#1 24. März 2008 Hiho, ich befürchte zwar das ich im falschen Forum bin aber ich kann im Hacker&Security Forum kein Thema eröffnen. Jedenfalls hab ich gestern bei gamecopyworld etwas heruntergeladen und ausgeführt. Auf einmal find mein System an rumzuspinnen,flackern etc.... Klare sache...Internet sofort aus und Festplatte ausstöpseln. Anschliessend hab ich es geschafft mein System unter kontrolle zu bekommen und hab mir gedacht ich setze mein Betriebssystem Xp Professional um 1 Tag zurück. Jetzt meine Frage, sind dadurch auch Spuren des Virus gelöscht? Mittlerweile hab ich AVG Free Edition installiert...meint ihr, das Programm ist ratsam? Danke mal im vorraus Lg.. + Multi-Zitat Zitieren
#2 24. März 2008 AW: Systemwiederherstellung nach Virus? muss schon sagen, ein virus von gamecopyworld wäre sehr ungewöhnlich aber nicht ausgeschlossen. was hast du denn da geladen? und durch die systemwiederherstellung würdest du den virus NICHT beseitigen. du würdest lediglich den autostart des virus verhindern. solange du nicht weißt, WELCHER virus dich vielleicht befallen haben könnte rate ich von einer systemwiederherstellung ab und rate dir stattdessen eine komplettformatierung. oder VIREN ... 1. Download CCleaner achte beim installieren darauf, die yahoo toolbar nicht mitzuinstallieren. Lösche mit dem CCleaner deine Temporären Dateien. 2. Hijackthis Anleitung Zeige mir das Logfile von HJT indem du es als [code*] - [/code*] postest. 3. escan anleitung Bearbeite das Logfile (mwav.log) vom Escan indem du die mwav.log mit einem Texteditor öffnest, und jede Zeile/Eintrag die das Wort "infected" enthällt in deiner nächsten Antwort wiedergibts. mfg spotting + Multi-Zitat Zitieren
#3 24. März 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Systemwiederherstellung nach Virus? poste mal dein HiJackThis Logfile. Wie verwende Ich HiJackThis richtig. - RR:Board Gruß BenQ + Multi-Zitat Zitieren
#4 24. März 2008 AW: Systemwiederherstellung nach Virus? Wow, danke für die schnelle antwort!!! Also 1 nach dem anderen...wie gesagt, ich hatte gestern avg free edition installiert und hab damit auch schon einige dateien gelöscht. Hier mal die Logfile: Code: - <history> - <!-- 01c88d038480a1e0 --> - <rec time="2008/03/23 16:32:42" user="SYSTEM" source="Update"> <value>@HL_UpdateOK</value> <attr name="version">alertmgr:496-458;avgcc:506-460;avgui:507-470;avgvv:497-458;avgw:506-458;avgwfp:510-473;core:498-476;corent:498-476;email:512-455;ems:510-474;fshmfx86:510-473;kernel:510-475;lng:496-476;lngus:508-476;setup:486-466;update:516-473;</attr> </rec> - <rec time="2008/03/23 16:35:01" user="SYSTEM" source="Update"> <value>@HL_UpdateOK</value> <attr name="version">avgui:519-507;avgwfp:519-510;avi:1278-1048;banner:492-100;ems:519-510;helpsmus:501-466;iavi:1349-875;lngus:518-508;setup:510-486;</attr> </rec> - <rec time="2008/03/23 16:35:48" user="Markus" source="General"> <value>@HL_TestStarted</value> <attr name="testname">@TestName_02</attr> </rec> - <rec time="2008/03/23 16:37:50" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lhesuob8.default\Cache\568FEEA1d01</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">SHeur.BAEH</attr> </rec> - <rec time="2008/03/23 16:48:51" user="Markus" source="Virus"> <value>@HL_ReportFindRS</value> <attr name="filename">C:\WINDOWS\system32\NETAPI.EXE</attr> <attr name="finding">@EID_Id_trj</attr> <attr name="virusname">BackDoor.Netdevil</attr> </rec> - <rec time="2008/03/23 16:48:56" user="Markus" source="Virus"> <value>@HL_ReportFindRS</value> <attr name="filename">C:\WINDOWS\system32\svehost.exe</attr> <attr name="finding">@EID_Id_trj</attr> <attr name="virusname">BackDoor.RBot.AS</attr> </rec> - <rec time="2008/03/23 16:50:26" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\WINDOWS\system32\NETAPI.EXE</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 16:50:35" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\WINDOWS\system32\svehost.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 16:51:28" user="Markus" source="Virus"> <value>@HL_ReportFindRS</value> <attr name="filename">C:\WINDOWS\system32\WLCtrl32(2).dll</attr> <attr name="finding">@EID_Id_trj</attr> <attr name="virusname">Downloader.Agent.ADQR</attr> </rec> - <rec time="2008/03/23 16:51:41" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\WINDOWS\system32\WLCtrl32(2).dll</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 17:08:49" user="Markus" source="Virus"> <value>@HL_ReportFindRS</value> <attr name="filename">C:\WINDOWS\system32\efcywtq.dll</attr> <attr name="finding">@EID_Fi_vir</attr> <attr name="virusname">Win32/PolyCrypt</attr> </rec> - <rec time="2008/03/23 17:09:19" user="Markus" source="Virus"> <value>@HL_ReportFindRS</value> <attr name="filename">C:\WINDOWS\system32\efcywtq.dll</attr> <attr name="finding">@EID_Fi_vir</attr> <attr name="virusname">Win32/PolyCrypt</attr> </rec> - <rec time="2008/03/23 17:12:01" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\WINDOWS\system32\efcywtq.dll</attr> <attr name="action">@HL_ActVVInserted</attr> </rec> - <rec time="2008/03/23 17:54:26" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP88\A0022367.dll</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">Downloader.Agent.ADQQ</attr> </rec> - <rec time="2008/03/23 17:54:27" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022395.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">Downloader.Zlob.UVG</attr> </rec> - <rec time="2008/03/23 17:54:29" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022402.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">SHeur.AZGP</attr> </rec> - <rec time="2008/03/23 17:54:34" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022410.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">Downloader.Small.BXG</attr> </rec> - <rec time="2008/03/23 17:54:34" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022411.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">Downloader.Agent.ADOT</attr> </rec> - <rec time="2008/03/23 17:54:34" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022413.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">Downloader.Generic7.AZY</attr> </rec> - <rec time="2008/03/23 17:54:34" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022414.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">SHeur.BAEH</attr> </rec> - <rec time="2008/03/23 17:54:55" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022626.EXE</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">BackDoor.Netdevil</attr> </rec> - <rec time="2008/03/23 17:54:56" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022627.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">BackDoor.RBot.AS</attr> </rec> - <rec time="2008/03/23 17:54:56" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022628.dll</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">Downloader.Agent.ADQQ</attr> </rec> - <rec time="2008/03/23 17:54:56" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022669.dll</attr> <attr name="type">@EID_Fi_vir</attr> <attr name="what">Win32/PolyCrypt</attr> </rec> </rec> - <rec time="2008/03/23 18:13:41" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">F:\Spiele\## Setups & Images ##\Fritz9 keygen.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">Generic5.JGH</attr> </rec> - <rec time="2008/03/23 18:22:04" user="Markus" source="General"> <value>@HL_TestStarted</value> <attr name="testname">@TestName_12</attr> </rec> - <rec time="2008/03/23 18:22:04" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\Dokumente und Einstellungen\Markus\Desktop\sims_bon_voyage_(gute_reise)_1.0.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">SHeur.BAEH</attr> </rec> - <rec time="2008/03/23 18:22:04" user="Markus" source="General"> <value>@HL_TestEnded</value> <attr name="testname">@TestName_12</attr> <attr name="infectedfiles">3</attr> </rec> - <rec time="2008/03/23 18:28:03" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">F:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP24\A0006909.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">BackDoor.VB.9.BQ</attr> </rec> </rec> - <rec time="2008/03/23 18:30:05" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">F:\Appz\Adobe Premiere Pro 7.0 (With Key).rar</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">Delf.CHK</attr> </rec> - <rec time="2008/03/23 18:34:36" user="Markus" source="General"> <value>@HL_TestEnded</value> <attr name="testname">@TestName_02</attr> <attr name="infectedfiles">22</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lhesuob8.default\Cache\568FEEA1d01</attr> <attr name="action">@HL_ActVVInserted</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP88\A0022366.exe</attr> <attr name="action">@HL_ActVVInserted</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP88\A0022367.dll</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022395.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022402.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022410.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022411.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022413.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022414.exe</attr> <attr name="action">@HL_ActVVInserted</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022626.EXE</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022627.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022628.dll</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022669.dll</attr> <attr name="action">@HL_ActVVInserted</attr> </rec> - <rec time="2008/03/23 18:34:38" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">F:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP24\A0006909.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:38" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">F:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP24\A0006910.exe</attr> <attr name="action">@HL_ActCleaned</attr> </rec> - <rec time="2008/03/23 18:34:38" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">F:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022674.exe</attr> <attr name="action">@HL_ActVVInserted</attr> </rec> - <rec time="2008/03/24 08:00:02" user="Markus" source="General"> <value>@HL_TestStarted</value> <attr name="testname">@TestName_02</attr> </rec> - <rec time="2008/03/24 08:25:12" user="Markus" source="Virus"> <value>@HL_ReportFind</value> <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022672.exe</attr> <attr name="type">@EID_Id_trj</attr> <attr name="what">SHeur.BAEH</attr> </rec> - <rec time="2008/03/24 08:58:26" user="Markus" source="General"> <value>@HL_TestEnded</value> <attr name="testname">@TestName_02</attr> <attr name="infectedfiles">3</attr> </rec> - <rec time="2008/03/24 08:58:27" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022672.exe</attr> <attr name="action">@HL_ActVVInserted</attr> </rec> - <rec time="2008/03/24 09:06:24" user="SYSTEM" source="Update"> <value>@HL_UpdateOK</value> <attr name="version">iavi:1350-1349;</attr> </rec> - <rec time="2008/03/24 15:05:43" user="SYSTEM" source="Virus"> <value>@HL_ReportFindRS</value> <attr name="filename">C:\WINDOWS\system32\drivers\Djq01.sys</attr> <attr name="finding">@EID_Id_trj</attr> <attr name="virusname">Downloader.Agent.ADRG</attr> </rec> - <rec time="2008/03/24 15:06:03" user="Markus" source="Virus"> <value>@HL_ActionTaken</value> <attr name="filename">C:\WINDOWS\system32\drivers\Djq01.sys</attr> <attr name="action">@HL_ActCleaned</attr> </rec> </history> Edit: Ich hoffe es bringt etwas...also ich werd daraus nicht schlau (bin ein Amateur in solchen sachen). Ich wollte den NoCD von Sims2 - Gute Reise Auf jedenfall hier noch die Log aus HijackThis: Code: Logfile of HijackThis v1.99.1 Scan saved at 16:10:44, on 24.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Winamp\winamp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203692629960 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe + Multi-Zitat Zitieren
#5 24. März 2008 AW: Systemwiederherstellung nach Virus? ACHTUNG: Sobald Ihr Computer durch Backdoors oder Trojaner/Viren/Keylogger angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat. Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben: * Entwenden oder Ändern von Kennwörtern oder Kennwortdateien * Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren) * Installieren von Software zur Aufzeichnung von Tastatureingaben * Konfigurieren von Firewall-Regeln * Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw. * Löschen und Bearbeiten von Dateien * Versenden von anstößigem oder diskriminierendem Material von einem E-Mail-Benutzerkonto * Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien * Löschen von Protokolldateien, um solche Aktivitäten zu verbergen Viele Würmer richten auf den von Ihnen befallenen System sogenannte Backdoors (Hintertüren) ein, durch die der Autor des Wurms die vollständige Kontrolle über den Rechner erhält. Einen solchen Rechner nennt man in der Szene einen "Zombie" oder "Bot" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.) Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat. fazit - formatieren, und alle passwörter ändern! + Multi-Zitat Zitieren
#6 24. März 2008 AW: Systemwiederherstellung nach Virus? Ok, vielen dank!! Zum glück mach ich kein Onlinebanking oder ähnliches wo es gefährlich werden könnte. Jetzt noch eine abschliessende frage: Nach der neuinstallation von Windows, was für programme sind empfehlenswert zum Schutz? + Multi-Zitat Zitieren
#7 24. März 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Systemwiederherstellung nach Virus? Windows FAQ - RR:Board + Multi-Zitat Zitieren