Merkwürdiger Virenbefall

M

Mona64

gehört zum Inventar
Hallo zusammen,

nachdem Ihr mir hier im Januar zum Thema 'Firewall - Anleitung zur vollständigen Deinstallation von ZoneAlarmPro 3' schon einmal so gut geholfen habt, möchte ich es nochmals mit einer Frage versuchen.

Selber Nachbar, selber Computer, ähnliches Szenario:

Und zwar kam mein Nachbar vorletzte Woche aus dem Urlaub, stellte seinen PC an (Win 2000, Baujahr 1998) und hatte darauf plötzlich (beim Gang ins Internet) einen immensen Virenbefall (ca. 700 wurden angezeigt). Zudem hatte er wohl ein Programm drauf, das er nicht selbst aufgespielt hat, wie er sagte. Es war auch niemand anderer während des Urlaubs am PC. Das zur Vorgeschichte.

Um welches Programm es sich handelt, kann ich nicht sagen, er hatte es schon gelöscht. Mein Zustand, als ich den PC gestern sah:

Einwahl ist Internet ist zwar möglich, Seite baut sich jedoch extremst langsam auf. Anti Vir versucht ein Update zu starten, hatte jedoch auch nach 30 Minuten noch keine Verbindung zum Server aufgebaut. Search & Destroy arbeitet und lud (einen Teil) Updates runter und konnte die wohl auch ausführen und entsprechende Fehler löschen.

Search & Destroy meldete diverse Probleme: System Startup0 Global Entry: Wert hinzugefügt $$, Wert gelöscht in Windows DLL Locker, Wert hinzugefügt: rundll32.exe in windows/system32/tqyw....

Der noch laufende Anti Vir (ohne Update) meldete Viren und Trojaner wie: Trojanisches Pferd in System32/iiihf.dll tr/vundo.gen, worm/rbot.101376.70 in windows/system32/winIogon.exe, TR/Spy.VBstat.B1 in Dokumenten, Heur/Malware, die nicht identifiziert werden konnte in Dokumenten.

Dazu kommen, wie gesagt, die langen Ladezeiten, die bei einer Speicherauslastung von 11 % absolut nicht zu erklären sind. Mein Nachbar klagt auch darüber, daß er manche Seite nicht richtig aufgerufen bekommt, bspw. Banken oder auch Download AntiVir etc.

Hat jemand eine Erklärung? Ich bin selbstverständlich für alle Tips dankbar.

Danke im voraus.

Gruß,

Mona.
 
Sieht recht heftig aus.

Erste Hilfe hier wäre: Stinger
Kasperskys Virenscanner, der nicht installiert werden muß.

Denn so, wie es ausschaut, läßt der Befall keinen vernünftigen Scan von installierten Programmen zu.
Stinger herunterladen, auf dem PC abspeichern und starten.

Nächster Schritt, wäre ein Logfile von HijackThis.
Allerdings wird hier einiges an Löschungen und Handarbeit von Nöten sein,
was sicher nicht mit ein paar Posts erledigt ist.
Den Log kannst du gerne hier posten, hier kann einiges gefixt werden.

Für tr/vundo.gen und TR/Spy.VBstat.B1 gibt es den VundoFix, herunterladen und ausführen.

Nächster Schritt wäre hier ein Post, wie der Zustand des PC danach aussieht.

Gerade lese ich noch:
Virenbefall ca. 700?

Vielleicht sollte doch über eine Datensicherung mit anschließender Formatierung
der befallenen Partition und Neuinstallation des Betriebssystems nachgedacht werden.

Der Zeitaufwand dürfte in etwa gleich sein, aber mit weitaus weniger Arbeitsaufwand und Fehlerquote.
 
Gerade lese ich noch:
Virenbefall ca. 700?

Vielleicht sollte doch über eine Datensicherung mit anschließender Formatierung der
befallenen Partition und Neuinstallation des Betriebssystems nachgedacht werden.

Der Zeitaufwand dürfte in etwa gleich sein, aber mit weitaus weniger Arbeitsaufwand
und Fehlerquote.
Zum Vergrößern anklicken....
Unterschreibe ich sofort!
 
Brummelchen schrieb:
Unterschreibe ich sofort!
Zum Vergrößern anklicken....
Ich auch!

Zumal sich, speziell bei einigen Wurmvarianten, auch nach deren Entfernung noch nicht alle Lücken wieder geschlossen haben müssen und das System immer noch offen für weitere Angriffe sein kann, selbst wenn der eigentlche Schad-Code weg ist...


Ein weiterer Grund, warum man von seinem System regelmäßig Backups machen sollte...
 
Hi zusammen,

zuerst mal danke für die Tips. Ich finde Ihr habt recht mit dem Neuaufspielen, aber ich bin da nicht so unbedingt der geeignete Kandidat für. Das ist mir alles zu aufwendig. Hört sich vielleicht komisch an, weil auch das, was hier gemacht werden muß ist aufwendig. Aber es treibt mich zur Verzweiflung diese ganzen Treiber zusammenzusuchen usw. usf. Nach meinem letzten Versuch an meinem eigenen PC funktioniert meine Tastatur mit Trackball immer noch nicht. Keine Ahnung, woran es liegt, es geht partout nicht mehr. Und von daher bin ich bei diesem Thema etwas sehr skeptisch:-///

Gruß,

Mona.
 
Aufwendig ist vermutlich nur die Datensicherung,
bis da alles zusammengeklaubt wurde, das kann dauern.

Denn meist sind PC Besitzer die größten Messis, was ihre Daten betrifft.

