Viren, Spyware, Datenschutz 11.250 Themen, 94.778 Beiträge

Verfolgung starten Optionen

Desktop und Einstellungen geändert - Malware?

angela79at / 16 Antworten / Baumansicht Nickles

Hallo,

heute habe ich beim Öffnen einer Internetseite eine Meldung über a.exe von meiner Virensoftware bekommen und ich habe auf "Zugriff verweigern" geklickt. Zuerst ist mir nichts aufgefallen, aber dann habe ich gesehen, daß mein Desktop geändert ist (dort steht unter anderem:
Warning! Spyware detected on your computer!
Warning!Win32/Adware.Virtumonde detected on your computer
Warning!Win32/PrivacyRemover.M64)
und meine Einstellungen (z.B. Windows-Sounds) sind auch geändert.

Ich habe gegoogelt und die Symptome sind so wie bei der Malware XP-Guard. Einziges Problem: XP-Guard findet sich nicht auf meinem PC, wenn ich es manuell deinstallieren will, und diverse Programme finden auch nichts.

Im Task Manager finden sich folgendes verdächtiges Programm:
lphcekvj0ejer.exe
zu dem ich leider keine Infos finden konnte. Könnt Ihr mir vielleicht weiterhelfen?

Danke im voraus,
Angela

bei Antwort benachrichtigen
shrek3 angela79at „Desktop und Einstellungen geändert - Malware?“
Optionen

Hallo angela79at,

kannst du mal ein Bild von deinem veränderten Desktop hochladen?

Geht kostenlos hier:
http://www.250kb.de/

Sieht aber gar nicht gut aus und wahrscheinlich kommst du nicht um eine Neuinstallation herum.

Zeig uns aber erst mal deinen Desktop.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
angela79at shrek3 „Hallo angela79at, kannst du mal ein Bild von deinem veränderten Desktop...“
Optionen

Hallo,

hier ist das Photo:
http://www.250kb.de/u/080823/j/12b43450.jpg

Liebe Gruesse,
Angela

bei Antwort benachrichtigen
pema1983 angela79at „Hallo, hier ist das Photo: http://www.250kb.de/u/080823/j/12b43450.jpg Liebe...“
Optionen

Hallo Angela

das sieht nicht sehr vertrauenerweckend aus.

Welcher Scanner meldet den Schädling, und in welchem Pfad wird dieser gefunden?

Schau hierzu bitte im Scanreport nach.

MfG, pema

bei Antwort benachrichtigen
angela79at pema1983 „Hallo Angela das sieht nicht sehr vertrauenerweckend aus. Welcher Scanner meldet...“
Optionen

Hallo,

die Meldung habe ich von Avira AntiVir erhalten, ich weiß nicht mehr, wo die Datei genau war. Danach habe ich den Virenscanner am ganzen Laufwerk laufen gelassen und das war das Ergebnis:
Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temp\.tt1.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49233076.qua' verschoben!
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temp\.tt2.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49233078.qua' verschoben!
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temp\.tt450.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4923307a.qua' verschoben!
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2WCI3BOP\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LAVKHEN\appD[1].cab
[0] Archivtyp: CAB (Microsoft)
--> inapp5.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AHDK.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491f30d7.qua' verschoben!
C:\Programme\WINDOWS\scvhost.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Xeol.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4925352c.qua' verschoben!
C:\WINDOWS\system32\msdtcs.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.kdt
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491337c0.qua' verschoben!
C:\WINDOWS\system32\phcekvj0ejer.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491237be.qua' verschoben!

Die letzte Meldung scheint zumindest damit zusammenzuhängen, dem Namen nach.

Bisher habe ich folgende Probleme festgestellt:
1) Das Hintergrundbild und der Bildschirmschoner ließen sich nicht ändern. Das habe ich mittlerweile in der Registry beheben können.
2) Die "dead keys" der Tastatur funktionieren nicht.
3) Die Soundeinstellungen waren zurückgesetzt, ließen sich aber ändern. Also habe ich sie wieder auf "keine Sounds" gesetzt und dann waren sie nach einiger Zeit wieder da.
4) Meine eigene Symbolleiste auf der Taskleiste war weg, konnte aber wieder eingerichtet werden. Ich weiß nicht, ob das nach einem Neustart auch noch so ist. Werde ich jetzt einmal schauen.

Liebe Grüße,
Angela

bei Antwort benachrichtigen
angela79at Nachtrag zu: „Hallo, die Meldung habe ich von Avira AntiVir erhalten, ich weiß nicht mehr, wo...“
Optionen

Hallo nochmal,

habe den Computer jetzt neu gestartet. Das Hintergrundbild und die Taskleiste sind geblieben, die dead keys funktionieren auf einmal auch. Sounds sind noch keine ertönt. Kann es sein, daß das Virenprogramm das meiste von Anfang an abgefangen hat und daß die Änderungen nur einmalig waren oder kann ich mich auf weitere Überraschungen "freuen"?

Liebe Grüße,
Angela

bei Antwort benachrichtigen
angela79at Nachtrag zu: „Hallo nochmal, habe den Computer jetzt neu gestartet. Das Hintergrundbild und...“
Optionen

Ok, vergeßt das mit den dead keys, jetzt funktionieren sie wieder nicht.

Angela

bei Antwort benachrichtigen
pema1983 angela79at „Ok, vergeßt das mit den dead keys, jetzt funktionieren sie wieder nicht. Angela“
Optionen

Hallo Angela

AntiVir ist zwar ein Scanner mit einer guten Erkennung, allerdings leider auch mit häufigen Fehlalarmen, sog. FPs = FalsePositives.

Mache daher bitte folgendes:

Lade die entsprechende Datei hier hoch und warte auf die Antwort von Avira:

http://analysis.avira.com/samples/index.php

Bei "Typ:*" wählst Du "Verdacht auf Fehlalarm". Das dauert ein paar Tage, teile uns dann bitte das Ergebnis mit.

MfG, pema

bei Antwort benachrichtigen
angela79at pema1983 „Hallo Angela AntiVir ist zwar ein Scanner mit einer guten Erkennung, allerdings...“
Optionen

Hallo,

ich kann die Seite (und www.avira.com) nicht öffnen, mit Opera nicht und mit dem Internet Explorer auch nicht. Die Seite bleibt einfach leer. Und meinst Du nur phcekvj0ejer.bmp oder alle Dateien?

Liebe Grüße,
Angela

bei Antwort benachrichtigen
rill angela79at „Hallo, ich kann die Seite und www.avira.com nicht öffnen, mit Opera nicht und...“
Optionen

Da ist eine Komplett-Neuinstallation angesagt! Für Datenrettung kannst Du eine selbstbootende Linux-CD/DVD verwenden (Knoppix, Ubuntu usw. ... siehe Zeitschriftenbeilagen).

Einem sehr erfahrenen Computerbesitzer wäre es zwar möglich, zu versuchen, das Zeug loszuwerden - ein Restrisiko bezüglich Verseuchung bleibt aber trotzdem bestehen.

Daß bestimmte Seiten (die in einem solchen Fall hilfreich wären) blockiert werden, ist gerade typisch für diesen Malware-Schadensfall!

Ich habe das einmal bei jemanden durchgezogen, der partout nicht neuinstallieren wollte/konnte (Buchhaltungs-PC) ... es war eine Heidenarbeit (ganzer Nachmittag und Abend) mit zahlreichen Programmen/Tools, von denen ich vorher mit Ausnahme von hijackthis noch nie gehört hatte.

Das war überhaupt nur möglich, weil ich für einen bestimmten Malware-Befall eine sehr genaue Anleitung hatte. Ein PC/Notebook für die Suche im Internet und für den Download von Programmen/Tools ist obligatorisch. Zum Schluß blieb aber trotzdem ein ungutes Gefühl zurück.


rill

bei Antwort benachrichtigen
angela79at rill „Dein PC ist einem Hijacker zum Opfer gefallen!“
Optionen

Hallo,

ich hab's befürchtet. :( Ich bin nicht besonders erfahren mit dem Windows-Installiern, kann ich irgendwie die ganzen jetzigen Treiber (Grafikkarte etc.) sichern und dann einfach kopieren oder muß ich mir die im Internet zusammensuchen?

Liebe Grüße,
Angela

bei Antwort benachrichtigen
shrek3 angela79at „Hallo, ich hab s befürchtet. : Ich bin nicht besonders erfahren mit dem...“
Optionen

Hallo angela79at,

ergänzend zu den Anmerkungen von rill kann ich dir nur sagen, dass solche selbstdurchgeführten Reinigungsversuche oft komplizierter sind als eine Neuinstallation.

Für einen eher unerfahrenen User auch aus diesem Grund abzuraten.

Eine narrensichere Anleitung zur Installation von XP findest du hier:
http://www.juekirs.de/Dateien/Installation_von_WindowsXP.pdf

Drucke sie am besten aus.

Sorge zuvor dafür, dass du alle Treiber für deinen Computer hast.
Meist liegt dem Computer beim Kauf eine Treiber-CD bei.

