|
|
|
  |
|
|
|
Hallo Zusammen,
ich habe folgendes Problem. Ich wollte gestern ins Internet. Der Pc brauchte schon sehr lange um überhaupt hoch zu fahren. (ca. 10 min.) Was mir schon recht seltsam vorkam. Leider habe ich hier auch nicht so die Ahnung von. Als ich endlich online war, wollte ich bei Zylom ein Spiel spielen, ging auf die Seite, öffnete das Spiel und versuchte dieses zu starten. Bis dahin war auch alles ok. Das Spiel selbst öffnete sich auch, ließ aber nicht zu das es gespielt wird (vielleicht kennt jemand die Seite). Nach 5 min hatte ich die Nase voll und wollte den Pc nochmal komplett runterfahren und neu starten. Ich bin dann auf X gegangen um das Spiel zu schliessen. Da ging es los. Der Pc fing an laut zu piepen, wo ich erst gedacht habe das ich eventuell an unseren Knopf mit dem Bein gekommen bin, schaute kurz runter und sah nur noch das sich was auf dem Bildschirm tat. In sekunden schnelle Seiten wurden aufgebaut, so schnell, das ich nicht mal definieren konnte welche Seiten. Ich versuchte nur noch den Pc auszuschalten um weiteres zu verhindern, da noch kurz ein kleines schwarzes Fenster (was dort vor sich ging, konnte ich leider nicht mehr sehen, da der Pc dann aus ging). Beim Neustart merkte ich, das der Arcor Buttler unsere Internet Security gar nicht mehr korrekt angezeigt wurde. Ich versuchte diese zu öffnen, ging nicht. Habe dann eine Systemwiederherstellung sowie Defragmentierung durchgeführt und mit Hilfe der CD´s einigermassen die Programme wieder hergestellt. Bei der Durchsuchung des Pc´s mit dem Antivirenprogramm hatte ich einmal einen win.32 Virus (welchen kann ich leider nicht genau sagen) sowie einige andere (ich glaub der KillAV.FG war auch dabei) gefunden. Das Antivirenprogramm hat mehrere Versuche benötigt um die betroffenen Dateien zu desinfizieren und zurückzubewegen. Die Internet Security von Gdata scheint immernoch defekt zu sein, da ich ständig die Meldung erhalte "Problembericht senden". Gestern abend habe ich dann versucht nochmal ins Internet zu kommen und habe festgestellt, das sämtliche Mails im Posteingang verschwunden sind. Hat hier jemand Erfahrung mit soetwas und kann mir etwas dazu sagen? Reicht die Desinfizierung? Muss ich eventuell alles nochmal neu installieren? Ich kann leider auch nicht sagen, was da noch so alles passiert bzw. ausgelöst oder zerstört wurde. 
Könnt Ihr mir helfen?
Vielen Dank
Yvonne
|
|
05.03.2008 07:28 |
|
|
|
|
|
|
MoinMoin Yvonne,
also, das klingt erstmal sehr ernst. Bitte schau mal in meine Signatur und mache, soweit möglich, die generelle Anleitung und komme mit einem frischen Hijack-Log wieder.
Dieses Hijack-Log erlaubt mir mal einen Blick in Dein System zu werfen um Dir zu helfen 
Grüssle Heiko
__________________
• Viren Entfernung Anleitung
• automatische Systemwiederherstellung deaktivieren
|
|
|
05.03.2008 08:10 |
|
|
|
|
|
|
Hallo Heiko,
erstmal vielen Dank für Deine schnelle Reaktion. Bin leider auf der Arbeit und kann daher heute abend erst weiter nachschauen. Habe gerade mal meinen Freund gebeten, einen Online Viruscheck mal durchzuführen, da ich ja nicht genau weiss inwiefern die Internet Security von GData beschädigt wurde und ob die Dateien überhaupt richtig desinfiziert wurden.
Mal schauen was da so raus kommt.
Gruß
Yvonne
|
|
|
05.03.2008 11:37 |
|
|
|
|
|
|
Hallo Heiko,
habe gerade den onlinescan von Bitdefener einmal drüber laufen lassen. Keine Viren gefunden. Prima, doch funktioniert ,-)))))
Habe dann doch noch einen Hijack-Log gemacht :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:27:17, on 05.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklun...can8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91854D2A-F83C-4722-AD20-E6272E6671C8}: NameServer = 195.50.140.114 195.50.140.252
O20 - AppInit_DLLs:
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
--
End of file - 5090 bytes
Ich hoffe doch das Du auch nichts mehr findest. Vielen Dank im vorraus schon mal.
Gruß
Yvonne
|
|
|
05.03.2008 19:26 |
|
|
|
|
|
|
Guten morgen Heiko,
vielen Dank für die schnelle Antwort. Scheine ja alles richtig gemacht zu haben. ,-)) Und das wo ich nicht so viel Ahnung davon habe. Ich glaube den Virus oder was auch immer das war hatten wir wohl schon länger unerkannt drauf. Mein Freund hatte mir gestern erzählt, das ihm vor längerer Zeit aufgefallen war das plötzlich die Schriftgröße bei einer Internetseite nicht mehr stimmte bzw. geändert war, obwohl keiner von uns beiden Einstellungen geändert hatte. Werde dann mal heute abend mir die Ad-& Spyware mal vornehmen. Komischerweise wird ein Popup, wenn die Arcor geöffnet wird, auch nicht mehr geblockt. Müsste da auch mal nach den Einstellungen schauen. Soweit ich weiss können Viren und Co. Einstellungen am Pc verändern?
Gruß
Yvonne
|
|
|
06.03.2008 07:21 |
|
|
|
|
|
|
Hallo Heiko,
hab´s gestern leider nicht mehr geschafft nachzuschauen. Werd mich heute dran machen.
Gruß
Yvonne
|
|
|
07.03.2008 06:45 |
|
|
|
|
|
|
Guten morgen Heiko,
habe das Programm runtergeladen. Habe beim scannen des Pc folgenden Virus gefunden, da das Programm wohl darauf zugreifen wollte.
win32
Com-F [Expl]
Datei: Livestrm.dat
(der hat sich aber gut versteckt, da beim onlinescan nichts gefunden wurde) 
sowie 10 Trace.TrackingCookie mit niedrigen Risiko. Folgender Bericht:
a-squared Anti-Malware - Version 3.1
Letztes Update: 08.03.2008 10:45:42
Scan Einstellungen:
Objekte: Speicher, Traces, Cookies, C:\
Archiv Scan: An
Heuristik: An
ADS Scan: An
Scan Beginn: 08.03.2008 10:46:00
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@2o7[1].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adtech[1].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@bs.serving-sys[1].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[1].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@hitbox[2].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@mediaplex[1].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@popup[1].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@serving-sys[1].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@statse.webtrendslive[2].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tradedoubler[2].txt gefunden: Trace.TrackingCookie
Gescannt
Dateien: 95990
Traces: 383041
Cookies: 117
Prozesse: 27
Gefunden
Dateien: 0
Traces: 0
Cookies: 10
Prozesse: 0
Registry Keys: 0
Scan Ende: 08.03.2008 11:51:29
Scan Zeit: 1:05:29
mmh, was bewirkt dieser win32 und was viel wichtiger ist, wie werde ich ihn los?
Vielen Dank und viele Grüße
Yvonne
|
|
|
08.03.2008 11:51 |
|
|
|
|
|
|
Hallo Yvonne, lass die Datei mal hier:
Virustotal
überprüfen.
Was die Cookies betrifft, die bekommst immer beim Besuch einer Webseite drauf. Man könnte sie sperren, damit würdest aber auf viele Webseiten nicht draufkommen. Einige Seiten löschen die automatisch beim verlassen der Seite, andere Cookies werden über den Virenscanner mit gelöscht und dann kann man diese auch über verschiedene Programme löschen bzw. selbst über den I.E. in den Extras/Browserverlauf löschen.../Cookies. Sind aber wiegesagt immer wieder da und schaden normal nicht, deswegen niedriges Risiko.
Nebula_Moon 
|
|
|
09.03.2008 18:27 |
|
|
|
|
|
|
Hallo,
habe versucht die Datei überprüfen zu lassen. Stürzt mittendrin immer ab.
Gib es noch andere Möglichkeiten?
Gruß
Yvonne
|
|
|
14.03.2008 08:34 |
|
|
|
|
|
|
|