Aber dein Zeitaufwand für Formatierung und Neuinstallation, incl. Treiber,
dürfte etwa nicht mehr wie 2 Std. dauern, evtl. 2,5, je nach Rechner.
Das Scannen nach Viren, bereinigen und Fehlersuche schätze ich mit 1 - 1,5 Tagen - grob.

Zusammensuchen braucht man sich die Trfeiber seltener, wenn man zum einen
die Mainboard CD , die immer mitgeliefert wird und eine Verbindung zum Internet
besitzt, über das Treiberaktualsierungen fast automatisch durchgeführt werden können.

Also, ich wäre eher skeptisch bei dem Rechner,
dem nach so einer Attacke Windows nicht neu aufgespielt werden wird.
 
Da halt's ich's mit Arcanoa:
Plätten und das OS neu aufziehen - alles andere wäre bei dem Fall Bockmist.
So ne versaubeutelte Kiste läuft trotz aller Virenbeseitigungsmaßnahmen nie wieder richtig (sorry- aber so ein Befall - Wo treibt sich der Knabe so rum :D )
 
Hallo,

jetzt gibt es das File. Stinger und Vundo Fix haben mächtig gerödelt, Stinger hat diverse Viren gelöscht, aber die $$-Zeichen im File geben mir echte Rätsel auf.

Mein Nachbar bereitet sich mental aufs Neuaufspielen vor und mich würde mal brennend interessieren, was diesen massiven Virenbefall (über Nacht) ausgelöst hat.

Gruß,

Mona.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:06:44, on 25.05.2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ScanPanel\ScnPanel.exe
C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Digitale Telefonauskunft\Digitale Telefonauskunft 2005\KSTART32.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svshost.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
F:\stinger.exe
F:\VundoFix.exe
C:\WINDOWS\System32\taskmgr.exe
F:\HiJackThis_v2.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Tiscali Deutschland
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Tiscali Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Tiscali Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Tiscali
O2 - BHO: AcroIEHlprObj Class - {xxx} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {xxx} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {xxx} - C:\WINDOWS\System32\qommlmm.dll
O2 - BHO: (no name) - {xxx} - C:\WINDOWS\System32\iiihf.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {xxx} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {xxx} - (no file)
O4 - HKLM\..\Run: [SystemTray] $$
O4 - HKLM\..\Run: [NeroFilterCheck] $$
O4 - HKLM\..\Run: [NWEReboot] $$
O4 - HKLM\..\Run: [AVGCtrl] $$
O4 - HKLM\..\Run: [Advanced DHTML Enable] $$
O4 - HKLM\..\Run: [SysTray.Exe] $$
O4 - HKLM\..\Run: [Windows DLL Loader] $$
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

(User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Run Service Vxdrun] vxddirectx32.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\Program Files\ScanPanel\ScnPanel.exe
O4 - Global Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works

Shared\wkcalrem.exe
O4 - Global Startup: Digitale Telefonauskunft 2005 - Schnellstarter.lnk = C:\Programme\Digitale Telefonauskunft\Digitale

Telefonauskunft 2005\KSTART32.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {xxx} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {xxx} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {xxx} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {xxx} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {xxx} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {xxx} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {xxx} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O20 - Winlogon Notify: iiihf - C:\WINDOWS\System32\iiihf.dll
O20 - Winlogon Notify: qommlmm - C:\WINDOWS\SYSTEM32\qommlmm.dll
O22 - SharedTaskScheduler: Browseui preloader - {xxx} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {xxx} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. -

C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Remote PEpng Manager - Unknown owner - C:\WINDOWS\system32\svshost.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - (no file)
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

--
End of file - 6197 bytes
 
Du reparierst ja immer noch. Naja - mir soll's wurscht sein, wie manche Leutz ihre Zeit verplempern.
 
Danke, liebes Brummelchen, dafür daß ich mir jetzt für meine Nettigkeit meinem Nachbarn gegenüber sowas anhören muß... Und ich würde meine Zeit auch gerne mit was anderem verbringen, glaub es mir. Konsequenz wäre jetzt natürlich einfach gar nichts zu tun, oder? Das sind die Leute, die mich auch leicht nerven, wenn ich selbst mal ein Problem habe, wie z.B. wie unten beschrieben mit meinem Trackball. Fühlt sich keiner für zuständig.

Schrieb ich nicht, daß ich nicht gut im Aufspielen bin? Kannst gerne vorbeikommen und das für mich machen. Ich bin kein Computerfreak, ich bemühe mich halt nur im Rahmen meiner Möglichkeit.

Gruß,

Mona.

PS: Kaspersky wollte sich direkt installieren, da jemand anderer den Download machen sollte (wegen "nur" Modem und der Menge des Dateidownloads).
 
OK,

ein Versuch ist es wert, zur Zeit sehe ich erstmal nur 2 Verdächtige.
Aber um es abzu kürzen:

@Mona,
kopiere den kompletten Log hier rein und lasse ihn auswerten.
Jetzt hast du eine komplette Liste aller Einträge, die du mit dem HijackThis fixen. kannst.
Das sind alle Einträge, die mit einem Fragezeichen oder Kreuz markiert sind.

Nach einem PC - Neustart sind sicher einige Einträge wieder vorhanden.
Deshalb einen neuen Scan machen und den Log nochmals hier posten.
Fertig sind wir sicher noch nicht.

"Kaspersky wollte sich direkt installieren, da jemand anderer den Download machen sollte"

Den Satz verstehe ich nicht ganz, sorry.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben