Virus auf frischem Windows!

NachoKing

NachoKing

Undead
Mensch, hab gestern nacht erst Windows komplett neuinstalliert *in einen anderen Ordner und den alten Windowsordner platt gemacht*. Danach hab ich bevor ich ins internet bin SP2 installiert und alle neuen Updates fürs SP2 installiert. Danach hab ich Zone Alarm, Treiber und Antivir 7 installiert.
Ich hatte praktisch alle Programme gelöscht, nur Opera hatte ich noch drauf. Nun hab ich jetzt jedoch das Problem, das im Taskmanager immer der iexplore.exe war. Ich hab den geschlossen und prompt war der wieder offen und ist immer 2760 kb gross.

Nun hab ich einfach mal opera gestartet, und plötzlich heisst das programm was sich im Taskmanager immer öffnet Opera.exe . Nur leider auch wenn KEIN browser offen ist.

Auf meiner Platte hat Spybot NICHTS gefunden, Hijackthis auch NICHTS, Antivir auch nichts! Dann ist mir eine Datei im root c:\ aufgefallen. Die hiess uno.exe hab ich mal bei virustotal.com hochgeladen und was wars? 10-15 Virenprogramme sagten "Kein Virus" und 5-8 stück sagten Trojandownloader PoisonIvy!! Hab die datei sofort gelöscht, adaware runtergeladen und full systemscan machen lassen. Der hat einen Cookie gefunden *lol, den kann er für die mühe behalten :) * und einmal den Trojaner Swizzor! Gleich platt gemacht natürlich! Leider öffnen sich immernoch diese Ominösen Programme im Hintergrund und ich weiss nichtmehr weiter :( Ist Antivir den so scheisse? AVG ist nämlich auch kacke...
 
M

McGunn0r

Chthon
Ausführen - "msconfig" ==> "Systemstart" und mal nachschaun ob da was seltsames ist

Ausführen - "services.msc" ==> Das gleiche spiel

MFG Gun
 
NachoKing

NachoKing

Undead
Schon erledigt, mein Windows ist sauber wie ein Baby popo :(

Aber ich bin mir 100% Sicher das ich was drauf hab... im Hijack This siehts auch vollkommen normal aus.
 
NachoKing

NachoKing

Undead
Leitung DSL6000. Wo kann ich onlinescan machen? Bei Virustotal geht nur einzelne files uploaden :(

Spybot und Antivir haben NIX gefunden nur Adaware... und das auch nur den Swizzor.

Den PoisonIvy hab ich mit Virustotal gefunden.

Update: Und vorhin hatte ich plötzlich einen Ordner c:\qoobox\ .. den ich vorher definitiv nicht hatte! Zonealarm ist an, meldet aber nix ungewöhnliches. Ich schätzemal, der Trojaner tarnt sich als mein Internetbrowser weil er weiss, das dieser bei den meissten Firewalls nicht blockiert ist!
 
D

Deathdragon

Demon
Olá,

versuch doch mal Windows und SP2 zu instellieren und alle Programme bei denen du 100%ig sicher bist, das ALLES soweit in Ordnung ist und schau dir deine Dienste, MSConfig, HiJack This Logs an... ggf. auch dein C:/ um zu sehen wie und wann sich was falsches (sei es nun Trojaner oder Virus) mitinstalliert. Hast di evtl. eine verseuchte Exe gezogen. So hätte ich es mal versucht...



In diesem Sinne: :prost:
 
NachoKing

NachoKing

Undead
So, Opera hab ich nun komplett den Internet zugang gekappt. Jedesmal wenn ich ihn im Prozessmanager gekillt hab wollte er wieder zur gleichen IP 193.164.131.171 verbinden. Mein bruder hatmal nachgeschaut und die gehört zu giga-dns.com ... sieht zumindest in Google aus wie ein grosser Hackerverein. Toll.

Naja, mit dem IE kann ich momentan gut verbinden und Netstat zeigt mir auch keine komischen Verbindungen an.

...
Sind da Profis am Werk oder was? Zumindest bei einem bin ich mir sicher, ohne meine Firewall sässe ich jetzt doof da und dann höre ich noch manche Leute "brauch keine Firewall, antivirus reicht aus!" ... Ja wenn denn die Antivirenprogramme alle Sachen finden würden. Wäre ich kein aufmerksamer User, wäre mein PC schon wieder futsch und meine Passwörter wohl schön ausspioniert. Mensch jetzt werde ich ganz paranoid. So ne kacke, die könnten schon alle meine Passwörter haben!! Ich deinstalliere Opera...
 
W

WzCTycWq

B.J. Blazkowicz
Vielleicht solltest du dabei auch mal die Konfiguration deiner Netzwerkverbindungen überprüfen, vorallem die DNS-Server Einstellung.

Bei mit hatte mal ein Virus dabei zu lustigen Resultaten geführt, á la auf "www.google.de" gehen und irgendwo anders rauskommen ;)
 
NachoKing

NachoKing

Undead
Alles gecheckt, DNS verbindungen OK. Zumindest spuckt Hijackthis in der Hinsicht keine Probleme aus.

Und Service Pack 2 ist natürlich mit allen Updates installiert, hatte das weiter oben auch mal geschrieben ;) Mache jetzt mal einen intesivscan mit antivir. Danach lösche ich Zonealarm und installiere mir die Sygate Personal Firewall 5.6 ...

