanvorgang immer wieder die gleichen Registryeinträge beanstandet. Manche einträge werden bei mir nicht vollständig wie erwünscht entfernt. Trotz dass ich alle Häckchen gesetzt habe

Please, Anmelden or Registrieren to view URLs content!

Dort RegSupreme 1.3 anklicken

Prefetch:
Windows Start Taste, dann auf ===> "Ausführen" , dann einfach Prefetch eintippen und OK drücken. So komst du automatisch zu Deinem Prefetch Ordner.
Gewöhnlich befindet er sich auf C:\WINDOWS\Prefetch

Das mit der neuen Festplatte und Windows-Neu Ausspielen ist eine Gute Sache.
Theoretisch wenn man die dann die zweite (alte) Slave-Festplatte nicht darauf zugreift oder keinerlei Datein zu der neuen Platte verschiebst, kann eigentlich nichts passieren. Nur zur Datensicherung von wichtigen Dokumenten direkt auf CD-R's sichern.
Wenn du dann alle wichtigen Daten gerettet hast, würde ich diese Platte entweder bei Freunden unter MS-DOS Formatieren, oder diese Platte auf einen Zweitrechner einbauen, als Upgrade, dann dort Windows Neu aufspielen mit Formatierung etc.

:note: :note: :note:
Doch Vorsicht:
Die Virenküche ist sehr vielseitg, es gibt bestimmt Schädlinge die auf andere Datenträger übergreifen. Ich würde das mit der neuen Platte die Meinung vo Rolfpower oder Heavybyte dazu abwarten.

Grüsse
Alpay

 

[totti_steffi]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Danke Alpay,...

ich bin jetzt ein bischen weiter, ... ich stüze nicht mehr ab

Aber meinen Desktop Hintergrund kann ich immer noch nicht ändern...

Woher weiß ich denn eigentlich, wann ich den sch*** Wurm (oder so) nicht mehr hab? Ich mein wie kann ich mir sicher sein, dass er weg ist? Mein PC ist jetzt nur noch super langsam, auch bein Hochfahren, aber es sieht für mich schon viel besser aus, da er nicht mehr einfach so runter fährt ...

Ich habe mir a² runter geladen 9xMalware gefunden...

Ich glaube ich werd noch verrückt

Was ist mit den Ordnern im Temp Ordner, die sich nicht löschen lassen, da habe ich so ein komischen verdacht ...

Prefetch Ordner habe ich geleert,... da war einiges drin ...

Danke für Eure Hilfe

Steffi

P.S: Mit der neuen Festplatte warte ich dann noch

 

[anonymum2]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Hallo totti_steffi

Eine svchost.exe zu löschen bedeutet immer Ärger. Sollte sie eine andere Schreibweise,wie
z.B. sychost, sxchost ,SVCHOST aufweisen,handelt es sich um Malwarebefall (Virus,Wurm,Trojaner)

Da durch den Einsatz von übermässig vielen Programmen,Tools und Eingiffen das System
nicht mehr stabil bleiben wird, rate ich zur Neuinstallalation. Durch vorhergehende Formatierung
ist die Festplatte erst mal clean und es ist auch gleichzeitig die Gelegenheit ,die grössere Festplatte als Master einzubauen. Deine gesicherten Daten müssten vorher auf Viren untersucht werden, damit die neue Konfiguration nicht sofort wieder infiziert wird.

gruss rolfpower

 

[Hecki58]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Please, Anmelden or Registrieren to view URLs content!

Wenn Du die genaue Bezeichnung von Deinen Schädling gefunden hast, dann hilft Dir der Link weiter.

Gruß Hecki

 

[totti_steffi]

Re: Virus-Infektion, aber kein Progr kann ihn beseitigen

Ich danke euch nochmal für die Mühe.

Rolfpower wird wohl recht haben, und ich werde nicht drum herum kommen, den PC neu zu machen, aaaber ich habe noch eine Chanze ... (Danke für den Link Hecki)

Jetzt bin ich aber reif für´s Bett

Werde Euch auf dem laufenden halten.

Liebe Grüße & gute Nacht

Steffi