Your Computer is infected!

Dieses Thema im Forum "Sicherheit" wurde erstellt von Bebbi1971, 12. Dezember 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Bebbi1971

    Bebbi1971 Byte

    Registriert seit:
    15. November 2005
    Beiträge:
    12
    Hallo,

    bekomme seit heute morgen so komische Warnmeldungen. Wie ich gelesen habe bin ich da nicht der einzige. Habe mal die Sache mit dem Hijack This, laut Eurer Anleitung, gemacht. Hier der Link:
    http://www.hijackthis.de/logfiles/d5daf6e31bc3777690901037922ad6d0.html

    Ich habe auch mit Microsoft telefoniert. Die sagten ich soll die Anti-Spyware Programme einfach mal im abgesicherten Modus laufen lassen - Resultat gleich null. Dann sollte ich eine Systemwiederherstellung durchführen... Ergebnis war eine Meldung das dies nicht möglich sei. Ich habe Norton Security gemeinsam mit der Windows Firewal für ausreichend gehalten. Nun bin ich schlauer. Habe heute Steganos AntiSpyware installiert sowie Kaspersky AV Personal.... gebracht hat es nichts. Bin nun ratlos... könnt Ihr bitte helfen? Es gehen auch von Zeit zu Zeit sehr merkwürdige Fenster auf. Es wird laufend angeboten AntySpyware zu kaufen. "Spyaxe" nennt sich das Zeugs.


    Grüße

    Bebbi 1971
     
  2. Bebbi1971

    Bebbi1971 Byte

    Registriert seit:
    15. November 2005
    Beiträge:
    12
    Hallo,


    habe unter

    http://www.pcwelt.de/forum/thread185127.html

    bereits gepostet. Kann mir bitte jemand helfen? Sollte mit der Kiste hier morgen wieder vernünftig arbeiten können.

    Wäre ganz lieb von Euch.


    Danke + Gruß

    Bebbi

    Bitte keine doppelten Beiträge ins Forum setzen, ist unübersichtlich und schneller geholfen wird Dir auch nicht. Das Gegenteil ist eher der Fall.
     
  3. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    C:\WINDOWS\system32\mssearchnet.exe

    Das ist ein Trojaner, der weitere Schädlinge aus dem Netz nachlädt.
    Formatiere den Rechner und setze Windows neu auf, dann kannst du in 2 Stunden wieder normal damit arbeiten.

    Neu aufsetzen:
    http://www.cidres-security.de/neuaufsetzen.html

    Tausche nachher alle Passwörter zu Mailkonten und Bankzugängen aus. Und sichere deinen Internetexplorer ab und benutze das Zonenmodell:
    http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/

    Oder wechsle auf Opera oder Firefox.
     
  4. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.650
    Hast du mit Norton Ghost mal ein Image von c: gemacht?
    Das Programm ist neben etlichen "Sicherheitstools", die eine Infektion nicht verhindern konnten, im Autostart.

    Außerdem aktualisiere dann mal O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -

    Die ist uralt. Der Java-Cache gillt als ein Einfalltor von Trojaner-Downloadern usw.
     
  5. Bebbi1971

    Bebbi1971 Byte

    Registriert seit:
    15. November 2005
    Beiträge:
    12

    Hallo Seppl,

    danke für Deine Antwort. Geht das nicht auch anderst? Auf dem Rechner sind einige Anwendungsprogramme, welche ich nicht selbst installiert habe bzw. nich genau weiss ob ich das dann wieder hinbekomme.

    Grüße

    Bebbi
     
  6. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Du kannst es probieren, indem du die betreffenden Einträge fixt. Aber du wirst dir nie mehr sicher sein können, ob nicht noch irgendwo Daten ins Netz gehen.

    Fixe obengenannten Eintrag, außerdem prüfe, ob diese beiden:

    O15 - Trusted Zone: *.musicmatch.com
    O15 - Trusted Zone: *.musicmatch.com (HKLM)

    von dir wissentlich dort eingesetzt wurden. Wenn nicht, auch fixen. Bei den O15 gehören nur Seiten hin, die du kennst und denen du vertraust, denn diese Seiten haben sozusagen "Hausrecht" auf deinem Rechner.

    Laß mich raten: es ist nicht dein Rechner, es ist einer im Büro? Oder ist die Software geklaut?

    Und nenn' mich nicht "Seppl"..:D
     
  7. Bebbi1971

    Bebbi1971 Byte

    Registriert seit:
    15. November 2005
    Beiträge:
    12
    Hallo Seppl,


    bei mir gibt es keine geklaute Software. Ja, ist ein Rechner im Büro. Es arbeitet ein Rip für einen Grossformatdrucker darauf, welches nicht so einfach zum einrichten ist - jedenfalls für mich nicht. Wie funkt denn das mit dem fixen?


    Grüße

    Bebbi
     
  8. Bebbi1971

    Bebbi1971 Byte

    Registriert seit:
    15. November 2005
    Beiträge:
    12
    Hallo nochmals,


    ich habe das mit den 2 Einträgen (die mit musikmatch) machen können. Den anderen (C:windows\system32\mssearchnet.exe) habe ich so nicht finden können. Habe nun nochmals Hijack This gemacht... hier der Link

    http://www.hijackthis.de/logfiles/fb733e1979bf26577de3d2e6cf669443.html

    Problem mit dem Fenster und der Warnung ist noch immer da.
    Was muss ich nun machen?


    Danke + Gruß

    Bebbi
     
  9. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Der Eintrag
    C:\WINDOWS\system32\nvctrl.exe

    hieß vorher
    C:\WINDOWS\system32\mssearchnet.exe

    Das Dreckding ändert bisweilen seinen Namen..:D

    Er muss in der Liste mit auftauchen. Versuche ihn notfalls im abgesicherten Modus zu fixen (F8 beim booten drücken). Ich hoffe, du kannst dich als Admin anmelden, ich weiß nicht, ob es anders klappt.


    Ansonsten musst du den Admin verständigen (solltest du sowieso besser..:rolleyes: ).
     
  10. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ja das Prachtding läßt sich immer neue Namen einfallen die es in die verschiedenen Systemordner dropt, die leider mit den Tools teilweise nicht mehr abgedeckt sind. Fürs erste wären mal ein Smitrem Log (Erläuterung in einem der von wolfgang77 geposteten Links) und die vier Logs der datfind.bat (nur Dateien der letzten drei Monate abkopieren!) von erhöhtem Interesse

    Aber gerade bei einem Firmenrechner solltest du dir die Option Neuaufsetzen noch mal überlegen, die sauberste und sicherste Variante ist es auf jeden Fall.


    Hier gibts gerade einen Bericht über dein Problem

    Grüße Jasager
     
  12. rolfmuc

    rolfmuc Kbyte

    Registriert seit:
    28. September 2000
    Beiträge:
    424
    Solange ich noch mit dem "blanken" IE arbeitete, bekam ich auch ständig solche Meldungen mit der Behauptung, mein Rechner sei infiziert und ich müsse das angebotene Produkt kaufen, um die Infektionen zu beseitigen. Dieser Mist erschien als Popup bei jedem Aufruf des IE - für mich war es offensichtlich eine nervende Werbung. Dann entdeckte ich ein IE AddOn namens "Slimbrowser", eine Ergänziung des IE. Den verwende ich seitdem ständig - und a Ruah iss! Auch unter IE keine nervigen Popups, keine idiotische Werbung mehr. Also, versuchs's mal damit. Der Slimbrowser müsste in den PCW-Downloads oder eben in der Google-Suche zu finden sein. Oder einfach mal www.slimbrowser.de versuchen - ich weiß nicht mehr, woher ich ihn geholt habe, aber er ist einfach Spitze und man kann beim unschlagbaren IE (sorry, FF-Freunde!) bleiben. Versuchs mal. Aber unverbindlich und ohne Gewähr!
    Nein, kein "slimbrowser.de" - führt auf eine Site, die nix damit zu tun hat. Also PCW oder Google!
     
  13. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    EIn Slimbrowser löst nun wirklich nicht das Problem des TO. Der Admin in seiner Firma würde Luftsprünge machen..:D
     
  14. rolfmuc

    rolfmuc Kbyte

    Registriert seit:
    28. September 2000
    Beiträge:
    424
    Nicht EIN Slimbrowser, sondern DER Slimbrowser. Ich hatte das gleiche Problem - seit Slimbrowser ist es weg. Und wieso Luftsprünge?
     
  15. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Der Rechner des TO ist infiziert, es geht nicht um normale Popup-Fenster, die man sogar ohne Zusatzsoftware in den Griff kriegt. Es geht um eine Infektion mit Malware.

    Luftsprünge deshalb: ein Admin wird wegen der Infektion schon "begeistert" sein, aber noch viel mehr, wenn ein dazu unbefugter Angestellter auch noch versucht, die Symptome der Infektion mittels unerlaubter Installation einer Zusatzsoftware zu kaschieren.
     
  16. MisterL9

    MisterL9 Byte

    Registriert seit:
    23. September 2005
    Beiträge:
    8
    hi kannst dein rechner auch mal mit spysweeper versuchen das runterzubekommen hier die webseite wo das runterladen kannst und auch ein vorab online check machen lassen kannst bei mir hat das alles runtergefegt was spyware usw betrifft sogar einen neuen virus dem antivir noch unbekannt war bis heute

    hier der link zu der seite von spysweeper http://www.webroot.com/de/
     
  17. Bebbi1971

    Bebbi1971 Byte

    Registriert seit:
    15. November 2005
    Beiträge:
    12
    Hallo,


    vielen Dank nochmals für Eure Hilfe.

    Ich habe den Rechner von Grund auf neu aufgesetzt.
    War für mich gar nicht so leicht. Viele Anwendungsprogramme, ein Rip, diverse Gerätschaften die dran hängen – aber es ging.

    Resultat: Nun rast das Ding förmlich :)

    Habe nun auch entsprechnede Maßnahmen getroffen, um zukünftig besser geschützt zu sein.

    Würde trotzdem gerne mal einen Menschen in die Finger bekommen, welcher anderen Leuten mit seinen Machenschaften (Viren, Würmer, Trojaner....) solchen Ärger macht :aua:

    Nun habe ich noch ein kleines Problemchen. Hat eigentlich mit dem hier nichts mehr zu tun. Also, ich habe eine Wechselplatte (DATA TargaBOX II) mit 250 Giga. Diese wird allerdings nur mit 40, 8 MB angezeigt obwohl das Ding leer sein müsste. Formatieren, Bereinigen und auf Fehler prüfen brachte nichts. Was kann ich da tun? Könnte sein das dieser Umstand daher kommt, dass diese Platte einmal an unserem MAC angeschlossen war?! Ach so, mit diesem MAC werde ich in Zukunft auch ins Netz gehen :) :) :)


    Danke + Grüße

    Bebbi 1971
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Das sind mittlerweile keine einzelnen "Freaks" mehr sondern gut geschmierte Firmen, die genau nach Kosten/Nutzen Faktor kalkulieren. Wenn es dich wirklich interessiert genaueres in der F-Secure Video Zusammenfassung (28MB) über Viren in 2004 (ist zwar jetzt schon ein Jahr alt, trifft aber mehr denn je zu).



    Grüße Jasager
     
  19. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.650
    Durch die Neuinstallationion ist vermutlich der "berüchtigte" 48 Bit LBA Eintrag in der Registry verschwunden.

    Das solltest du zuerst mal in XP prüfen und dann die Platte ggf. in der Datenträgerverwaltung bearbeiten.

    Dass muss dann ein Dateiformat sein, dass XP- und Mac-kompatible ist, wenn man mit der Platte Daten zwischen beiden OS austauschen will.
     
  20. Bebbi1971

    Bebbi1971 Byte

    Registriert seit:
    15. November 2005
    Beiträge:
    12
    Hallo nochmals,

    danke für den Tipp - an dem liegt es aber leider nicht.

    Wir haben (hätte ich auch gleich sagen können/sollen) mehrere dieser Platten, welche alle bis auf die eine normal funktionieren.
    Die haben alle 250 Giga nur die eine eben nicht mehr.

    Kann auf einer Platte was kaputt gehen, wodurch auf einmal die Größe kleiner wird?


    Grüße

    Bebbi 1971
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen