Virenhilfe bei einem Bekanntem

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Dimi, 13. November 2008 .

  1. 13. November 2008
    jo hi,

    soll einen bekannten bei der virenbekämpfung beraten.

    er meint sein pc fährt in unregelmäßigen abständen automatisch herunter. sein Avira Antivir findet zwar die viren kann sie aber nich beseitigen.

    bis jetzt hab ich ihm gesagt er soll mal paar hijack this scans drüber laufen lassen und die gefährlichen prozesse fixen.

    das hier ist sein 1. hijack this scanlog:
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:06:31, on 10.11.2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal
    
    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\dllcache\prsc32.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINNT\system32\mdm.exe
    C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Programme\ArcorOnline\AOButler.exe
    D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.freeart1cile.com"]http://www.freeart1cile.com[/URL]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.arcor.de"]http://www.arcor.de[/URL]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.arcor.de"]http://www.arcor.de[/URL]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.arcor.de"]http://www.arcor.de[/URL]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
    F3 - REG:win.ini: load= 
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [mmsass] msv.exe
    O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe
    O4 - HKLM\..\Run: [dsgb] C:\WINNT\system32\lcsass.exe
    O4 - HKLM\..\RunServices: [mmsass] msv.exe
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe
    O4 - HKCU\..\Run: [dsgb] C:\WINNT\system32\lcsass.exe
    O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
    O4 - HKUS\.DEFAULT\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.update.microsoft.com%2Fwindowsupdate%2Fv6%2FV5Controls%2Fen%2Fx86%2Fclient%2Fwuweb_site.cab%3F1223314356584"]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223314356584[/URL]
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D4E84EA9-3AE4-47B0-B534-F6712591087C}: NameServer = 195.50.140.178 195.50.140.114
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: le4y2g5b8o7 - Unknown owner - C:\WINNT\system32\svshost.exe (file missing)
    O23 - Service: NTFS Crypto Technology (NTFSCrypt) - Unknown owner - C:\WINNT\system32\ntfscrypt.exe (file missing)
    O23 - Service: Windows Process Sevices - Unknown owner - C:\WINNT\system32\dllcache\prsc32.exe
    
    --
    End of file - 4328 bytes
    nachdem er die gefährlichen sachen gefixt hat bleibt noch einer übrig der sich nich fixen lässt:

    023-Service: NTFS Crypto Technology (NTFSCrypt)-Unknown owner - C:\WINNT\system32\ntfscrypt.exe (file missing)

    Avira findet jetzt noch 2 viren:

    C:\WINNT\system32\helperlcsass.exe ist das Trojanische Pferd TR/Proxy.Slaper.E.12

    C:\WINNT\system32\mdm.exe enthält Erkennungsmuster des Wurmes WORM/IrcBot.24064

    wie soll er weiter machen?

    bitte keine "platt machen" posts... das is ein noob in sachen pcs und weiß bestimmt nich was formatieren ist.
     
  2. 13. November 2008
    AW: Virenhilfe bei einem Bekanntem

    IRCBot = Gefährlich wenns ein guter ist wirst du ihn nicht los ausser durchs Formatieren oder eine Systemwiederherstellung! Falls dein bekannter Online Konten etc. hat -> Formatieren!!!

    mfg
     
  3. 13. November 2008
    AW: Virenhilfe bei einem Bekanntem

    mir is grad noch eingefallen: er könnte ja mal im abgesicherten modus versuchen die viren zu löschen.

    mal schaun obs klappt...
     
  4. 13. November 2008
    AW: Virenhilfe bei einem Bekanntem

    Bei einem Bot unwahrscheinlich - Formatieren ist hier die einzigst sichere Methode
     
  5. 13. November 2008
    AW: Virenhilfe bei einem Bekanntem

    ftp://ftp.heise.de/pub/ct/projekte/knoppicillin/k6d_6.0.2.iso

    dort findet ihr knoppicillin, eine bootfähige notfall cd mit knoppix+antivirenprogramm
    einfach den rechner damit hochstarten und mal durchlaufen lassen .. funtzt sogar gegen rootkits

    mehrinfos Mit Knoppicillin auf Virenjagd | ct
     
  6. 13. November 2008
    AW: Virenhilfe bei einem Bekanntem

    sind die virendefinitionen auf dem image denn aktuell?
     
  7. 14. November 2008
    AW: Virenhilfe bei einem Bekanntem

    Natürlich nicht tagesaktuell
    Bei vorhandener Netzwerkarte erkennt er diese automatisch und holt sich aus dem Internet die aktuellen Definitionen.
     
  8. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.