Und seit dem ich den Opera gelöscht hab versucht der sich auch nichtmehr im Hintergrund zu öffnen. Naja zumindest hoffe ich einfach das sich das Programm nicht schon wieder als was anderes tarnt :lol:

Der Onlinescan kommt direkt nach dem Antivir scan!

Jetzt schonmal lieben dank für eure echt schnellen Antworten! :) Ich hoffe ich schaffe es das Problem zu lösen :(

*und hier ein frischer Hijack-This scan*
Logfile of HijackThis v1.99.1
Scan saved at 16:22:18, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe <- ich hab gerade antivir laufen
C:\WINXP\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe <- ich hab gerade antivir laufen
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe <- ich hab gerade antivir laufen
C:\Programme\Internet Explorer\iexplore.exe <- ich rede mit euch :)
C:\Dokumente und Einstellungen\Max.MAX-COMPUTER\Eigene Dateien\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Skype\Plugin Manager\Skype4COM.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe
 
K

[KoC]Marlboro

Pain Elemental
Die ganzen Firewalls bringen nen Rotz!
Kannste alles knicken, hab auch keine drauf! Router reicht vollkommen, es sei denn, man treibt sich täglich auf 'kuriosen Seiten' rum... ;)
 
NachoKing

NachoKing

Undead
Naja meine Routerfirewall HAT mich nicht davor geschützt das der Opera und Internet Explorer dauernd auf den GIGA-DNS Hackerserver wollten ;) Und wenn auf meinem PC eine Malware läuft, gegen die ich nichts unternehm, dann bringt auch dei Routerfirewall nix :lol:

Also mach lieber mal ne richtige Firewall mit Programmsperre drauf ;) Hab zwar jetzt nen Virus, das jedoch trotz Routerfirewall, Antivirensoftware, Updates, Patches, Spybot, Adaware und Softwarefirewall...
 
K

[KoC]Marlboro

Pain Elemental
Da hat dann wohl jemand keine Ahnung... ;)
Ich surfe schon mind. 6 Jahre lang mit Router und ohne Software-Firewall und hatte bis jetzt vllt 2 oder 3 Viren und 2 Tronjaner, die aber von verseuchten Torrents kamen...
 
Saliva

Saliva

Orbb
Hatte bis jetzt nur eine Infektion und das war ein Wurm zu Zeiten von Windows 95 über eine PC Joker CD.
Liegt wohl daran das ich für hacking porn Scheisse damals wie heute einen anderen Rechner mit alternativem Betriebssystem genutzt habe und am Hauptrechner nebst Antivirensoftware und Firewall, Alternativbrowser mit Scriptblocker sowie Webmail statt Outlook nutze.
 
M

McGunn0r

Chthon
Originally posted by [KoC]Marlboro@19.11.06, 16:01
Da hat dann wohl jemand keine Ahnung... ;)
Ich surfe schon mind. 6 Jahre lang mit Router und ohne Software-Firewall und hatte bis jetzt vllt 2 oder 3 Viren und 2 Tronjaner, die aber von verseuchten Torrents kamen...
Click to expand...
Wer hier keine Ahnung hat ist hier die frage: Was zum teufel hat ne Firewall mit heruntergeladenen Viren/Trojanern zu tun?

Weil da hilft auch keine Hardware Firewall, schwachpunkt ist der leichtsinnige user, der halt runter lädt, und nicht weiss ob quellen sicher sind oder nicht, und das mit den Torrents, da kann man sich denken was er runtergeladen hat... <== selber schuld....

MFG Gun
 
K

[KoC]Marlboro

Pain Elemental
Auch Demo-Torrents von unseriösen Seiten können verseucht sein...
Vielleicht wars etwas zu krass ausgedrückt, aber wie McGunn0r schon sagt, es liegt letzten Endes am User.
 
NachoKing

NachoKing

Undead
Das ich keine Ahnung hätte hab ich sowieso nicht ernst genommen :P

Aber wie gesagt, ich verwende auch einen Router und hab mir das Drecksding in ein fertig gepatchtes System eingefangen ;) Und wenns einmal drin ist, dann bringt dir dein Router auch nichtmehr sonderlich was :)
 
Saliva

Saliva

Orbb
Die so genannte «Überlebenszeit» eines Rechners - wie Experten die Fähigkeit nennen, ungeschützt und ohne Infektion im Internet zu verbringen beträgt durchschnittlich gerade mal 20 Minuten. (Zu einer Infektion muss man nichtmal im Internet surfen oder etwas herunterladen, es reicht damit verbunden zu sein).

Die 20 Minuten reichen kaum aus, die wichtigsten Windows-Updates herunterzuladen. So benötigt etwas das «Service Pack 2», das Microsoft für Windows XP als bislang wichtigste Sicherheitsaktualisierung bezeichnet, selbst über eine schnelle DSL-Leitung bis zu einer halben Stunde.

Einzige Möglichkeit, dies zu umgehen, ist, die wichtigsten Anti-Viren-Updates von einem geschützten Rechner herunterzuladen, sie auf CD zu brennen und anschließend zu installieren. Hilfreich ist auch der Einsatz eines Routers mit eingebauter Firewall, der viele Gefahren bereits vor Eintreffen am PC abwehren kann - über das so genannte «Network Address Translation»-Verfahren ist der Rechner nicht direkt im Internet sichtbar und kann daher nicht sofort erreicht werden. Vor Gefahren auf Websites oder E-Mail-Viren schützt ein solcher Router aber nicht.
 
You must log in or register to reply here.
Top