virus? bitte helft

hallo
bin neu hier und hab ein problem und hoffe dass mir jemand helfen kann!
ich hab mir nen neuen computer gekauft ,t-online installiert(dsl ,flat) und jetzt fangen die probleme an:nach ca 1 std kann ich keine seite mehr aufrufen,bin zwar im netz aber er findet keine seite mehr
dann starte ich den computer neu und dann öffnet sich immer ein fenster mit dem namen c:/windows/system32/wjserc.exe und der computer versucht sich irgendwo einzuloggen.
außerdem entsteht unter c immer eine datei mit dem namen jaahj.exe oder auch jaaahj.exe(wenn ich die lösche entstehen sie immer wiesder neu)

bitte bitte helft mir

ist das ein virus oder muss ich irgendwo was einstellen ?

bis danndann
marcus

 

sieht stark nach nem Virus bzw Trojaner aus lad dir mal ne aktuelle Antivir runter dann die Testversion von TrojanerHunter und ne Firewall aber nicht mit dem Rechner
danach alles scannen und installieren
dann erst wieder ins netz damit wenn trojaner oder dialer drauf ist könnte es teuer werden

 

Unter http://www.chip.de/forum/thread.html?bwthreadid=673244 kannst du etwas darüber nachlesen. Folge den Links für die Ratschläge zur Entfernung.

Du solltest deinen Rechner nicht ohne Firewall mit dem Internet verbinden!

 

Das ist flickschusterei!

Lade dir mal Hijackthis runter. gibt's hier:

http://hjt.klaffke.de/

Da ist auch ne bebilderte anleitung.

Das log-file speicherst du ab und öffnest es mit notepad oder so. Dann alles kopieren und hier posten. Es gibt hier user, die das auswerten können. Bis dahin hat surfen erstmal pause.

Kannst natürlich auch gleich neu formatieren und neu aufspielen. vor dem 1. internet-besuch die firewall aktivieren und dann erstmal alle updates aufspielen.

 

Klasse Idee...installier dir ruhig eine Firewall. Damit bist du dann sicher. Du musst keine Angst mehr vor Dialer und Trojaner verseuchten Seiten haben und kannst bedenkenlos alles anklicken. Denn du hast ja jetzt eine Firewall. Warum habe ich nie diese Probleme? Keine Firewall, kein Router. Noch nie Probleme gehabt. Bewahrheitet sich wieder das Motto, dass das groesste Sicherheitsrisiko 60cm hinter dem Bildschirm sitzt?
Egal...ZoneAlarm rockt.

Nichts desto trotz...der Hjjackthis Log ist ein Anfang...

 

@ KeinPlanVonGarNichts

Im Grunde genommen hast du Recht, das eine Installation einer Firewall Schwachsinn ist. Sie bietet nur eine weitere Angriffsfläche die ausgenutzt werden könnte und suggeriert den User Scheinsicherheit vor.
Infos:
Felix von Leitners Papers zum Thema "Personal Firewalls":
http://www.fefe.de/pffaq/halbesicherheit.txt
http://www.fefe.de/pffaq/

Wie PFWs umgangen werden...
http://home.arcor.de/nhb/pf-umgehen.html
http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
http://www.pcflank.com/art21.htm
http://www.computerbetrug.de/firewall/tunnel.php

...und die Verwundbarkeit eines Systems erhöhen können:
http://www.heise.de/newsticker/meldung/47316

Allerdings zu diesen Thread gibt es nur zwei Möglichkeiten nach dem Neuaufsetzen, sonst wäre das System in sekundenschnelle wieder kompromittiert.
Somit haben meine Vorredner, die Situation schon richtig erkannt:

Die beste:
Dieses Tool laden http://www.ntsvcfg.de/svc2kxp.cmd um die Dienste zu konfigurieren, es zu sichern und nach der Neuinstallation anwenden, weitere Info´s dazu: http://www.ntsvcfg.de
Vorrausetzung der User verwendet Win 2000 oder Win XP

oder

als Notlösung:
Vorläufig eine Firewall installieren und danach das oben genannte Tool runterladen und danach wieder zu deinstallieren (Firewall).

 

Thread ins Software-Board unter Viren, Trojanische Pferde & Co. verschoben!

 

Ich meine auch, das wäre nicht der richtige Thread für eine Firewall-Grundsatzdiskussion.

@ schiwix
Das System neu aufzusetzen ist keine schlechte Idee, da du dir dem PC gerade erst gekauft hast. Ich hätte keinen Bock, an einem neuen PC zu sitzen, auf dem Würmer waren.

Höchstwahrscheinlich hast du XP (neuer Rechner!). Nach der Installation von XP machst du die XP-interne Firewall an: Systemsteuerung -> Netzwerkverbindungen -> Rechtsklick auf auf die Verbindung: Eignschaften -> erweitert: Internetfirewall Häkchen dran.

Ist ungemein wichtig, wie Cidre schon sagt, kannst du sonst gleich wieder von vorne anfangen.

Dann die Win-Updates aufspielen. Da gibt's jetzt eine aktuelle Sammlung (Update-Pack). Schau mal auf der PC-Welt-Startseite.

Wenn du das erledigt hast, kannst du dich über Sinn und Unsinn einer Firewall und über das Verhindern von Malware schlau machen. Links s.o. und

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

 

@ cidre

Klar ist das Tool auf http://www.ntsvcfg.de 1. Wahl. Aber es mit einem kompromittierten System zu laden um es nach der Neuinstallation anzuwenden ist IMHO keine so gute Idee.

(Neuer Post weil "Ändern" mal wieder nicht funktioniert)

 

das erklaer mir mal einer.

 

@ Firenze

Du hast schon recht, aber wer mich kennt, weiß das dies natürlich von einem sauberen System geladen und gesichert werden sollte.
Das nächste Mal schreib ich es genauer.

 

ich verstehs immer noch nicht...was ist daran schlimm, es auf einem frisch installierten system anzuwenden?

 

Daran ist gar nichts schlimm. Nicht gut wäre die Idee, jetzt wo der Threadersteller vielleicht einen Wurm drauf hat, das Tool runterzuladen und dann auf das saubere System anzuwenden.

 

@ KeinPlanVonGarNichts

Da ist ja nicht schlimm, sondern durchaus erforderlich.

Nur macht es eben keinen Sinn, von einen hochgradig versuchten PC, weitere ausführbare Dateien zu sichern und nach der Neuinstallation wieder in das saubere System zu integrieren.
Sonst hast du dir die Arbeit mit dem Neuaufsetzen um sonst gemacht.

Lies bitte mal folgenden Link:
http://oschad.de/wiki/index.php/Kompromittierung

 

schiwix,

nach dem du es nicht geschaft hier ein Profil von HiJack This rein zu posten, muss ich annehmen, das die Sache erledigt ist.
Ansonsten ist dein System komprimentiert. Punkt und aus.

Format "C" ist angesagt, danach die XP eigene Firewall einschalten, ein Script runterladen und ausführen.

http://www.ntsvcfg.de/

oder

http://www.dingens.org/

danach alle Windows Updats auf dem System installieren und sich mal Gedanken machen was du alles anklickst oder nicht!

 

Hallo bajaria,

warum erzählst du alles nochmal?

 

komm jetzt erst von der arbeit nach haus
dank euch erst mal für das feedback

werd mal paar sachen versuchen

 

so hab jetzt mal dieses hijackthis ausprobiert
kann irgendjemand damit was anfangen????
danke schonmal



Logfile of HijackThis v1.97.7
Scan saved at 22:31:02, on 19.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\snlogsvc.exe
C:\Programme\Winamp\Winampa.exe
C:\DOKUME~1\Schiwi\LOKALE~1\Temp\A.tmp.exe
C:\WINDOWS\System32\wjservb.exe
C:\winread.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\StarOffice7\program\soffice.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\explorer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\DOKUME~1\Schiwi\LOKALE~1\Temp\D.tmp.exe
C:\DOKUME~1\Schiwi\LOKALE~1\Temp\E.tmp.exe
C:\eMule\emule.exe
C:\WINDOWS\System32\Iexplor.exe
C:\eMule\Incoming\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CorelDRAW ESSENTIALS14] C:\Programme\Corel\CorelDRAW ESSENTIALS 2\Register\Registration.exe /title="CorelDRAW ESSENTIALS" /date=080104 serial=ES02WBG-0090091-CML
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [yahoo.com] Iexplor.exe
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\nxqwfaps.exe
O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\Schiwi\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [asdferxcv] C:\WINDOWS\System32\wjserc.exe
O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
O4 - HKLM\..\Run: [Services] C:\winread.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [yahoo.com] Iexplor.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [yahoo.com] Iexplor.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38078.0104976852
O17 - HKLM\System\CCS\Services\Tcpip\..\{86A52988-282D-48B3-AD1C-46E7F7CDC8BE}: NameServer = 217.237.151.33 194.25.2.129

 

Hallo schiwix

Starte deinen Rechner im abgesicherten Modus neu (beim Systemstart F8-Taste drücken), starte HijackThis nochmals und scanne dein System. Anschließend lässt du folgende Einträge fixen:

C:\DOKUME~1\Schiwi\LOKALE~1\Temp\A.tmp.exe

C:\winread.exe

C:\DOKUME~1\Schiwi\LOKALE~1\Temp\D.tmp.exe

C:\DOKUME~1\Schiwi\LOKALE~1\Temp\E.tmp.exe

C:\WINDOWS\System32\Iexplor.exe

O4 - HKLM\..\Run: [yahoo.com] Iexplor.exe

O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\Schiwi\LOKALE~1\Temp\E.tmp.exe

O4 - HKLM\..\Run: [Services] C:\winread.exe

O4 - HKCU\..\Run: [yahoo.com] Iexplor.exe

Nach dem Fixen Rechner neu starten und anschließend das System nochmal mit HijackThis scannen. Die neue Log-Datei dann hier posten.

Hier ein deutsche Anleitung zu HijackThis:

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Gruß
Nevok

 

schiwix,

zu deinen Diensten und Prozessen,

http://www.wintotal.de/Spyware/

damit kannst du dich ein wenig einlesen, was gut und schlecht ist.

Diese Liste ird laufend aktualisiert.