PC Probleme !!! (Virus]

[Skyline44]

Zitat:

Zitat von Comora

Lol..., Sorry von meiner Seite aus, liest sich a bisserle hart

Joa a bisserl scho

Jo stimmt mein Proggi ist zwar auf englisch aber kann die Sprache einstellen.Werde mir aber das Win Patrol auch noch runterziehen

[T90ZUG]

so der virus hatte mich auch erfasst zuerst nix großes das tool von micorsoft drauf und dann lief erstmal alles normal ,Zuerst
naja und dann wurde das immer schlimmer , das fenster vom runterfahren war damit schon lange gekillt durch das tool toll aber auf einmal ging nach dem neustart nix mehr konnte nich mehr ins i-net erst wusste ich nich an was es lag aber dann bin ich mal in den task manager und sah da so das programm dreimal geöffnet "avserve" so gleich geschlossen und beendet funzte wieder alles und das musste ich nach jedem neustart machen.In den nächsten tagen wurde das immer schlimmer bis ich dann irgendwann die Online.exe nicht mehr ausführen konnte überhaupt sonst ein Programm von T-Online noch Browser oder Opera so dreimal neu installed nix ändert sich inzwischen ist der stand by modus knopf grau geworden kann nich mehr in stand by gehn und jetzt tauchte das avsere einmal nur noch einmal auf aber dazu noch ein "reg33" beende ich das und avserve wird es zwar so das ich normal was amchen kann aber dann wollte meine grafdik karte nich mehr richtig (schätz ich mal) und der cpu aufeinma so empfindlich is und sofort auf 100% steht sobald man einen vorgang macht.Deswegen ham wir uns für ne neu formatierung entschieden(musste sowieso mal der dreck runter ) kann mir deswegen mal doch einer sagen wie ich das verf**e biest wenigstens ausen rechner rausbekomm so das das noch normal läuft.

Und auf dem andren ist 2000 Me drauf und das Microsoft tool geht da erst gar nich hat zwar nich den anschein das da ein virus drauf is aber man weiß ja nie

(schreibe vom andren PC)

[Sepuku]

ich weiss ja nicht was du für prozesse gekillt hast , aber es hört sich nicht sonderlich gut an.

[fadmax]

@T9Z: Komm mal im MSN online; ich denk das bek. wir schon wieder hin.

Haste die Mp3 schon alle kopiert??? *fg

Ich hab mich mit dem Thema in letzter Zeit ja ausgiebig beschäftigt (zwangsläufig).

[Comora]

Also Hab mal beide Progis getestet, bleib bei WinPatrol.

Und zwar aus dem Grund, er zeigt mir alle Progis oder Treiber an die sich installieren moechten!

PestPatrol ist halt sehr gut , alle moegliche Spyarten zu finden.


_ the best greetings

[fadmax]

Hallo Leute!

Eben 33 Wurm und Virensignaturen trotz aktueller Updates, meiner Virenwächter (AntiVir) und einer aktive "Firewall" (ZoneAlarm). Jeden Tag läuft die neueste Version von Adaware und Spybot und trotzdem keine Möglichkeit den Kram zu stoppen. Ich glaub mein Rechner hat Aids...

-Sasser.A (Wurm) und Startpage.gv (Trojaner)

[Skyline44]

@Comora Ich bin jetzt auch bei WinPatrol geblieben.Ist echt super das Teil Danke für dem Tip

@Fadmax Für den Sasser Wurm gibt es doch ein tool,hast du das ?? Seit ich das habe,ist nix mehr aufgetaucht.Habe auch AntiVir !! Naja so gut kenne ich mich auch nicht aus, was Viren angeht

[Comora]

Zitat:

Zitat von Skyline44

@Comora Ich bin jetzt auch bei WinPatrol geblieben.Ist echt super das Teil Danke für dem Tip

NP

Zitat:

Zitat von fadmax

Hallo Leute!
Eben 33 Wurm und Virensignaturen trotz aktueller Updates, meiner Virenwächter (AntiVir) und einer aktive "Firewall" (ZoneAlarm). Jeden Tag läuft die neueste Version von Adaware und Spybot und trotzdem keine Möglichkeit den Kram zu stoppen. Ich glaub mein Rechner hat Aids...
-Sasser.A (Wurm) und Startpage.gv (Trojaner)

Für Startpage.gv hier das Tool

Bereinigt den Rechner, zeigt an ob der Comp ueberhaupt befallen ist !

Bei -Saser.A.B.C, Sicherheitsupdate ausfuehren von Microsoft
auch nach jeder Neuinstallation von XP bevor mal online geht !!!

Link steht weiter oben.

_ the best greetings

[fadmax]

Klar hab ich das Ich nehms mittlerweile mit Humor, meinen Zweit-Rechner hab ich gestern vorsichtshalber schonmal Neuinstalled. *gg

Edit: THX Jörg ich suche schon seit ein paar Tagen aber hatte bisher noch kein Tool gefunden für das Startpage.gv! Ich werd jetzt mal laufen lassen...

Edit2: Ich les das heir grade und bin absolut geschockt, wie genau die Beschreibung auf meinen Rechner zutrifft :

Zitat:

Im vorliegenden Fall wurde spätens um 22:40 Uhr am Tage der Infektion (die wir nachgestellt haben) die Startseite des IE mit der Suchseite searchx.cc ausgetauscht. Entfernte man die Starteinträge manuell oder mit Hilfe des CWShredders, schien zunächst alles klar, wenige Stunden später war aber wieder alles beim Alten.

[fadmax]

Wiedermal eine Version von Cws-Trojaners diesmal die Variante "HomeOldISP" mit Hijackthis schon 2x entfernt, jetzt hilft das auch schon nicht mehr.

Ich hab das Tool und den Shredder drüber gezogen jetzt zum 2. mal danach mit Hijackthis geprüft! Was rauskommt ist das hier und jeden Morgen wahrscheinlich das selbe Bild auf der IE Startseite.

hier mal ein Teil vom Log:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://E:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://E:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://E:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://E:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://E:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://E:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Micro$oft Internetsexplorer 6.6
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Der Rest ist eigentlich uninteressant, ausserdem erkennt hijackthis in diesem Falls nichtmal etwas!!! Falls jemand das Problem hatte und es lösen kann - ich bin sehr dankbar. Ich habe auch schon eine Mail an die Entwickler des Tools geschickt, die Zeitspanne nach genau einem Monat kommt mir etwas seltsam vor. :s

[Malte]

ein ähnliches bild bietet sich mir auch jeden morgen bzw. schon nach wenigen
stunden. ich lass den shradder und Hijackthis drüberlaufen und der zeigt
mir auch sowas an, löscht es dann und nach nem neustart oder nem
bsesuch im internet is dann alles wieder da. ich kenn mich mit den windows
dateien net so aus, deswegen will ich da manuell net irgendwas löschen,
hab da in der vergangenheit schon schlechte erfahrungen gemacht

[fadmax]

Ich hab es gelöst bekommen am besten du hängst hier mal dein Log vom Highjackthis an.

Hier die Mail von Rockop security zu meinem Problem:

Zitat:

Hallo,

Das was Adaware findet sind fast alles Cookies, 2 x sozusagen
Fehlalarm und einen CoolWebsearch Eintrag. Du solltest endlich das
Service Pack 1 und alle nötigen Updates auf Dein Windows aufspielen,
sonst infizierst Du Dich immer wieder. Außerdem solltest Du Dich noch
mal als anderer Benutzer mit Adminrechten anmelden und von dort aus
Deine temporären Internetdateien komplett löschen.
Eine etwas strengere Cookieverwaltung und höhere
Sicherheitseinstellungen beim Internet Explorer wären auch nicht
schlecht.

Also SP1 und Updates sind pflicht, das man das ganze offline machen muss brauche ich ja eigentlich nicht erwähnen, vorausgesetzt Du hast vorher alle Updates Deiner Virenscanner usw. gemacht.

Das hatte ich gemacht und bin bisher auch nichtmehr infiziert worden, obwohl ich keine FW oder Router aktiv laufen hab und nur von Zeit zu Zeit meinen Rechner scanne.

Ich hab nun grade alle SecurityProgs. (Adaware, Spybot, AntiVir, Highjackthis, cwshredder) mal laufen lassen und die finden nix mehr. nennenswertes.

[Malte]

bin mir ziemlich sicher, dass ich die updates habe, aber zur sicherheit lade
ich mir alles nochmal runter.
hier mal die meldungen:

[Comora]

Standaertseite beim InternetExplorer.

Wer immer die Meldung bekommt, das der Explorer eine bestimmte Seite als Standart uebernehmen will, sollte mal unter C.\Windows\nsdb\hosts nachschauen.

Da stehen dann die gewissen Adressen drinn mit der IP.

Hab nur meine Locale drinn gelassen und die Anderen geloescht und siehe da er fragte nur noch einmal nach und hat dann meine Standartseite uebernommen.
Hab dann den ganzen Ordner geloescht und die Frage erscheint nicht mehr.


Betrifft RegRun

Wer seine RegRun unter sauberer Kontrolle halten will, sollte dieses kleine Tool installieren.


_the best greetings

[Malte]

ok, danke, ich probier des mal aus
wünscht mir glück^^

[Sepuku]

Wer das Problem mit den startpages und den Hijacker, die sich nach Neustart immer wieder selbst herstellen,endgültig lösen will, der muss im abgesicherten Modus ein File löschen.
Da das File einen zufälligen Namen hat folgender Hinweis.
Den Namen des Files findet man in der registry von Windows in dieser Zeile.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Mit doppelclick öffnen und Pfad ausfschreiben.
Danach diese dll löschen und shredder sowie Hijackthis laufen lassen.
Internet Explorer darf nicht gestartet werden sonst werden die BHO erneut geladen.

WICHTIG IE NICHT STARTEN!!!

[fadmax]

Die Cookiebehandlung etwas höher stellen kann auch nie verkehrt sein.

@LMumu: Mach am besten ein Backup, wenn Du Dir nicht sicher bist was Du alles Löschen kannst/musst, normalerweise sind die "offensichtlich" verseuchten Teile seitlich markiert. gl

[Malte]

ok, das hört sich gut an, ich probier des mal aus.
nochmal vielen dank für die hilfe an alle hier