Systemwiederherstellung nach Virus?

Dieses Thema im Forum "Windows" wurde erstellt von kurCo, 24. März 2008 .

Schlagworte:
  1. 24. März 2008
    Hiho, ich befürchte zwar das ich im falschen Forum bin aber ich kann im Hacker&Security Forum kein Thema eröffnen.
    Jedenfalls hab ich gestern bei gamecopyworld etwas heruntergeladen und ausgeführt. Auf einmal find mein System an rumzuspinnen,flackern etc....
    Klare sache...Internet sofort aus und Festplatte ausstöpseln.
    Anschliessend hab ich es geschafft mein System unter kontrolle zu bekommen und hab mir gedacht ich setze mein Betriebssystem Xp Professional um 1 Tag zurück. Jetzt meine Frage, sind dadurch auch Spuren des Virus gelöscht?
    Mittlerweile hab ich AVG Free Edition installiert...meint ihr, das Programm ist ratsam?

    Danke mal im vorraus
    Lg..
     
  2. 24. März 2008
    AW: Systemwiederherstellung nach Virus?

    muss schon sagen, ein virus von gamecopyworld wäre sehr ungewöhnlich aber nicht ausgeschlossen.

    was hast du denn da geladen?

    und

    durch die systemwiederherstellung würdest du den virus NICHT beseitigen. du würdest lediglich den autostart des virus verhindern. solange du nicht weißt, WELCHER virus dich vielleicht befallen haben könnte rate ich von einer systemwiederherstellung ab und rate dir stattdessen eine komplettformatierung.

    oder

    VIREN ...
    1. Download CCleaner
    achte beim installieren darauf, die yahoo toolbar nicht mitzuinstallieren.
    Lösche mit dem CCleaner deine Temporären Dateien.

    2. Hijackthis Anleitung
    Zeige mir das Logfile von HJT indem du es als [code*] - [/code*] postest.

    3. escan anleitung
    Bearbeite das Logfile (mwav.log) vom Escan indem du die mwav.log mit einem Texteditor öffnest, und jede Zeile/Eintrag die das Wort "infected" enthällt in deiner nächsten Antwort wiedergibts.

    mfg spotting
     
  3. 24. März 2008
    AW: Systemwiederherstellung nach Virus?

    Wow, danke für die schnelle antwort!!!

    Also 1 nach dem anderen...wie gesagt, ich hatte gestern avg free edition installiert und hab damit auch schon einige dateien gelöscht.
    Hier mal die Logfile:​


    Code:
    - <history>
    - <!-- 01c88d038480a1e0 
     --> 
    - <rec time="2008/03/23 16:32:42" user="SYSTEM" source="Update">
     <value>@HL_UpdateOK</value> 
     <attr name="version">alertmgr:496-458;avgcc:506-460;avgui:507-470;avgvv:497-458;avgw:506-458;avgwfp:510-473;core:498-476;corent:498-476;email:512-455;ems:510-474;fshmfx86:510-473;kernel:510-475;lng:496-476;lngus:508-476;setup:486-466;update:516-473;</attr> 
     </rec>
    - <rec time="2008/03/23 16:35:01" user="SYSTEM" source="Update">
     <value>@HL_UpdateOK</value> 
     <attr name="version">avgui:519-507;avgwfp:519-510;avi:1278-1048;banner:492-100;ems:519-510;helpsmus:501-466;iavi:1349-875;lngus:518-508;setup:510-486;</attr> 
     </rec>
    - <rec time="2008/03/23 16:35:48" user="Markus" source="General">
     <value>@HL_TestStarted</value> 
     <attr name="testname">@TestName_02</attr> 
     </rec>
    - <rec time="2008/03/23 16:37:50" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lhesuob8.default\Cache\568FEEA1d01</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">SHeur.BAEH</attr> 
     </rec>
    - <rec time="2008/03/23 16:48:51" user="Markus" source="Virus">
     <value>@HL_ReportFindRS</value> 
     <attr name="filename">C:\WINDOWS\system32\NETAPI.EXE</attr> 
     <attr name="finding">@EID_Id_trj</attr> 
     <attr name="virusname">BackDoor.Netdevil</attr> 
     </rec>
    - <rec time="2008/03/23 16:48:56" user="Markus" source="Virus">
     <value>@HL_ReportFindRS</value> 
     <attr name="filename">C:\WINDOWS\system32\svehost.exe</attr> 
     <attr name="finding">@EID_Id_trj</attr> 
     <attr name="virusname">BackDoor.RBot.AS</attr> 
     </rec>
    - <rec time="2008/03/23 16:50:26" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\WINDOWS\system32\NETAPI.EXE</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 16:50:35" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\WINDOWS\system32\svehost.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 16:51:28" user="Markus" source="Virus">
     <value>@HL_ReportFindRS</value> 
     <attr name="filename">C:\WINDOWS\system32\WLCtrl32(2).dll</attr> 
     <attr name="finding">@EID_Id_trj</attr> 
     <attr name="virusname">Downloader.Agent.ADQR</attr> 
     </rec>
    - <rec time="2008/03/23 16:51:41" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\WINDOWS\system32\WLCtrl32(2).dll</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 17:08:49" user="Markus" source="Virus">
     <value>@HL_ReportFindRS</value> 
     <attr name="filename">C:\WINDOWS\system32\efcywtq.dll</attr> 
     <attr name="finding">@EID_Fi_vir</attr> 
     <attr name="virusname">Win32/PolyCrypt</attr> 
     </rec>
    - <rec time="2008/03/23 17:09:19" user="Markus" source="Virus">
     <value>@HL_ReportFindRS</value> 
     <attr name="filename">C:\WINDOWS\system32\efcywtq.dll</attr> 
     <attr name="finding">@EID_Fi_vir</attr> 
     <attr name="virusname">Win32/PolyCrypt</attr> 
     </rec>
    - <rec time="2008/03/23 17:12:01" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\WINDOWS\system32\efcywtq.dll</attr> 
     <attr name="action">@HL_ActVVInserted</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:26" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP88\A0022367.dll</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">Downloader.Agent.ADQQ</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:27" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022395.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">Downloader.Zlob.UVG</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:29" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022402.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">SHeur.AZGP</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:34" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022410.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">Downloader.Small.BXG</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:34" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022411.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">Downloader.Agent.ADOT</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:34" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022413.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">Downloader.Generic7.AZY</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:34" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022414.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">SHeur.BAEH</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:55" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022626.EXE</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">BackDoor.Netdevil</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:56" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022627.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">BackDoor.RBot.AS</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:56" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022628.dll</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">Downloader.Agent.ADQQ</attr> 
     </rec>
    - <rec time="2008/03/23 17:54:56" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022669.dll</attr> 
     <attr name="type">@EID_Fi_vir</attr> 
     <attr name="what">Win32/PolyCrypt</attr> 
     </rec>
     </rec>
    - <rec time="2008/03/23 18:13:41" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">F:\Spiele\## Setups & Images ##\Fritz9 keygen.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">Generic5.JGH</attr> 
     </rec>
    - <rec time="2008/03/23 18:22:04" user="Markus" source="General">
     <value>@HL_TestStarted</value> 
     <attr name="testname">@TestName_12</attr> 
     </rec>
    - <rec time="2008/03/23 18:22:04" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\Dokumente und Einstellungen\Markus\Desktop\sims_bon_voyage_(gute_reise)_1.0.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">SHeur.BAEH</attr> 
     </rec>
    - <rec time="2008/03/23 18:22:04" user="Markus" source="General">
     <value>@HL_TestEnded</value> 
     <attr name="testname">@TestName_12</attr> 
     <attr name="infectedfiles">3</attr> 
     </rec>
    - <rec time="2008/03/23 18:28:03" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">F:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP24\A0006909.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">BackDoor.VB.9.BQ</attr> 
     </rec>
     </rec>
    - <rec time="2008/03/23 18:30:05" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">F:\Appz\Adobe Premiere Pro 7.0 (With Key).rar</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">Delf.CHK</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:36" user="Markus" source="General">
     <value>@HL_TestEnded</value> 
     <attr name="testname">@TestName_02</attr> 
     <attr name="infectedfiles">22</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lhesuob8.default\Cache\568FEEA1d01</attr> 
     <attr name="action">@HL_ActVVInserted</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP88\A0022366.exe</attr> 
     <attr name="action">@HL_ActVVInserted</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP88\A0022367.dll</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022395.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022402.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022410.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022411.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022413.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP89\A0022414.exe</attr> 
     <attr name="action">@HL_ActVVInserted</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022626.EXE</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022627.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022628.dll</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:37" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022669.dll</attr> 
     <attr name="action">@HL_ActVVInserted</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:38" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">F:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP24\A0006909.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:38" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">F:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP24\A0006910.exe</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
    - <rec time="2008/03/23 18:34:38" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">F:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022674.exe</attr> 
     <attr name="action">@HL_ActVVInserted</attr> 
     </rec>
    - <rec time="2008/03/24 08:00:02" user="Markus" source="General">
     <value>@HL_TestStarted</value> 
     <attr name="testname">@TestName_02</attr> 
     </rec>
    - <rec time="2008/03/24 08:25:12" user="Markus" source="Virus">
     <value>@HL_ReportFind</value> 
     <attr name="where">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022672.exe</attr> 
     <attr name="type">@EID_Id_trj</attr> 
     <attr name="what">SHeur.BAEH</attr> 
     </rec>
    - <rec time="2008/03/24 08:58:26" user="Markus" source="General">
     <value>@HL_TestEnded</value> 
     <attr name="testname">@TestName_02</attr> 
     <attr name="infectedfiles">3</attr> 
     </rec>
    - <rec time="2008/03/24 08:58:27" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP90\A0022672.exe</attr> 
     <attr name="action">@HL_ActVVInserted</attr> 
     </rec>
    - <rec time="2008/03/24 09:06:24" user="SYSTEM" source="Update">
     <value>@HL_UpdateOK</value> 
     <attr name="version">iavi:1350-1349;</attr> 
     </rec>
    - <rec time="2008/03/24 15:05:43" user="SYSTEM" source="Virus">
     <value>@HL_ReportFindRS</value> 
     <attr name="filename">C:\WINDOWS\system32\drivers\Djq01.sys</attr> 
     <attr name="finding">@EID_Id_trj</attr> 
     <attr name="virusname">Downloader.Agent.ADRG</attr> 
     </rec>
    - <rec time="2008/03/24 15:06:03" user="Markus" source="Virus">
     <value>@HL_ActionTaken</value> 
     <attr name="filename">C:\WINDOWS\system32\drivers\Djq01.sys</attr> 
     <attr name="action">@HL_ActCleaned</attr> 
     </rec>
     </history>

