Welcher Virus ist das?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Suzanne, 2. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Suzanne

    Suzanne ROM

    Registriert seit:
    2. Januar 2006
    Beiträge:
    6
    Liebe Forumsteilnehmer,

    seit etwa 10 Tagen macht mir mein Rechner Schwierigkeiten, indem er einfach runterfährt und neu startet. Mir fiel dann noch auf, dass das Norton-Antivirenprogramm deaktiviert war und sich auch nicht aktivieren ließ.
    Desweiteren war mir suspekt, dass ich andauernd (d.h. bei jedem Neustart) die Mitteilung bekam, dass neue Microsoft-updates verfügbar seien.

    Sämtliche Gegentools für Trojaner, Würmer oder Viren (Sasser, Sober, Mydoom etc.) habe ich mir bei Symantec runtergeladen und im abgesicherten Modus über den Rechner gespielt - nichts (d.h. es wurde nichts gefunden).

    Mittlerweile verhält es sich so, dass ich meinen PC nicht mehr benutzten kann, denn sofort nach dem Start fährt das System wieder runter. :mad: Ich muss gleichzeitig einräumen, dass ich zwar meine Updates beim Virenprogramm immer brav gemacht habe, allerdings mit den Microsoft-Updates in den letzten Wochen aus Zeitgründen etwas nachlässig war. Dateianhänge von Mails (die ich täglich en masse bekomme), mache ich grundsätzlich nciht auf.

    Kann mir jemand einen HInweis geben, um welchen Virus es sich hier handeln kann? Kann es außerdem sein, dass manche Viren von den Gegentools nicht erkennt werden (s.o.) ?

    Danke & nachträglich ein gutes neues Jahr!

    Suzanne
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
  3. Suzanne

    Suzanne ROM

    Registriert seit:
    2. Januar 2006
    Beiträge:
    6
    Hallo Nevok,

    vielen Dank für Deine rasche Antwort. Ich habe das Hijack-Programm nun über beide Festplatten laufen lassen. Merkwüridgerweise hat er auf der Festplatte die "krankt" nichts gefunden (vielleicht liegt das daran, weil sie im abgesicherten Modus gecheckt wurde? Anders gehts nicht, weil mir der Rechner sonst andauernd runterfährt), hier ist das Ergebnis:
    http://www.hijackthis.de/logfiles/92d83eb216fbc719ce1e6312dc51258e.html


    Auf der "gesunden" Festplatte hingegen (ich habe praktisch zwei verschiedenen Betriebssysteme) erkennt er etwas "Böses", mit dem ich jetzt nichts anfangen kann; fällt Dir etwas auf?
    http://www.hijackthis.de/logfiles/c2dcf226a9122072a2a06811a44c0fe0.html

    Danke & Viele Grüße!

    Suzanne
     
  4. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    @Suzanne,

    das Logfile ist nicht vollständig. Dieser Teil:
    ist auch wichtig.
     
  5. Suzanne

    Suzanne ROM

    Registriert seit:
    2. Januar 2006
    Beiträge:
    6
  6. Suzanne

    Suzanne ROM

    Registriert seit:
    2. Januar 2006
    Beiträge:
    6
    Nochmal ich...

    Ich bin beim zweiten Protokoll noch über Folgendes gestolpert. Zwar ist

    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll

    als "gut" bewertet, es heißt aber weiter:

    Einige Programme sind hier schlecht. Das eingegebene Programm ([02478D38-C3F9-4efb-9B51-7695ECA05670] - Treffer: 02478D38-C3F9-4efb-9B51-7695ECA05670) wurde überprüft. Trefferquote: 99 %

    Weiß jemand, was das zu bedeuten hat? Ich kann auch mit den Zahlen nichts anfangen.

    Danke & viele Grüße!
     
  7. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Zum 2. Log:
    -Das System ist veraltet, da gehört SP2 drauf, unbedingt!

    -Der besagte Eintrag ist von deinem Yahoo-Messenger, wenn du ihn nicht brauchst, fixe den Eintrag und deinstalliere ihn.

    -O4 - HKCU\..\Run: [YAW Autostart] "D:\Programme\YAW\yaw.exe
    Ein Anti-Dialer-Programm, das hast du bestimmt installiert...

    -D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    Maus- bzw. Tastaturtreiber

    Jetzt mache mal einen Rechtsklick auf Arbeitsplatz, dann Eigenschaften-Erweitert. Dann unten "Starten und Wiederherstellen-Einstellungen" und Häkchen WEG bei "Automatisch Neustart durchführen". Jetzt solltest du beim nächsten normalen Start eine Fehlermeldung/bluescreen kriegen, da steht dann etwas wie z.B.

    oder so ähnlich, und eine Zahlenkolonne...aufschreiben und hier posten.


    Jetzt zum ersten Log:
    -C:\Programme\Apache Group\Apache\Apache.exe
    da soll mal ein Server-Fachmann was zu sagen...

    -R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    Müll. Da sollte eigentlich deine Startseite stehen. Fixen und eigene Startseite einrichten.

    So, warten wir mal ab, was der Bluescreen sagt.
     
  8. frajoti

    frajoti Viertel Gigabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    3.670
    Ich bin zwar kein Fachmann, aber wenn es um diesen unnötigen Eintrag geht. Dieser wird anscheinend benötigt, um den Dienst zu starten. Ich hatte den auch mal gefixt und mich dann gewundert, warum meine lokalen PHP-Anwendungen nicht mehr liefen. Grund: der Apache Dienst war nicht gestartet.
     
  9. Suzanne

    Suzanne ROM

    Registriert seit:
    2. Januar 2006
    Beiträge:
    6
    Hallo Steppl, hallo Frajoti,

    erst einmal Danke für die Unterstützung! Ich habe jetzt den Yahoo-Eintrag gefixt und die Anwendung runtergeworfen, ebenso den automatischen Neustart deaktiviert.
    Beim Bluescreen kam daraufhin folgende Info heraus (neben dem Hinweis, ich möge mich die Auslastung des Systems überprüfen und mich nach BIOS-Updates umsehen):

    *** stop: 0x0000008E (0xC000001D, 0xBF86011E, 0xF8437A1C, 0x000000000)
    *** win32k.sys - Adress BF86011E base at BF800000, Datestamp 3f73195d

    Ich kann leider damit nichts anfangen, d.h. ich weiß leider nicht, wo ich mit diesen Hexzahlen suchen kann.

    Das mit der Apache-Anwendung dürfte imho schon passen - da habe ich mir mal einen kleinen Testserver draufgespielt, als ich mich in der PHP-Programmierung versuchte.

    Einstweilen viele Grüße!
     
  10. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
  11. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Das geht Richtung Hardware (wo ich nun gar keine Ahnung von habe :D ). Es gibt/gab einige mit dem Problem:

    http://www.informationsarchiv.net/foren/beitrag-703.html
    http://www.supportnet.de/discussion/listmessages.asp?autoid=154146
    http://www.supportnet.de/discussion/listmessages.asp?autoid=135461
    http://www.informationsarchiv.net/foren/beitrag-9411.html

    Also: Temperatur, BIOS, Arbeitsspeicher...:grübel:

    Ich werde mal einen Mod fragen, ob er den Thread vielleicht mal im Hardware-Board anpinnt.

    EDIT:

    Hi Thor,

    ich glaube, "ihr" bluescreen war dort nicht bei, soweit ich das überblicken konnte...:nixwissen
     
  12. Suzanne

    Suzanne ROM

    Registriert seit:
    2. Januar 2006
    Beiträge:
    6
    Hallo nochmal,

    also, ich glaub, ich geb's langsam auf.... Die Störungen auf meinem PC sind mir ein Rätsel. Gestern wollte ich eine Systemwiederherstellung machen - nicht einmal das klappt mehr. Zwar machte der Rechner diese Wiederherstellung (augenscheinlich), stürzt aber nach wie vor ab, sobald er für einige Minuten gestartet ist. Zunächst hegte ich den Verdacht, dass die Festplatte physisch kaputt ist. Dagegen würde aber doch sprechen, dass das erste Laufwerk einwandfrei läuft und dass sich auf dem "kranken" Teil der Virenschutz partout nicht mehr aktivieren läßt, oder?

    Mein jüngster Versuch war, eine Virenprüfung mittels Norton über das gesamte System laufen zu lassen. Hierfür habe ich Norton auf dem "gesunden" System gestartet, dieser Teil klappte auch einwandfrei, doch irgendwann, als er das defekte Laufwerk überprüfte, kackte er auch da ab. Folgender Fehler erschien dann im blauen Bildschirm:

    *** stop: 0x000008E (0xC000001D, 0xFC2AA0D7, 0xFC8DBF2C, 0x00000000)

    *** nv4-mini.sys - Adress FC2AA0D7 base at FC291000, Datestamp 3d36db74

    Die Zahlenkolonne in Hex werde ich anhand der Beschreibung hier im Forum zu entschlüsseln versuchen... Allerdings weiß ich nicht, was das "nv4-mini.sys" zu bedeuten hat? Hat jemand eine Idee dazu?

    Viele Grüße!
     
  13. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen