Virenproblem...

Örg

Moin,

ich hab irgendwas im hintergrund laufen was mir andauernd im 5-minuten takt irgendwleche Webseiten die sich als Suche ausgeben öffnet.

Mein Hijackthis-Log ist übrigens:

Code

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:14:31, on 21.10.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal


Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\mixer.exe
C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\explorer.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\Program Files\X-Chat 2\xchat.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Winamp\Winamp.exe
C:\Users\Oerg866\Desktop\Musicreation\MPT\mptrack.exe
C:\Windows\system32\wuauclt.exe
C:\Programme\Audacity\audacity.exe
C:\Users\Oerg866\AppData\Local\Opera\Opera\temporary_downloads\HiJackThis204.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\RunOnce: [XG_Synth] rundll32.exe /N streamci.dll,StreamingDeviceSetup {CEA6A804-0F0C-4fcf-B30F-CC12D19D3E88},SXGXGWDM,{DFF220F3-F70F-11D0-B917-00A0C9223196},C:\Windows\System32\DriverStore\FileRepository\sxgxgwdm.inf_x86_neutral_06b1a3147a1c017d\sxgxgwdm.inf,WDM_SOFTXG.Interface.Install
O4 - HKLM\..\RunOnce: [XG_Audio] rundll32.exe /N streamci.dll,StreamingDeviceSetup {CEA6A804-0F0C-4fcf-B30F-CC12D19D3E88},SXGXGWDM,{6994AD04-93EF-11D0-A3CC-00A0C9223196},C:\Windows\System32\DriverStore\FileRepository\sxgxgwdm.inf_x86_neutral_06b1a3147a1c017d\sxgxgwdm.inf,WDM_SOFTXG.Interface.Install
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
O4 - Startup: Kill.bat
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: NETGEAR WG111v3 Setup-Assistent.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D0FE3C2-000A-4833-B30E-8213DD01D45D}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8819BE3E-723C-4741-A153-9ADF53F06D43}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E46C6D44-9269-4421-B3D8-76BDEE9B3385}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF701257-0839-4C84-9799-30AEB8D0EABF}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\xampplite\apache\bin\httpd.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\Windows\system32\libusbd-nt.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: MySQL - Unknown owner - C:\xampp\xampplite\mysql\bin\mysqld.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Parallels DHCP Service for Virtual NIC (PRLDHCP) - Parallels Software International, Inc. - C:\Program Files\Parallels\Parallels Workstation\PRLDHCP.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe


--
End of file - 8608 bytes

Alles anzeigen

Manchmal wechselt der Windows skin kurzzeitig in den Classic modus, aber wechselt danach direkt wieder ins aero...

Was könnte das sein?

Gruß
Örg

Smaecks

Was hast du denn als letztes Installiert ? und kannst du mal den inhalt deiner hosts hochladen ?? Wenn sie so aussieht ist es okay
Pfad zur Hosts Z.B.:C:\WINDOWS\system32\drivers\etc (unter XP weiß nich wie unter Vista/7)

Zitat

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Alles anzeigen

Playitlouder

Laut log online Auswertung ist da nix böses drin...

Antivir mal in den Einstellungen alles auf HOCH setzen und vollständigen Scan machen, ob es dann was findet...

Dirk

was ist xchat?

bei heise gibts auch nen security check, welcher die gängisten programme auf aktualität prüft.

wie sieht es mit deienr benutzerkontosteuerung aus?

Playitlouder

Xchat ist ein Chatprogramm fürs IRC.... Dirk (ist also nichts Böses ^^)

Dirk

was für seiten werden geöffnet, vielleicht wäre das nen ansatz. in welchen browser, und was sind da für addons drin.

xchrissix95

Am besten wäre es, sich eine Viren-CD zu downloaden wie zum Bleistift Antivir Rescue CD und damit mal zu scannen. Man weiß ja nie ob der Virenscanner schon manipuliert wurde

niwax

Wie wärs mit nem gescheiten Virenscanner? AntiVir ist nich so der Bringer, versuchs mal so: Sicherheits-Center & das Sicherheits-Special - COMPUTER BILD Live-CD runterladen und wenn dein PC wieder clean ist Kaspersky draufschmeisen (ist btw der einzige Grund, warum ich mich auf so Seiten beweg bzw so zeitschriften kauf)

xchrissix95

Und wenn der PC wenig Resourcen hat dann avast

**DosAmp**

Code

O4 - Startup: Kill.bat

ist das einzige, was irgendwie ansatzweise verdächtig klingt. Ansonsten kannst du dir fast schon sicher sein, ein schönes Rootkit auf der Platte zu haben, dass du im laufenden Betrieb nicht entfernt bekommst.

Und bitte kein Virenscanner-Gebashe. Es gibt genug Dinge, die Antivir, Avast, Kaspersky etc. nicht oder falsch finden, also im Zweifelsfall lieber mehrere davon nehmen.

xchrissix95

Am besten wär es eh neu aufzusetzen, man weiß ja nie was der Virus alles angerichtet hat

Örg

Zitat von DosAmp
Code
O4 - Startup: Kill.bat
ist das einzige, was irgendwie ansatzweise verdächtig klingt.

kill.bat ist mein eigenes batch file dass unnötige hintergrundprozesse (itunes, logitech blah, terratec schedule etc.) killt...

Smaecks

Wie gesagt schreib mal was für websites angesurft werden aber bitte nicht so:http://Http://www.google.de sondern so Hxxp://http://www.google.de dann poste vom ccleaner ein install log und poste den inhalt deiner hosts datei

thosch97

Zitat von Stronghold Freak

Wie gesagt schreib mal was für websites angesurft werden aber bitte nicht so:http://Http://www.google.de sondern so Hxxp://http://www.google.de dann poste vom ccleaner ein install log und poste den inhalt deiner hosts datei

Wenn man das schnell in $editor packt uns suchen/ersetzen "http" durch "h++p" oder so macht, gehts viel schneller als von hand

Smaecks

zum beispiel

Örg

Ccleaner kommt gleich. Meine hosts sieht so aus:

127.0.0.1 localhost

Die angesurften webseiten haben wohl was mit meinen google-suchen zu tun. Als ich nach rootkit gegooglet hatte kam irgendwann folgendes:

hxxp://mylifeisballer.com/default.pk?tsearch=rootkit&search_button.x=0&search_button.y=0

Örg

hxxp://rlkv.net.in/scaner/?id=02958

hat sich gerade geöffnet und Avira hat eine virenmeldung gezeigt ...

Smaecks

okay gehe mal diesen tutorial nach und poste den log hier Anleitung: Malwarebytes Anti-Malware - Trojaner-Board

Playitlouder

Ich geb dir einen Tipp: besorge die ne Ubuntu Live CD, sichere deine Daten und setz dann dein System neu auf.
Das Schützt deine und unsere Nerven:P

MaTel

Zitat von Playitlouder

Ich geb dir einen Tipp: besorge die ne Ubuntu Live CD, sichere deine Daten und setz dann dein System neu auf.
Das Schützt deine und unsere Nerven:P

Sehe ich genauso. Alles andere wäre grob fahrlässig. Das einzige, was mir von Interesse wäre, wie und wodurch ich mir diese Verseuchung reingeholt habe.

Jetzt mitmachen!