Hilfe, seltsamer Virus!!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von schnitzelmann, 6. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. schnitzelmann

    schnitzelmann ROM

    Registriert seit:
    6. Juli 2005
    Beiträge:
    6
    Hallo,
    ich hab mir wohl letztens beim surfen nen Virus eingefangen. Sowohl antivir als auch adaware können ihn nicht finden und ich weiß nicht wie er heißt. Ich beschreibe euch mal die symptome, vielleicht weiß ja jemand wie ich ihn wegbekomme.

    Wenn ich den Computer hochfahre funktioniert mein Autostart nicht mehr, ich muss antivir... also selbst starten.
    Wenn ich ins Internet gehe ist meine Startseite geändert. Er verlinkt mich auf martfinder.com. Was das für ne Seite ist weiß ich nicht, ich klicke immer schnell was anderes in den Favoriten an weil ich nicht noch nen Virus haben will.
    Außerdem gehen meine CD-Laufwerke auf und wieder zu wenn ich mich ins Internet einlogge.
    Nach einer kurzern Zeit öffnet sich dann ein Internetexploxerfenster mit der Meldung:
    "Warning!
    System detected illegal access to your computer!
    Your computer infected by "W32.HLLP.Spreada.B.spy v2.016" password-stealing virus.
    Somebody with IP adress 105.147.97.248 (Nigeria) is trying to get access to your computer throw port 443.
    Your privacy and security are in danger.

    To get info on how to remove this virus clic "ok"


    Außerdem schaltet sich mein Computer alle paar Stunden von alleine aus und Outlook scheint auch betroffen zu sein.


    Ich habe mir jetzt mal hijack this runter geladen und den logfile von so nem automatischen Logfileauswerter auswerten lassen. Da kommt dann folgendes raus:

    O19 - User stylesheet: C:\WINDOWS\windows.dat --> eventuell böse

    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) --> unnötig

    MSIE: Internet Explorer v6.00 (6.00.2600.0000) --> eventuell veraltet

    Ich habe allerdings nicht so die große Ahnung von Computern und weiß nicht so recht was ich davon halten soll.

    Es wäre echt toll wenn mir jemand helfen könnte!!!

    Vielen lieben Dank!
    Schnitzelmann
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    gehe mal bei der automatischen Auswertung auf "Auswertung speichern" und poste dann den Link hier her, dann kann man sich ein umfassenderes Bild machen.


    Grüße Jasager
     
  3. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ojeh.
    @schnitzelmann
    ab sofort kein homebanking und Einkäufe im Web mehr, nicht mehr ebay besuchen, nach der Reinigungsaktion/Neuaufsetzen? UNBEDINGT ALLE Zugänge und Passwörter/logins ändern !!!!!
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @steppl
    das halte ich noch für verfrüht:
    Das kann ja auch nur Adware o.ä. sein das diese Meldung anzeigt, es ist ja kein Virenscanner der der diesen Virus identifiziert hat.


    Grüße Jasager
     
  5. schnitzelmann

    schnitzelmann ROM

    Registriert seit:
    6. Juli 2005
    Beiträge:
    6
  6. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    *grübel* Jo, sieht so aus.. Aber ich habe ihm ja nichts schlimmes empfohlen. Sicher ist sicher...

    Übrigens, schnitzelmann: Ist das Logfile wirklich vollständig?
     
  7. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
  8. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also erstmal:
    Also damit kannst du deine anderen Sicherheitsmassnahmen wie Virenscanner und Firewall vergessen. Das wichtigste zum Thema Sicherheit ist immer die neusten Patches von Microsoft aufspielen, also SP2 aufspielen und danach die weiteren Patches.
    Dieser Eintrag hier macht mich stutzig, der könnte auf eine Infektion hindeuten:
    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

    Lass mal Escan drüberlaufen (im abgesicherten Modus (F8 beim booten drücken)) und poste mal was der so rausspuckt.

    Grüße Jasager
     
  10. schnitzelmann

    schnitzelmann ROM

    Registriert seit:
    6. Juli 2005
    Beiträge:
    6
    Denke schon dass der logfile vollständig ist, hab den Text der sich im editor öffnet in den logfileauwerter eingefügt, oder mach ich da was falsch?

