Hilfe, seltsamer Virus!!!

Hallo,
ich hab mir wohl letztens beim surfen nen Virus eingefangen. Sowohl antivir als auch adaware können ihn nicht finden und ich weiß nicht wie er heißt. Ich beschreibe euch mal die symptome, vielleicht weiß ja jemand wie ich ihn wegbekomme.

Wenn ich den Computer hochfahre funktioniert mein Autostart nicht mehr, ich muss antivir... also selbst starten.
Wenn ich ins Internet gehe ist meine Startseite geändert. Er verlinkt mich auf martfinder.com. Was das für ne Seite ist weiß ich nicht, ich klicke immer schnell was anderes in den Favoriten an weil ich nicht noch nen Virus haben will.
Außerdem gehen meine CD-Laufwerke auf und wieder zu wenn ich mich ins Internet einlogge.
Nach einer kurzern Zeit öffnet sich dann ein Internetexploxerfenster mit der Meldung:
"Warning!
System detected illegal access to your computer!
Your computer infected by "W32.HLLP.Spreada.B.spy v2.016" password-stealing virus.
Somebody with IP adress 105.147.97.248 (Nigeria) is trying to get access to your computer throw port 443.
Your privacy and security are in danger.

To get info on how to remove this virus clic "ok"


Außerdem schaltet sich mein Computer alle paar Stunden von alleine aus und Outlook scheint auch betroffen zu sein.


Ich habe mir jetzt mal hijack this runter geladen und den logfile von so nem automatischen Logfileauswerter auswerten lassen. Da kommt dann folgendes raus:

O19 - User stylesheet: C:\WINDOWS\windows.dat --> eventuell böse

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) --> unnötig

MSIE: Internet Explorer v6.00 (6.00.2600.0000) --> eventuell veraltet

Ich habe allerdings nicht so die große Ahnung von Computern und weiß nicht so recht was ich davon halten soll.

Es wäre echt toll wenn mir jemand helfen könnte!!!

Vielen lieben Dank!
Schnitzelmann

 

Hallo,
gehe mal bei der automatischen Auswertung auf "Auswertung speichern" und poste dann den Link hier her, dann kann man sich ein umfassenderes Bild machen.


Grüße Jasager

 

Ojeh.
@schnitzelmann
ab sofort kein homebanking und Einkäufe im Web mehr, nicht mehr ebay besuchen, nach der Reinigungsaktion/Neuaufsetzen? UNBEDINGT ALLE Zugänge und Passwörter/logins ändern !!!!!

 

Hallo,
@steppl
das halte ich noch für verfrüht:

Das kann ja auch nur Adware o.ä. sein das diese Meldung anzeigt, es ist ja kein Virenscanner der der diesen Virus identifiziert hat.


Grüße Jasager

 

Hallo,

hier ist der Link zur Logfileauswertung:
http://www.hijackthis.de/logfiles/fb3da38dc695f15574e481bca8a173f0.html

@steppl: Kennst du den Virus?
Vom homebanking und ebay... halte ich mich erstmal fern, allerding musste ich mich bei meiner emailaddy einloggen. Kann da was schlimmes passieren?

TakeCare
Schnitzelmann

 

*grübel* Jo, sieht so aus.. Aber ich habe ihm ja nichts schlimmes empfohlen. Sicher ist sicher...

Übrigens, schnitzelmann: Ist das Logfile wirklich vollständig?

 

Wenn man das nicht "spreada.." schreibt, sondern "spreda", kommt das bei raus:

http://www.google.de/search?hl=de&q=W32.HLLP.Spreda.B&btnG=Suche&meta=

 

http://www.symantec.com.sg/avcenter/venc/data/w32.hllp.spreda.b.spy.html

 

Hallo,
also erstmal:

Also damit kannst du deine anderen Sicherheitsmassnahmen wie Virenscanner und Firewall vergessen. Das wichtigste zum Thema Sicherheit ist immer die neusten Patches von Microsoft aufspielen, also SP2 aufspielen und danach die weiteren Patches.
Dieser Eintrag hier macht mich stutzig, der könnte auf eine Infektion hindeuten:
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

Lass mal Escan drüberlaufen (im abgesicherten Modus (F8 beim booten drücken)) und poste mal was der so rausspuckt.

Grüße Jasager

 

Denke schon dass der logfile vollständig ist, hab den Text der sich im editor öffnet in den logfileauwerter eingefügt, oder mach ich da was falsch?

Ich kann meine Windows... leider nicht auf dem neusten Stand halten weil ich nur ein Modem hab. Würde ich mir alle ServicePacks runterladen die ich brauche wäre ich ca 3 Wochen lang am Saugen... ;-)
Ich werd mir das ServicePack 2 aber mal auf CD geben lassen. Vielleicht hilft das ja.

Ich lade jetzt mal escan runter und versuche es mal in Gang zu bekommen.

Danke schonmal!!!

 

Hallo,
als kleiner Tipp, Microsoft verschickt das SP2 auch, siehe hier
Aber das brauchst du erst installieren wenn das System sauber ist, schauen wir mal was Escan meldet.


Grüße Jasager

 

Hallo,
öffne mal noch mal das Logfile und suche einfach nach dem Stichwort "infected", die Einträge die dann erscheinen kannst du posten. Lösche mal das Logfile das du oben gepostet hast, so große Beiträge werden hier nicht gerne gesehen.


Grüße Jasager

 

Hier noch mal die Kurzform, ich hoffe ich hab alles auffällige aus dem Log gefunden:

File C:\WINDOWS\SYSTEM32\DRIVERS\SYSTEMSVR.SYS infected by "Trojan.Win32.StartPage.xq" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\System32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\System32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus! Action Taken: No Action Taken.

 

Hallo,
also grundsätzlich würde ich dein System als kompromittiert ansehen und muss neu aufgesetzt werden. Haupsächlich auf Grund von dem hier:
File C:\WINDOWS\System32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus! Action Taken: No Action Taken.
Es läßt sich relativ wenig Information zu dem finden, aber wenn du dir das hier durchliest sieht das nicht gut aus:
http://www.f-secure.de/v-desk/batftp.shtml
Ich gebe dir jetzt mal eine Anleitung wie du das meiste davon wieder los wirst, das ist aber eher dafür gedacht die Zeit zu überbrücken bis du dir das SP2 besorgt hast(weil ohne macht ein Neuaufsetzen sowieso keinen Sinn).
Also hier mal die Anleitung:
Stell erstmal die Systemwiederherstellung ab, das machst indem du im Explorer einen Rechtsklick auf den Arbeitsplatz machst, dann auf Eigenschaften und dort in der Karteikarte "systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" machen.
Dann wieder in den abgesicherten Modus gehen und folgende Dateien löschen:
C:\WINDOWS\SYSTEM32\DRIVERS\SYSTEMSVR.SYS
C:\WINDOWS\System32\o
C:\WINDOWS\windows.dat

Dann gehst du in die Registry (indem du unter Start>>Ausführen Regedit eingibst und suchst dort nach "ExtraSystemService3" und löschst diese Einträge(falls vorhanden).
Du kannst dann noch mit Hijackthis den Eintag fixen:
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

Aber wie gesagt das ganze ist nur eine Übergangslösung und dein System gehört neu aufgesetzt, eine gute Anleitung dazu findest du hier

Ach fast vergessen, danach stellst du die Systemwiederherstellung natürlich wieder an
Grüße Jasager

 

Hi,
na das sind ja mal so richtig üble Nachrichten!!!!
Vielleicht hätte ich mich wirklich mal um so nen Update-Kram kümmern sollen...
Ich hab nach den drei Dateien gesucht die du mir zu löschen empfohlen hast. Hab allerdings nur diese C:\WINDOWS\System32\o gefunden. Wobei ich mir ganz sicher bin, dass ich die windows.dat Datei auch schon mal gesehen hab. Sie ist allerdings nicht auffindbar...

Ich habe mir jetzt mal das Servicepack 2 besorgt und installiert, hat soweit auch ganz gut geklappt. Windows kann ich mir leider nicht neu installieren weil ich keins hier habe und mir das außerdem nicht zutraue. Aber vielleicht hilft das Servicepack ja schonmal ein wenig.
Wie können eigentlich andere Leute auf meinen Computer zugreifen wenn ich ne Firewall am laufen hab? Dann müssten doch eigentlich alle Ports zu sein, oder nicht.
Ich hatte vor dem großen Crash Zonealarm auf dem Computer und jetzt scheine ich zusätzlich noch ne Firewall von Windows am Laufen zu haben...

Eigentlich ist es ja nicht so schlimm wenn jemand auf meinem Computer rumsurft, ich habe jedenfalls keine großartig sensiblen Daten gespeichert, aber es ist trotzdem ein komisches Gefühl.

Wie kann ich eigentlich den Internetexplorer updaten? Vielleicht bekommt der ja auch noch die ein oder andere Sicherheitslücke geschlossen...

TakeCare
Schnitzelman

 

<ironie>Ach, warum denn auch. Der spammt nur mal ein bischen rum, verschickt ein paar Viren im Netz </ironie> und macht auch sonst noch ein paar nicht ganz so liebenswerte Sachen. Und immer schaut's so aus, alsob Du das bist. Wenn das nach Deinem Gusto ist, bitte. Aber wie andere hier schon geschrieben haben, wirst Du um ein Neuaufsetzen nicht herumkommen.

 

...könnte es sein dass User "Schnitzelmann" sein WIN so konfiguriert hat, dass nich alle Dateiendungen ( auch versteckte ) sichtbar sind. Im Explorer unter EXTRAS / Ordneroptionen / Reiter ANSICHT kann man dies auswählen...

@ Papst-Verehrer ( Hertener ) ...Gruß von "PC" bis nach 24 UHR im CPB.....

 

Ich glaube, der TO hat ernstere Probleme als nur nicht angezeigte Dateiendungen.

Und fürs Offtopic gibts die PM-Funktion.

 

Hallo,
hab meinen Compi die ganze Nacht durchrödeln lassen um die letzten servicepacks runter zu laden. Jetzt müsste alles aktuell sein.
Dank Odos Tip hab ich jetzt auch die anderen beiden Dateien (C:\WINDOWS\SYSTEM32\DRIVERS\SYSTEMSVR.SYS und C:\WINDOWS\windows.dat) löschen können.
Ich habe escan nochmal suchen lassen, dabei kam folgendes raus: Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken
außerdem gab es mehr solche Einträge als beim letzten Scan: File C:\WINDOWS\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Ich hoffe mal das Programm hat recht, dass es sich dabei wirklich nicht um nen Virus handelt.

HijackThis findet anscheinend auch nichts auffälliges mehr:
http://www.hijackthis.de/index.php#anl

Wie bekomme ich denn jetzt noch diese AltNet Spyware/Adware weg?
Ist mein Compi ansonsten wieder sauber oder muss ich immer noch fürchten von anderen auszuspioniert zu werden?

Ach ja, hab mir noch ein Prog runtergeladen, das alle Windows-Dienste abschaltet, da das wohl eine der größten Unsicherheitsquellen ist: http://www.dingens.org/#filtering

Vielen Dank für weitere Hilfe!

 

Hallo,
was den Adware Eintrag angeht, würde ich mal Spybot und Adaware drüberlaufen lassen. Der Link zu deinem Hijackthis Logfile funktioniert nicht, du musst erst auf "Auswertung speichern" klicken und dann den Link posten.
Grundsätzlich kann dir halt keiner letzenendes sagen ob dein System sauber ist, da es wie oben gepostet als kompromittiert anzusehen ist, da du dich wohl trotzdem dafür entscheidest es nicht neu aufzusetzen musst du mit dem Problem der Angreifbarkeit leben, also ich würde mit deinem System kein Onlinebanking betreiben.


Grüße Jasager