PDA

Vollständige Version anzeigen : Computer fährt dauernd herunter, Monitor schaltet sich aus, Maus bewegt sich, Virus


Seiten : [1] 2

llol
01.04.2010, 12:07
Hi,
ich hab mir wahrscheinlich ziemlich viele Viren eingefangen.
Angefangen hat es damit das ich beim Counterstrike Source spielen einen sehr hohen Ping bekam, obwohl ich nichts lade oder ähnliches. Wenn ich surfe schließt sich einfach mal Firefox.
Manchmal fährt einfach der Computer herunter. Wenn er herunterfährt kommt manchmal noch eine Meldung auf, mit irgendeinem Geschwafel von Arbeitsstadion herunterfahren, konnte nich initialisiert werden...., das konnte ich mir leider nicht mehr so richtig merken.
Dann bewegt sich manchmal einfach so die Maus obwohl ich nichts mache, manchmal fährt die Maus bei Firefox auf das rote X um das Fenster zu schließen, wenn ich die Maus dann bewegen will lässt sie sich nicht von dem roten X wegbringen. Nun hab ich mal das kostenlose AntiVir drüber laufen lassen und habe verdammt viele Meldungen von wegen Malware gefunden
Anzahl gefundener Malware: 48
Letzte gefundene Malware: TR/Spy.Gen, davor waren noch etliche Meldungen von Viren namens TR/Agent.598016. Und dann gibt es noch so eine komisches Ding, also ich kopiers einfach mal so wie es in Avira steht. "Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Bifrose.cfln.18
Ach ja ich besitze XP.
Meint ihr das war irgendwie ein wenig gefährlich? Ist es jetzt damit erledigt oder sollte ich grad mein System neu aufsetzten oder irgendetwas Alternativ machen?
mfg

EDIT:
Die ganzen Viren haben sich teilweise in C:\Windows\system32\winbooter\svchost.exe
C:\Windows\system32\install\server.exe und sonst irgendwo in den Lokalen Einstellungen eingenistet.
Ähm und was soll ich mit den ganzen Objekten machen, die jetzt in der Quarantäne sind?
Objekt löschen, oder da lassen?

Nobody
01.04.2010, 12:16
Avira ist das letzte und wenn das schon soviel findet dann ist garrantiert noch mehr drauf. Vermutlich ist es das beste das system neu aufzusetzen und dabei von vorn herrein einen echten Vierenscanner zu nehmen. In der freien schiene ist das gerade der von Microsoft und auf der kostenpflichtigen ist es Kapersky oder Norten. Und dazu lässt man noch malewarebytes laufen und fertig. Aso niemals 2 Vierenscanner auf seinen System haben. Du solltetst auch keine Daten mit auf das neue System nehmen da diese auch infiziert sein können. Auser Bilder und reine Dokumente. Alsoalle Partitionen Formatieren und XP neu instalieren. Danach nen Vierenscanner drauf und soetwas passiert in dem Umfang nicht wieder.

llol
01.04.2010, 12:30
Meinst du dieses Microsoft Security Essentials?

Nobody
01.04.2010, 12:38
jo genau das. Damit habe ich zz am meisten Trefferpunkte mit freien Systemen.

llol
01.04.2010, 13:04
jo genau das. Damit habe ich zz am meisten Trefferpunkte mit freien Systemen.

Nun denn ich lass nocheinmal das Microsoft Teil drüber laufen.

Nobody
01.04.2010, 13:07
Aber Avira zuerst deinstalieren. Aber bei deinen System würde ich es schon neu einrichten. Da es vermutlich so von Vieren zersetzt ist das man ihm nicht mehr drauen kann.

loop
01.04.2010, 13:09
Hallt :D Ich möchte dir noch das Programm Hijackthis empfehlen, das scannt deine Regestry. Auf der Anbieterseite kann man sich dann das ganze durchscannen lassen, ob da was gefährliches ist.

Hier kannst du den Log auswerten lassen:
http://www.hijackthis.de/de
Das programm gibts auch irgendwo auf der Seite :D

Download z.B hier
http://www.chip.de/downloads/HijackThis_13011934.html

llol
01.04.2010, 13:27
Gott nein
brauchshie ni goglen1
Jemand tippt jetzt sogar auf meinem PC rum ohne das ich es will.
Er gibt in Google irgendwelche Sachen ein.
Ich kann noch nicht mal mehr meine Festplatte formatieren, der lässt das nicht zu, der bewegt die Maus einfach weg und dann kommt so ein Fenster auf "Remote Chat Client"
WTF
Was soll ich jeztt verdammt nochmal tun?
Dieses Fenster wenn es denn da ist kann ich nicht weg tun.
Dieses brauchshie ni goglen1 hat er einfach eingegeben, als ich etwas googlen wollte, er hat das was ich geschrieben habe weggemacht und dann das eingegeben, eben hat er etwas oben in der Leiste von Firefox eingegeben, leider konnte ich es mir nicht merken.
Ich glaube es passiert sobald dieses Remote Chat Client Fenster auftaucht.
Das Fenster ist klein und nur schwarz, ich kann es nicht schließen und nichts.

Nobody
01.04.2010, 13:38
Gott nein
brauchshie ni goglen1
Jemand tippt jetzt sogar auf meinem PC rum ohne das ich es will.
Er gibt in Google irgendwelche Sachen ein.
Ich kann noch nicht mal mehr meine Festplatte formatieren, der lässt das nicht zu, der bewegt die Maus einfach weg und dann kommt so ein Fenster auf "Remote Chat Client"
WTF
Was soll ich jeztt verdammt nochmal tun?
Dieses Fenster wenn es denn da ist kann ich nicht weg tun.
Dieses brauchshie ni goglen1 hat er einfach eingegeben, als ich etwas googlen wollte, er hat das was ich geschrieben habe weggemacht und dann das eingegeben, eben hat er etwas oben in der Leiste von Firefox eingegeben, leider konnte ich es mir nicht merken.
Ich glaube es passiert sobald dieses Remote Chat Client Fenster auftaucht.
Das Fenster ist klein und nur schwarz, ich kann es nicht schließen und nichts.

Das nennt man fernsteuerung eines PCs das wird hauptsächlich zur fernwartung gemacht aber eben auch um Iligale Aktivitäten durchzuführen. Also 1. PC vom Inet trennen. 2. Alles Formatieren. denn wenn er es soweit schaft ist es ein leichtes alles so umzuschreiben das es kein AV Programm mehr schaft. 3. Alle Passwörter die du hast ändern auch evt. Bankdaten etc.

llol
01.04.2010, 13:57
Das nennt man fernsteuerung eines PCs das wird hauptsächlich zur fernwartung gemacht aber eben auch um Iligale Aktivitäten durchzuführen. Also 1. PC vom Inet trennen. 2. Alles Formatieren. denn wenn er es soweit schaft ist es ein leichtes alles so umzuschreiben das es kein AV Programm mehr schaft. 3. Alle Passwörter die du hast ändern auch evt. Bankdaten etc.

Hehe na ja das ist so eine Sache, ich kann nichts ändern.
Warum findet Google überhaupt nichts über Remote Chat Client?
Ich werde jetzt den PC erstmal ausstellen, und zum Laptop gehen.
Reicht es denn wenn ich einfach den PC ausmach, Internet kann und darf ich hier nicht komplett ausmachen.

Nobody
01.04.2010, 14:05
Es reicht wenn du denn besagten PC vom internet trennst. und fertig. Danach ist nichts mehr mit fernsteuerung. Und danach einfach alles auf der Platte des PC auslöschen. Wie gesagt Formatieren und neu instalation ist das einzige was bei dir noch hilft. Anders bekommst du nie mehr ruhe in den PC.

loop
01.04.2010, 14:13
Doch :) die letzte Möglichkeit ist: Linux löst alle Probleme. Nim am besten ein Knoppix mit Virenscanner, der sollte das dann schaffen.

Aber loll: eins passt mir hier nicht. Warum bist du bitte immernoch an diesem Rechner. 2. Wenn du nicht googlen kannst, warum lädtst du nicht einfach alles durch meinen Link runter?
Handelt es sich hierbei evtl um einen Scherz? Weil von Fernsteuerung eines PCs durch einen Virus, hab ich noch nie gehört, vor allem scheint es mir so, dass du ja einen Scanner hast und der rechner immer durchs Netz aktuell ist.

Nobody
01.04.2010, 14:21
Aber irgendwie kann ich mich nicht denn Verdacht erwähren das das ein April scherz ist.

llol
01.04.2010, 14:35
Doch :) die letzte Möglichkeit ist: Linux löst alle Probleme. Nim am besten ein Knoppix mit Virenscanner, der sollte das dann schaffen.

Aber loll: eins passt mir hier nicht. Warum bist du bitte immernoch an diesem Rechner. 2. Wenn du nicht googlen kannst, warum lädtst du nicht einfach alles durch meinen Link runter?
Handelt es sich hierbei evtl um einen Scherz? Weil von Fernsteuerung eines PCs durch einen Virus, hab ich noch nie gehört, vor allem scheint es mir so, dass du ja einen Scanner hast und der rechner immer durchs Netz aktuell ist.

Nein das ist KEIN Scherz.
Ich bin momentan an meinem Laptop. Es klingt zwar blöd aber ich habe lediglich deinen Beitrag übersehen.
Aber trotzdem danke, ich werde es mit den Hijackthis probieren.
Und falls es wer will kann ich die Auswertung auch hier reinkopieren.

loop
01.04.2010, 14:43
Hijack hilft halt gegen evtl. gefährliche Einträge in der Registry. Dort sind die meisten Trojaner eingenistet.
Aber Vorsicht: Manche Einträge können falsch alarm sein, aber ist nicht so schlimm, wenn du eh, falls es scheitert neu aufsetzt;)
Es kann nämlich sein, wenn du den falschen alarm "fixt" und er im System verankert ist, dass danach das OS kaputt ist.

llol
01.04.2010, 14:52
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:54, on 01.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Microsoft Security Essentials\msseces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\M.A\Eigene Dateien\Programs\DAEMON Tools Lite\daemon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [MSSE] "c:\Programme\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Dokumente und Einstellungen\M.A\Eigene Dateien\Programs\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\winbooter\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6126 bytes

Hier ist das Logfile!
Muss man nur noch hier [url]http://www.hijackthis.de/de#anl[/url] reinkopieren.
Und sorry aber ich habe kein Spoiler oder soetwas gefunden.
Kann mir da jemand sagen ob da der Virus ist?

Nobody
01.04.2010, 15:02
Gib im asführen Dialog mal msconfig ein und dann auf Systemstart. dort nimmst du bei allen unbekannten einträgen das häckchen weg. auch bei denen von deinem HP Drucker. Aber das system ist so zugesetzt das eine Komplette Vierenentfernung länger dauern würde als eine Neuaufsetzung. Schon die fragwürdigen einträge im loock sprechen für sich.

loop
01.04.2010, 15:05
Nein nicht so kompliziert. Bei deinem Log steht kannst du die einzelnen Dateien dann anklicken, sodass die markiert sind und dann machst du in deinem Log ein häkchen und klickst dann auf "fix log" oder wie das heißt.
Du fixt alles was ein rotes Kreuz hat und dieses Komische Java. Dort wo evlt. Schädlich steht löschst du auch mal, das könnte was sein.

llol
01.04.2010, 15:45
So ok jetzt hab ich alles was schädlich ist einschließlich diesem Java Ding fix checked.
Bis jetzt ist auch nichts mehr passiert.
Trotzdem intressiert mich dieses Remote Chat Client, besonders deswegen weil Google nichts ausspuckt.
Und wie konnte diese Person überhaupt auf meinen PC zugreifen?
Ich mein ich habe wirklich nichts fragwürdiges installiert.
Ich weiß das sagen alle, aber es ist so.

loop
01.04.2010, 15:55
Du hast ja jetzt deinen PC gefixt. Nun solltest du nohc mal mit nem Virenscanner drübergehen