    Edit:


    Ich hoffe es bringt etwas...also ich werd daraus nicht schlau (bin ein Amateur in solchen sachen).
    Ich wollte den NoCD von Sims2 - Gute Reise

    Auf jedenfall hier noch die Log aus HijackThis:
    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 16:10:44, on 24.03.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Programme\D-Tools\daemon.exe
    C:\WINDOWS\system32\DVDRAMSV.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Programme\Winamp\winamp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203692629960
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
     
  4. 24. März 2008
    AW: Systemwiederherstellung nach Virus?

    ACHTUNG: Sobald Ihr Computer durch Backdoors oder Trojaner/Viren/Keylogger angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.

    Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben:

    * Entwenden oder Ändern von Kennwörtern oder Kennwortdateien
    * Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren)
    * Installieren von Software zur Aufzeichnung von Tastatureingaben
    * Konfigurieren von Firewall-Regeln
    * Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
    * Löschen und Bearbeiten von Dateien
    * Versenden von anstößigem oder diskriminierendem Material von einem E-Mail-Benutzerkonto
    * Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien
    * Löschen von Protokolldateien, um solche Aktivitäten zu verbergen

    Viele Würmer richten auf den von Ihnen befallenen System sogenannte Backdoors (Hintertüren) ein, durch die der Autor des Wurms die vollständige Kontrolle über den Rechner erhält. Einen solchen Rechner nennt man in der Szene einen "Zombie" oder "Bot" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.)

    Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.
    ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.

    fazit - formatieren, und alle passwörter ändern!
     
  5. 24. März 2008
    AW: Systemwiederherstellung nach Virus?

    Ok, vielen dank!!
    Zum glück mach ich kein Onlinebanking oder ähnliches wo es gefährlich werden könnte.

    Jetzt noch eine abschliessende frage: Nach der neuinstallation von Windows, was für programme sind empfehlenswert zum Schutz?
     
  6. 24. März 2008
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Systemwiederherstellung nach Virus?

    Windows FAQ - RR:Board
     
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.