    Ich kann meine Windows... leider nicht auf dem neusten Stand halten weil ich nur ein Modem hab. Würde ich mir alle ServicePacks runterladen die ich brauche wäre ich ca 3 Wochen lang am Saugen... ;-)
    Ich werd mir das ServicePack 2 aber mal auf CD geben lassen. Vielleicht hilft das ja.

    Ich lade jetzt mal escan runter und versuche es mal in Gang zu bekommen.

    Danke schonmal!!!
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    als kleiner Tipp, Microsoft verschickt das SP2 auch, siehe hier
    Aber das brauchst du erst installieren wenn das System sauber ist, schauen wir mal was Escan meldet.


    Grüße Jasager
     
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    öffne mal noch mal das Logfile und suche einfach nach dem Stichwort "infected", die Einträge die dann erscheinen kannst du posten. Lösche mal das Logfile das du oben gepostet hast, so große Beiträge werden hier nicht gerne gesehen.


    Grüße Jasager
     
  13. schnitzelmann

    schnitzelmann ROM

    Registriert seit:
    6. Juli 2005
    Beiträge:
    6
    Hier noch mal die Kurzform, ich hoffe ich hab alles auffällige aus dem Log gefunden:

    File C:\WINDOWS\SYSTEM32\DRIVERS\SYSTEMSVR.SYS infected by "Trojan.Win32.StartPage.xq" Virus! Action Taken: No Action Taken.

    File C:\WINDOWS\System32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

    File C:\WINDOWS\System32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus! Action Taken: No Action Taken.
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also grundsätzlich würde ich dein System als kompromittiert ansehen und muss neu aufgesetzt werden. Haupsächlich auf Grund von dem hier:
    File C:\WINDOWS\System32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus! Action Taken: No Action Taken.
    Es läßt sich relativ wenig Information zu dem finden, aber wenn du dir das hier durchliest sieht das nicht gut aus:
    http://www.f-secure.de/v-desk/batftp.shtml
    Ich gebe dir jetzt mal eine Anleitung wie du das meiste davon wieder los wirst, das ist aber eher dafür gedacht die Zeit zu überbrücken bis du dir das SP2 besorgt hast(weil ohne macht ein Neuaufsetzen sowieso keinen Sinn).
    Also hier mal die Anleitung:
    Stell erstmal die Systemwiederherstellung ab, das machst indem du im Explorer einen Rechtsklick auf den Arbeitsplatz machst, dann auf Eigenschaften und dort in der Karteikarte "systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" machen.
    Dann wieder in den abgesicherten Modus gehen und folgende Dateien löschen:
    C:\WINDOWS\SYSTEM32\DRIVERS\SYSTEMSVR.SYS
    C:\WINDOWS\System32\o
    C:\WINDOWS\windows.dat

    Dann gehst du in die Registry (indem du unter Start>>Ausführen Regedit eingibst und suchst dort nach "ExtraSystemService3" und löschst diese Einträge(falls vorhanden).
    Du kannst dann noch mit Hijackthis den Eintag fixen:
    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

    Aber wie gesagt das ganze ist nur eine Übergangslösung und dein System gehört neu aufgesetzt, eine gute Anleitung dazu findest du hier

    Ach fast vergessen, danach stellst du die Systemwiederherstellung natürlich wieder an
    Grüße Jasager
     
  15. schnitzelmann

    schnitzelmann ROM

    Registriert seit:
    6. Juli 2005
    Beiträge:
    6
    Hi,
    na das sind ja mal so richtig üble Nachrichten!!!!
    Vielleicht hätte ich mich wirklich mal um so nen Update-Kram kümmern sollen...
    Ich hab nach den drei Dateien gesucht die du mir zu löschen empfohlen hast. Hab allerdings nur diese C:\WINDOWS\System32\o gefunden. Wobei ich mir ganz sicher bin, dass ich die windows.dat Datei auch schon mal gesehen hab. Sie ist allerdings nicht auffindbar...

    Ich habe mir jetzt mal das Servicepack 2 besorgt und installiert, hat soweit auch ganz gut geklappt. Windows kann ich mir leider nicht neu installieren weil ich keins hier habe und mir das außerdem nicht zutraue. Aber vielleicht hilft das Servicepack ja schonmal ein wenig.
    Wie können eigentlich andere Leute auf meinen Computer zugreifen wenn ich ne Firewall am laufen hab? Dann müssten doch eigentlich alle Ports zu sein, oder nicht.
    Ich hatte vor dem großen Crash Zonealarm auf dem Computer und jetzt scheine ich zusätzlich noch ne Firewall von Windows am Laufen zu haben...

    Eigentlich ist es ja nicht so schlimm wenn jemand auf meinem Computer rumsurft, ich habe jedenfalls keine großartig sensiblen Daten gespeichert, aber es ist trotzdem ein komisches Gefühl.

    Wie kann ich eigentlich den Internetexplorer updaten? Vielleicht bekommt der ja auch noch die ein oder andere Sicherheitslücke geschlossen...

    TakeCare
    Schnitzelman
     
  16. Hertener

    Hertener Kbyte

    Registriert seit:
    7. November 2002
    Beiträge:
    407
    <ironie>Ach, warum denn auch. Der spammt nur mal ein bischen rum, verschickt ein paar Viren im Netz </ironie> und macht auch sonst noch ein paar nicht ganz so liebenswerte Sachen. Und immer schaut's so aus, alsob Du das bist. Wenn das nach Deinem Gusto ist, bitte. Aber wie andere hier schon geschrieben haben, wirst Du um ein Neuaufsetzen nicht herumkommen. :comprob:
     
  17. ODO

    ODO Megabyte

    Registriert seit:
    14. September 2000
    Beiträge:
    1.053
    ...könnte es sein dass User "Schnitzelmann" sein WIN so konfiguriert hat, dass nich alle Dateiendungen ( auch versteckte ) sichtbar sind. Im Explorer unter EXTRAS / Ordneroptionen / Reiter ANSICHT kann man dies auswählen...

    @ Papst-Verehrer ( Hertener ) ...Gruß von "PC" bis nach 24 UHR im CPB..... ;) ;)
     
  18. Winnie The Pooh

    Winnie The Pooh Viertel Gigabyte

    Registriert seit:
    12. September 2004
    Beiträge:
    3.247
    Ich glaube, der TO hat ernstere Probleme als nur nicht angezeigte Dateiendungen.

    Und fürs Offtopic gibts die PM-Funktion.
     
  19. schnitzelmann

    schnitzelmann ROM

    Registriert seit:
    6. Juli 2005
    Beiträge:
    6
    Hallo,
    hab meinen Compi die ganze Nacht durchrödeln lassen um die letzten servicepacks runter zu laden. Jetzt müsste alles aktuell sein.
    Dank Odos Tip hab ich jetzt auch die anderen beiden Dateien (C:\WINDOWS\SYSTEM32\DRIVERS\SYSTEMSVR.SYS und C:\WINDOWS\windows.dat) löschen können.
    Ich habe escan nochmal suchen lassen, dabei kam folgendes raus: Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken
    außerdem gab es mehr solche Einträge als beim letzten Scan: File C:\WINDOWS\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
    Ich hoffe mal das Programm hat recht, dass es sich dabei wirklich nicht um nen Virus handelt.

    HijackThis findet anscheinend auch nichts auffälliges mehr:
    http://www.hijackthis.de/index.php#anl

    Wie bekomme ich denn jetzt noch diese AltNet Spyware/Adware weg?
    Ist mein Compi ansonsten wieder sauber oder muss ich immer noch fürchten von anderen auszuspioniert zu werden?

    Ach ja, hab mir noch ein Prog runtergeladen, das alle Windows-Dienste abschaltet, da das wohl eine der größten Unsicherheitsquellen ist: http://www.dingens.org/#filtering

    Vielen Dank für weitere Hilfe!
     
  20. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    was den Adware Eintrag angeht, würde ich mal Spybot und Adaware drüberlaufen lassen. Der Link zu deinem Hijackthis Logfile funktioniert nicht, du musst erst auf "Auswertung speichern" klicken und dann den Link posten.
    Grundsätzlich kann dir halt keiner letzenendes sagen ob dein System sauber ist, da es wie oben gepostet als kompromittiert anzusehen ist, da du dich wohl trotzdem dafür entscheidest es nicht neu aufzusetzen musst du mit dem Problem der Angreifbarkeit leben, also ich würde mit deinem System kein Onlinebanking betreiben.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen