K-Bups

hallo erst mal !!

also hab wenig zeit^^.....ich hab neulichs (vor 5tagen) windows neu auf gesetzt

(xp uhr alte version...) ich wollte avira im internet runterladen

naja un dann fehler ich komme net auf die seite *toll* sehr verdächtig

..... naja da es net ging wollte ich avs antivirus down loaden geht auch net

läd net die seite (da ich ein klein wehnig annuhng von viren und so hab^^)

viele viren versuch das laden von antiviren seiten zu blokiere naja ich

dachte das ichn virus habe aber woher??? ich habe nur kurtz im inernet was

nach gegugt kann es sein das die iexplore6 iwin trojaner gezogen hat oder

virus script? (sicherheitzlücke odas so...)


hab dan von anderen pc avira gezogen und wollte avira personal

instaliren fehler 20 : D naja sp4 bräuchte ich^^ oda so^^ kp was sp 1,2,3,4 sind ......naja dan wurds mia zu blöde^^ und hab avast!

gezoge (imma noch vom andern pc über usb) und ging bang bang bang!!!!!

virus alarm sone "fewh.exe" ftp.exe .piv........

ich glaub ftp.exe is son download prog der virus hat glaube ich mal

die ftp zum downloaden für noch mehr malware oderso benutzt

die piv datei wa iwi die anweisungsdatei zb

(hab die ".piv mit notepad geöfnet")
(so ähnlich sah das aus ich hab die piv ausm virus container gelöscht)
ftp.exe -L -n -ip
ip 102.094.45...

und die run datei die den virus mit windows startet entfernt aber irgend wie

startet die imma noch...ich glaub die hat eine system datei überschrieben

da is noch eine "fewh.exe" die sich als svchost kleidet mein avast

ich dachte ich könnte die ftp aus system löschen und die mit einem program ersetzen(das program ist nuan leeres programm das nach 1 sec sich beendet)

ist ftp.exe schonn immer im windows verzeichnis? und wenn istsie für window wichtig? (Updates oada so?)

hia noch hijakthis logfile^^

MfG

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:56:45, on 26.12.2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Alwil Software\Avast5\avastUI.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Nowe Gadu-Gadu\gg.exe
C:\Programme\EzButton VE 2.14\EzButton.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Nowe Gadu-Gadu\spellchecker_gg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Violetta\Eigene Dateien\Downloads\HiJackThis204.exe

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast5] "C:\Programme\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Programme\Nowe Gadu-Gadu\gg.exe"
O4 - Startup: EzButton.lnk = C:\Programme\EzButton VE 2.14\EzButton.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4489 bytes

Leonixx

Ist wohl logisch, wenn man mit einem schweizer Käse ins Internet geht. Bevor man sich mit dem Internet verbindet ist Service Pack 3 erstmal Pflicht. Ausserdem sollte man sich vor dem neuaufsetzen die entsprechenden Sicherheitsprogramme runterladen.

Wenn du die Ahnung hättest, hättest du zumindest erstmal das System abgesichert vor der Verbindung mit dem Internet.

Deine manuellen Löschversuche beeindrucken Schädlinge nur sehr wenig, da sie beim nächsten Neustart wieder aktiv sind und einen neuen Prozess starten.

Meine Empfehlung für dich. Nochmals neuinstallieren. Vorher Service Pack 3 besorgen bzw. auch alle Sicherheitsprogramme. Auf jeden Fall IE 7 installieren, wobei ich dir grundsätzlich vom IE abraten würde, da der Browser zu tief im Betriebssystem eingegraben ist und deshalb mehr Angriffsfläche bietet als Browser die nur aufgesetzt sind wie z.B. Firefox.

Wenn der Rechner wieder läuft, erstmal über die automatische Updatefunktion von Windows das System aktualsieren. Dann kannst du auch wieder ins Internet.

K-Bups

hey hab n back up gemacht

ICH weis firefox is besser (find ich^^) hat man mehr kontrolle was so ab geht^^

Leonixx

Von wann? Das Backup muss wohl sehr alt sein, wenn es noch mit SP1 gemacht wurde.

K-Bups

^^hab noma ntest Malwarebytes' Anti-Malware 1.50.1.1100gemacht logfile:

Malwarebytes

Datenbank Version: 5396

Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

26.12.2010 12:27:07
mbam-log-2010-12-26 (12-27-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 121366
Laufzeit: 8 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Violetta\anwendungsdaten\algs.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Violetta\anwendungsdaten\dns.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Violetta\anwendungsdaten\dnscache.ex e (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Violetta\anwendungsdaten\lsass.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.

Leonixx

Mir scheint das dein Backup schon infiziert ist, oder? Hast du die Original CD nicht mehr?

Es geht hier nicht um schlechter oder besser. Firefox hat ebenso Sicherheitslücken, die aber im allgemeinen schneller geschlossen werden.

K-Bups

doch original cd hab ich noch ich hab gleich nach dem ich xp drauf hatte mit acronis
backup gemacht : D

Leonixx

Dann lade dir Service Pack 2 und 3 herunter. Anschließend neuinstallieren, Service Packs installieren, Treiber drauf und dann machst du ein Image der Grundinstallation mit Acronis. Anschließend dann AV- Programm installieren und Windows Updaten. Das ist die einziste saubere Neuinstallation, mit der du die nächsten Jahre wieder deine Ruhe hast. Oder alternativ eben Image installieren und erstmal Service Packs drauf.

K-Bups

mach ich : D thx für die hilfe^^
MfG