virus??

[xeXistenZx]

hihi,
ich hatte eine Datei runtergeladen, wo nicht das drin ist, was sein sollte, was ich anfangs nicht wußte und draufklickte.
Da hat sich gleich was installiert, was ich abgebrochen habe.
Seit dem offnet sich die ganze Zeit so ein dummes Fenster, wo drin steht, warning potential spyware operation. Ich glaube nicht, dass das ein richtiges Windowsfenster ist??
Naja jedenfalls öffnen sich dazu noch dauernd Seiten von Spyware, u have virus on your computer, download sypware, bla bla.
Das ´Fenster öffnet sich alle paar Minuten, also schon nervig und werde jedesmal in Windows zurück gerufen,, außerdem öffnen sich mit i explorer dauend irgendwelche spyware Seiten und pron Seiten.
Und das schlimmste dabei ist, dass ich nichts machen kann, meine admin Rechte wurden eingeschrängt. Hintergrundbild gabs auch ein anderes , was ich nicht mehr ändern kann. Da steht spyware has detected on your computer usw.
Kann kein Task manager und keine Systemsteuerung mehr aufrufen.
antivirus und ad aware habe ich schon laufen lassen, welche aber nichts gefunden haben.
neues Antivir wollte ich noch installieren, geht aber nicht, weil da steht,
virus had found in bla bla und installation bricht ab??

Will nicht wieder alles löschen und windows schon wieder neu drauf machen.
plz help

 

[Jesus0815]

Original geschrieben von xeXistenZx
(...)
Will nicht wieder alles löschen und windows schon wieder neu drauf machen.
plz help

Da wirst du aber nicht drumherum kommen...

 

[FORYOUITERRA]

kenne einen fall, wo derjenige die popups, spyware und trojaner, die auch nicht von virenscanner oder spywarescannern erkannt wurden, erfolgreich via combofix entfernen konnte.
du kannst ja ansonsten mal hjackthis durchlaufen lassen und im log schauen, ob du was verdächtiges findes. aber benenne die .exe um bevor du sie ausführst - manch eine spyware erkennt wohl den namen.
außerdem würde ich die datei mal bei einem onlinevirenscanner hochladen.

 

[HERR 2FICKENDEHUNDE]

Re: Re: virus??

Original geschrieben von TE)Kain


Da wirst du aber nicht drumherum kommen...

wenn du nichts qualifiziertes von dir geben kannst, sag doch einfach gar nichts!

neues Antivir wollte ich noch installieren, geht aber nicht, weil da steht,
virus had found in bla bla und installation bricht ab??

was genau meldet er da. nur die genaue meldung oder bezeichnung gibt einen hinweis darauf, um welchen virus/wurm/rootkit ect es sich handelt, wenn wir den namen wissen, gibts auch schneller konstruktive hilfe.

 

[socram]

Das Problem ist dabei aber, dass du erst mal an deine Adminrecht zurückkommen müsstest. Sonst kannst du ja nicht wirklich viel am System beheben. Existiert das Administrator Konto noch und kommst du damit rein? Wenn ja, versuche im absicherten Modus (mit Netzwerktreibern) hochzufahren, wo das Rootkit dann nicht gestartet wird. Da benutzt du dann z.B. autoruns um das, was nicht rein gehört, raus zu löschen. Dabei könnten dir dann ja auch Virenscanner helfen, die sich vielleicht im abgesicherten Modus installieren lassen.

 

[xeXistenZx]

Ich habe mal ein Bild gemacht, von dem was da steht. Ach und das ist mein tolles Hintergrundbild.

Ich habe kein richtiges Admin Konto, also tue mich nicht anmelden??


edit:
Ich habe combofix und Hjack durchlaufen lassen, jetzt kann ich immerhin schon das Hintergrundbild öffnen, aber task manager geht immer noch nicht, und das erste anti vir fenster ist wieder aufgegangen.

Im log habe ich nichts besonderes gefunden, bis auf die 2 internetseiten da unten. Ich poste mal, da kennen sich ja die meisten hier besser aus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12, on 2008-02-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\D-Link\AirPlus G\AirGCFG.exe
D:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
D:\Programme\Grisoft\AVG6\avgcc32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\DOKUME~1\Dee\LOKALE~1\Temp\serversyn.exe
D:\Programme\tmp52046.exe
D:\Programme\Octoshape Streaming Services\Dee\OctoshapeClient.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\Dee\LOKALE~1\Temp\Rar$EX00.547\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E6826D8-00A5-485C-8559-6E304B61B6C7} - D:\WINDOWS\system32\vtutq.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Gamburg provider - {D8E11460-0D64-4a20-BED9-BA68BED58342} - wirpc.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [D-Link AirPlus G] D:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] D:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSDrive] rundll32.exe D:\WINDOWS\system32\drvkuw.dll,startup
O4 - HKLM\..\Run: [BluetoothAuthorizationAgent] D:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
O4 - HKLM\..\Run: [AVG_CC] D:\Programme\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Octoshape Streaming Services] "D:\Programme\Octoshape Streaming Services\Dee\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = D:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: D-Link AirPlus G Configuration Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {343CE214-9998-4B21-A151-FFE970167297} - http://vsspy.com/download.php
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.popcap.com/webgames/popcaploader_v10.cab
O21 - SSODL: ServiceBoot - {a4a49a4c-ff4a-4ce9-9b04-8e650f11174c} - D:\WINDOWS\Installer\{a4a49a4c-ff4a-4ce9-9b04-8e650f11174c}\ServiceBoot.dll
O21 - SSODL: zip - {3d818a2e-bf30-4286-8ee5-a48f029346e5} - D:\WINDOWS\Installer\{3d818a2e-bf30-4286-8ee5-a48f029346e5}\zip.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - D:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG6 Service (AvgServ) - GRISOFT(c) SOFTWARE s.r.o - D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6631 bytes