Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

Virus: Fenster werden klein, in jedem Eingabefeld werden Bindestriche gezogen, Ordner lassen sich nicht mehr öffnen





Frage

Hallo, Ich habe mir einen Virus/Malware eingefangen. Er scheint sich erst während des arbeitens zu aktivieren. Dann werden alle Fenster auf einmal ganz klein, in jedem Eingabefeld (google, explorer, word...) siehen sich fortlaufend Bindestriche. Im Explorer lassen sich manche Ordner nicht öffnen. Ich wäre dankbar um jede Hilfe. Hier ist mein hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 19:06:14, on 15.05.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\System32\alg.exe

Antwort 1 von dani60

bin kein experte
aber ich denke das ne neuinstallation nicht unmöglich wäre

Antwort 2 von TByte

lass doch durchlaufen und den Virus in Quarantäne verschieben
mfg
TByte

Antwort 3 von snliebhaber

@luckyone,
du hast noch nicht mal das komplette HJT Logfile gepostet, somit unbrauchbar.
Genauso unbrauchbar wie der Tipp vom werten TByte, denn den Bösewicht, den man noch nicht mal benennen kann, wird man nicht so einfach in Quarantäne verschieben können, zumal Avira selbst evtl. schon lahmgelegt ist.
Zuerst die Systemwiederherstellung deaktivieren, dann ein komplettes Logfile posten und dann sehen wir (hoffentlich) weiter.
Die Antwort # 1 könnte die beste Lösung sein.

Antwort 4 von Galahad

Hi,

die Hijackthis Version die Du nutzt ist veraltet, neu ist 2.0.2

Ich würde vorschlagen PC im abgesicherten Modus starten
und komplettscan mit Antivir.

MfG

Antwort 5 von TByte

hey, was is eig. ne logfile?
mfg
TByte

Antwort 6 von Bassrider

lol

genau das was der Threadstarter unvollständig gepostet hat ^^

Antwort 7 von snliebhaber

@TByte
bemüh ruhig mal eine Suchmaschine!
Du glaubst gar nicht, was man da so alles erfahren kann.
Hier soll jemand konkret geholfen werden und es dreht sich mal ausnahmsweise nicht um deine Bedürfnisse .

@luckyone,
es ist möglich, daß Avira nicht mehr ordentlich funktioniert weil Avira keine Autoprotection hat aber erst mal sehen was der HTJ Log ergibt

Antwort 8 von TByte

Ich wollt das ja wissen, UM dem zu helfen

Antwort 9 von -andrea-_

beantworte lieber erst mal deine eigenen anfragen!!!

Antwort 10 von TByte

wo isn jetzt die Log-Datei?

Antwort 11 von luckyone

Hallo zusammen,

erstmal Danke für Eure Tipps. Hier ist die Logfile aus der letzten HJT Version. Der Virus ist hartnäckig, er läuft sogar im abgesicherten Modus.
Scannen mit Spybot, Windows Mai 2008 Tool, Normal Malware cleaner, Spyware Doctor, Antivir hat nichts geholfen. Ich könnte natürlich das System platt machen, befürchte aber, das er wieder auftaucht durch die gesicherten Daten, die ich in jedem Fall retten möchte.
Die Systemwiederherstellung habe ich nun abgeschaltet. Gibt es weitere Tipps?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:20, on 16.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3946 bytes

Antwort 12 von xmax

@TByte, keine ahnung, die sollte hier rein...
aber wozu willst du das wissen, kannst du damit was anfgangen?
eher nicht, antwort 5 und die frage natürlich:-))

... emm, hier:Kopieren Sie ein Logfile in die Textbox
----
jetzt hast du den salat, erzähl mal wo es drückt...

hi, siehe den link oben.

mfg

Antwort 13 von Galahad

Hmmm...ich denke das Logfile ist immer noch nicht komplett.

Es fehlen die Einträge zum Browser.
Benenne die Hijackthis.exe um in prüfung.com weil einige
Malware sich vor Hijackthis versteckt.

Mit prüfung.com erstellst Du ein neues Logfile, dann sehen wir ob es Unterschiede gibt.

MfG

Antwort 14 von Doc-Jay

@TByte, hier sieht man mal wieder deine unendliche Dummheit. Und sowas will Linux mitentwickeln... Nenene.... Ich sag nur Grundlagen, noch nichtmals due grundlegendsten Grundlagen aller Grundlagen kennst du. Was ein log-File ist wußte ich schon zu Zeiten eines C16...
Kennst du Startreck? Die haben ein Log-Buch...


Aprospos Linux: bei Avira kann man sich neuerdings eine täglich aktualisierte Anti-Viren-CD als ISO-Image runterladen und brennen. Mit der CD kann man dann den Computer starten, und dann auf Viren und Co prüfen. Hat bei mir schon ein System gereinigt!
Es gibt auch vonn Knoopix eine Linux-LiveCD, mit der kannst du auch dein System starten und auf Virenjagd gehen. Wie das geht findest du hier in der Suche (bin im Moment zu müde zum suchen)

Vielleicht kannst du damit dein System reinigen.

Der Doc

Antwort 15 von greenmatrix

Hi luckyone

Das da am PC anbringen. V-Kennung

Antwort 16 von snliebhaber

http://hijackthis.de/
hier kann man auch selbst auswerten lassen.

Logfile wie schon erwähnt ist nicht komplett und daß Malware auch im abgesicherten Modus läuft ist so die Eigenschaft von Malware.
Den Versuch mit einer Live-CD kann man durchaus machen, aber bei einer Malware die man namentlich nicht benennen kann und nur die Auswirkungen kennt, muß man vorsichtig sein wie bei Malware überhaupt.

System neu aufsetzen, funktionierende Malware-Scanner einsetzen und dann die gesicherten Daten prüfen wäre imho schneller und sicherer.

Antwort 17 von luckyone

Hallo zusammen!

Ich habe gerade versucht meinen Rechner platt zu machen und dafür habe ich die Festplatte mehrfach neu formatiert und partioniert. Selbst bei der Neuinstallation ist er wieder aufgetaucht: es werden in jedem Eingabefeld nur Bindestriche gezogen. Dann habe ich im BIOS nachgesehen, als die halbfertige Installation noch darauf war. Wenn ich mit dem Cursor auf einen Wert gegangen bin hat er wie wild angefangen sich zu ändern. Nun habe ich gar kein Betriebssystem mehr auf dem Rechner und komme nur noch in das BIOS, das sich aber gerade ganz normal verhält. Die BIOS Version ist PhoenixBIOS S3A33. Ich bin jetzt daran mit fdisk die Festplatte nochmal zu formatieren. Kann mir irgendjemand weiterhelfen?

Antwort 18 von Doc-Jay

Oha.. das sieht danach aus als ob dein Prozessor gleich beim einschalten Überhitzt. Öffne mal das Gehöuse und schaue nach ob alle Lüfter sich drehen und sauber sind.
Du kannst im BIOS auch nachschauen wie die Temperaturen sind (meißtens unter system monitor oder so ähnlich).
Mit einem Virus hat das da nix mehr zu tun, es sei denn du hast dir einen der seltenen BIOS-Viren eingefangen, das glaube ich aber kaum.

Der Doc