Forum
Tipps
News
Menu-Icon

Windows XP: sehr viele virenmeldungen

hi hab sehr viele virenmeldugen plötzlich beim surfen kamen unterschiedliche viele virenmeldungen von antivir ich benutze xp sp2 und so ich hab ein hijackthislog .

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:22, on 21.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\SweetIM\Messenger\SweetIM.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\programme\steam\steam.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\FileZilla Server\FileZilla Server.exe
D:\WINDOWS\System32\TUProgSt.exe
D:\Programme\ICQ6.5\ICQ.exe
D:\Programme\Free---\SEX.avi
D:\WINDOWS\system32\Worm.A.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - D:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - D:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - D:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [avgnt] 'D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe' /min
O4 - HKLM\..\Run: [StartCCC] 'D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe'
O4 - HKLM\..\Run: [SweetIM] D:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] 'd:\programme\steam\steam.exe' -silent
O4 - HKCU\..\Run: [---] 'd:\programme\Free---\sex.exe' -silent
O4 - HKCU\..\Run: [ICQ] 'D:\Programme\ICQ6.5\ICQ.exe' silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (Jack´s --- Finder ) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\Neuer Ordner\Neuer Ordner\Sex.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - D:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - D:\WINDOWS\System32\TUProgSt.exe

--
End of file - 3947 bytes


wie gesagt plötzlich bei surfen von video und pics seiten ???


Mein Computer-System:
   
Mein PC ist etwa wenige Tage alt.



Antworten zu Windows XP: sehr viele virenmeldungen:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Sieht absolut nicht gut aus!!

Malwarebytes installieren -> Updaten -> Komplett Scan -> Funde löschen -> Report posten.

Combofix runterladen -> Anwenden -> Logfile posten.

danke für die schnelle hilfe  ;):)

Combofix was meinst du damit etwa malwarebytes

damit scanne ich grade ...

und noch was: was is daran nicht in ordnung im logfile ?? aus interesse 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Combofix und Malwarebytes sind 2 verschiedene Programm, bitte beide Anwenden!

Die Einträge hier, gefallen mir nicht:

D:\Programme\Free---\SEX.avi
D:\WINDOWS\system32\Worm.A.exe
O4 - HKCU\..\Run: [---] 'd:\programme\Free---\sex.exe' -silent
O9 - Extra button: (Jack´s --- Finder ) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\Neuer Ordner\Neuer Ordner\Sex.exe
 

also beide finden nix

vielleicht sind es heuristische funde

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Bitte Report und das Logfile posten!!!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

"Sehr viele Virenmeldungen" sollten dich schnellstens veranlassen, deine dir wichtigen Daten (keine ausführbaren Dateien und keine Archive) mit einer LinuxLiveCD auf ein externes Medium zu sichern. Dein Logfile sieht auf den ersten Blick beeindruckend schlecht aus.

Wenn du aktive Malware auf dem System hast wird die sich nicht bei einem aktive laufendem System zeigen. Du musst dir also eine Boot CD mit Virenscanner laden. Von einem sauberen Rechner, nicht von deinem!

Avira Rescue CD: http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system-common-en.iso

Ist ein ISO-File. Als Abbild brennen!

GData Boot CD: http://www.gdata.de/support/downloads/tools.html

Insert Linux: http://www.inside-security.de/INSERT.html

Sollte dort ein Schädling gefunden werden ist konsequent neu installieren angesagt. Alles andere ist sich selbst in die Tasche lügen.

Lies dir auch mal meinen Post in diesem Thread durch:
http://www.computerhilfen.de/hilfen-17-276341-0.html#msg

Besonders die Links in meinem Post beachten und lesen!
Du wirst erkennen, das ein fixen zu nichts führen kann!

Bei einer Neuinstallation auch mein Tutorial beachten, du möchtest doch in Zukunft geschützt durchs Netz surfen?

Gruß mg

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Willst du jetzt auch noch für dich Werbung machen, hast Glück hier bin ich nicht Moderator, sonst wären deine Beiträge ganz schnell Weg. Im PPF kannste net deine storys erzähln  ;D

ok werd dann formatieren 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wozu ??

Nur weil hier einer mit seinen Standard Texten rumlabert dass formatiert werden muss ??

Nur weil er vllt. zu Faul ist sich Logfiles etc. genauerer anzusehen ?!

Wir wissen noch garnicht was fürn Schädling auf em System ist, also immer abwarten.

warte ja immernoch auf den report und das Logfile.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Willst du jetzt auch noch für dich Werbung machen, hast Glück hier bin ich nicht Moderator, sonst wären deine Beiträge ganz schnell Weg. Im PPF kannste net deine storys erzähln  ;D

Nein, ich will keine Werbung machen, sondern dem Threadersteller die bestmögliche Problemlösung bieten.

Wenn Du hier Moderator wärst und würdest meine Beiträge löschen, nur weil sie dir persönlich nicht gefallen, bist du denkbar ungeeignet für den Job. Als Mod sollte man stets neutral bewerten. Aber du bist ja noch sehr jung und vielleicht reift auch in dir eines Tages diese Erkenntnis. Übrigens, da du ja im PPF Moderator spielen darfst - legst du da die selben Kriterien wie hier an den Tag - "Was mir nicht passt wird gelöscht"???

 P.S.: Kennst du den lustigen Pinguin, der Dieter Nuhr zitiert? 
« Letzte Änderung: 21.03.09, 23:26:45 von megagonzo »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nene, ich würde ja nicht alle Beiträge von dir löschen im PPF. Nur die die du im Viren Bereich schreibst, weil in den Forenregeln drin steht dass nur Moderatoren und das Malware Team bei der beseitigung dort helfen dürfen. Und so sollte es meiner meinung nach hier auch sein.

Darf man mal fragen,woher diese malwaretemm seine kompetenz nimmt? Was mir bisher bekannt ist,hält einer genauen prüfung nicht stand.Aber da wird krampfhaft versucht,schadpogramme zu löschen,ohne die folgen unbekannten umfangs zu reparieren.
Ich frage mich ernsthaft,warum dem hilfesuchenden kein konzept angeboten wird,damit solche anfragen in zukunft ausbleiben?
Sowas scheint dann die "kompetenz" des malware teams zu überfordern.

@45165:
Es wäre eine datensicherung zu empfehlen.Danach solte gründliches informieren erfolgen.Die themen hat megagonzo schon angeschnitten.Bei fragen helfen wird gerne,ein maßgescheindertes sicherheitskonzept zu erarbeiten.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@megagonzo  da du dich da ja jetzt angemeldet hast, kannst du das ja jetzt beobachten.. Aber ich könnte die frage auch gleich beantworten, was aber irgendwie nicht sinn und zweck dieses threads ist...
 

Zum Glück habe ich ein sauberres Backup -nein ich hab noch nichts gemacht

Hier der Malwarebytes-Log:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1826
Windows 5.1.2600 Service Pack 2

2009-03-22 08:29:27
mbam-log-2009-03-22 (08-29-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 3588
Laufzeit: 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\blphc5f1j0e74a.scr (Trojan.FakeAlert) -> No action taken.

Ich hab Service pack 2 weil das problem sofort nach der Installation kam also nachdem ich avira ,IE 7,Windows M-Player 11 , und die updates für Service Pack2

ich war im internet surfen und dann kamen die meldungen halt

Warum wurde das sp3 für XP nicht direkt in die Cd eingebaut?Mit Nlite ist das leicht möglich.
Den WMP kann man getrost weglassen,brauchen tut man den nicht.
Das abschalten überflüssiger dienste schliest Ports,dazu sollte man mit eingeschränktem benutzerkonto arbeiten.

Das backup einspielen Dürfte hier wesentlich sinnvoller sein als sinnfreie reinigungsaktionen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@w hier bin ihc auch mal deiner meinung, die dateinamen sehen stark nach rootkit backdoor und trojaner aus.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Combofix runterladen -> Anwenden -> Logfile posten

Danach Sdfix runterladen anwenden -> Logfile posten.

ja ok das mache ich ma

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Zum Verständnis: Ist 45156 = mathias b. ?

ja deswegn weil ich nicht möchte das mein PW von computerhilfen durch den trojaner der bei mir lauert gestohln wird ( keylogger?? ) jez bin in meinen account wieder weil ich mein sauberes backup von meiner externen festplatte auf meine pc aufgespielt habe 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Das ist aber dumm für das MalwareTeam. Dann können die dein System gar nicht mehr in Grund und Boden fixen.  :-\

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ist dir schonmal aufgefallen das wir nicht fixxen  ;)


« Windows XP: nach internet benutzung, fremdes programm,geht nicht mehr wegAntispyware sinnvoll? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

Micro SD
  Die Micro-SD-Karte ist die zur Zeit (von der physischen Karten-Größe) kleinste verfügbare Flash-Speicherkarte auf dem Markt. Sie wird unter ande...

Micro SIM
Eine Micro SIM ist eine kleine SIM-Karte, die für Smartphones und Tablets gebraucht wird. Auch herkömmliche SIM-Karten kann man für solche Endprodukte verw...