Des weiteren sichere deine Daten (Bilder, Musik, Videos, Dokumente, Emails und Email-Kontoeinstellungen auf eine andere Platte, anderer Partition, USB-Stick oder brenne sie auf CD.

Wenn du Fragen zur Sicherung oder zur Beschaffung der Treiber hast, stelle sie jetzt - bevor du neu installierst.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
pema1983 shrek3 „Hallo angela79at, ergänzend zu den Anmerkungen von rill kann ich dir nur sagen,...“
Optionen

Hallo Angela

was für ein Rechner ist das denn? Je nach Modell hast Du entweder eine vollwertige Win-XP-CD und eine Drivers- und Utilities-CD, oder eine Revovery-CD (spezielle Win-XP-CD, die auf die Hardware des PCs abgestimmt ist) und eine Drivers- und Utilities CD, oder Du hast ein Acer Laptop, dann wird es etwas komplizierter, sofern bei Erstinbetriebnahme keine CDs erstellt wurden.

BTW, die Anleitung von Shrek3 ist sehr gut, habe ich mir bereits gespeichert. Wenn Du Daten sichern möchtest, mußt Du mit äußerster Vorsicht vorgehen, sonst sicherst Du unbemerkt Schädlingsdateien mit, erkennst das aber nicht in dem Moment und infizierst u. U. Dein neu aufgestztes System wieder.

Sicher geht das nur mit einer Live-CD. Weißt Du, wie Du vorgehen mußt?

bei Antwort benachrichtigen
angela79at pema1983 „Hallo Angela was für ein Rechner ist das denn? Je nach Modell hast Du entweder...“
Optionen

Hallo,

das mit den CDs ist halt so eine Sache, wenn man schon mehrere Computer gehabt hat und sich das ganze Zeug dann irgendwo stapelt. Ich weiß nicht, ob ich genau für diesen Computer eine Treiber-CD hab', aber wenn, dann ist die sicher im Zweitwohnsitz. Von SP3 habe ich überhaupt erst heute gehört. Was ich da hab' sind die CDs vom Zweit-PC, der momentan repariert wird, und der ist hardware-technisch nicht oder zumindest nur teilweise ident.

Normalerweise habe ich ja einen Freund, der sich da besser auskennt (und nicht so nervös ist wie ich :)), aber nachdem ich halt jetzt nur den einen Computer hab', möchte ich ihn nicht "hergeben".

Was eine Live-CD ist, weiß ich leider nicht.

Liebe Grüße,
Angela

bei Antwort benachrichtigen
rill angela79at „Hallo, ich hab s befürchtet. : Ich bin nicht besonders erfahren mit dem...“
Optionen

Alle benötigten aktuellen Treiber/Updates solltest Du Dir unbedingt vorher per Internet-Download besorgen. Veraltete Treiber von CDs, die im Lieferumfang des PCs/Notebooks waren, sollte man möglichst vermeiden. Treiber von einer alten (gar kompromitierten) Installation zu retten, ist nicht möglich.

Benutze möglichst eine XP-Installations-CD mit integriertem SP3 - das nachträgliche "Drüberbügeln" eines Servicepacks ist immer mit Nachteilen/eventuell sogar mit Problemen verbunden. Vielleicht kann Dir jemand bei der Erstellung einer solchen s. g. Slipstream-Installations-CD helfen ... die Installation erfolgt dann natürlich mit Deinem XP Product Key.


rill

bei Antwort benachrichtigen
shrek3 rill „XP-Neuinstallation ...“
Optionen
Alle benötigten aktuellen Treiber/Updates solltest Du Dir unbedingt vorher per Internet-Download besorgen.

Der Knackpunkt ist, dass sie nicht vom infizierten PC aus heruntergeladen werden sollten.

Also entweder von einem anderen PC oder doch von der Treiber-CD die älteren Versionen installieren.

Gleiches gilt für das Virenschutzprogramm - nicht vom infizierten PC downloaden.

Da bietet sich jedwede PC-Zeitschrift an - z.B. enthält die PC-Welt in jeder Ausgabe das kostenlose AntiVir.

Damit nach einer Neuinstallation erst mal die zuvor gesicherten Daten scannen, bevor man diese "anfasst" (sprich: darauf doppelklickt oder über ein Programm öffnet).

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
GarfTermy pema1983 „Hallo Angela AntiVir ist zwar ein Scanner mit einer guten Erkennung, allerdings...“
Optionen

"...AntiVir ist zwar ein Scanner mit einer guten Erkennung, allerdings leider auch mit häufigen Fehlalarmen, sog. FPs = FalsePositives...."

was denn nu - gut oder schlecht?

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen