Ich habe folgendes Problem- Ich startete Gestern meinen PC und mir wurde noch bevor der Desktop geladen war ein Fenster Angezeigt in dem Stand es würde sich ein Trojaner auf meinem Rechner befinden und ich solle irgendetwas downloaden um diesen los zu werden. Ich lehnte dies ab .. als der Desktop dann geladen war ging plötzlich so ein Pogramm auf mit dem namen "Virenscan 2010" oder so mit weiteren Fenstern und Klick+Downloadaufforderungen, diese liessen sich dann auch nicht mehr schliessen (als Ich es per Taskmanager versuchte meinte mein Pc dieser sei vom Administrator gesperrt worden...das wüsse ich aber...) und Mein hintergrundbild war plötzlich weiss..ich konnte auch Outlook nicht mehr öffnen (es kam ein fenster mit der aussage es wäre infiziert und ich solle doch dieses merkwürdige scanpogramm downloaden..habe ich natürlich nicht getan)
Antivir hat beim durchlauf nichts gefunden... Ich habe dann eine Aktuelle version Gedownloadet und diese fand dann auch gleich 8 Virus-Dateien mit Namen TR/AGENT.AN.1990 und TR/AGENT.AN.1982
Ich löschte mithilfe von Anivir alles...Liess ANtivir erneut durchlaufen... 14 virenfunde...habe dann genau drauf geachtet das ich alles grünlich runter lösche...plötzlich gehen keine komischen pogramme mehr auf und outlook geht wieder.....so nun findet seit 4 durchläufen ANTIVIR aber immernoch eine datei namens "RKIT/BUBNIX.S" und die geht und geht nicht weg..ANtivir löscht es,startet den pc neu und es steht immer wieder drin "Konnte nicht gelöscht werden" ..nach jedem neuen scan das selbe spiel... wie werde ich diesen mist entgültig los ohne gleich meinen ganzen pc platt machen zu müssen???? habe hier auch mal nen bericht von antivir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 10. Mai 2010 21:15
Es wird nach 2086784 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CATHY
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,
Beginn des Suchlaufs: Montag, 10. Mai 2010 21:15
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f qkbxww\type
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f qkbxww\start
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f qkbxww\errorcontrol
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f qkbxww\group
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f qkbxww\group
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f qkbxww\yp0dq5sk5
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f qkbxww\jv4mp3rrb0
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f qkbxww\d0m7ifq2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\f qkbxww\type
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\f qkbxww\start
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\f qkbxww\errorcontrol
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\f qkbxww\yp0dq5sk5
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\f qkbxww\jv4mp3rrb0
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\f qkbxww\d0m7ifq2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1619' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\WINDOWS\system32\drivers\fqkbxww.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.S
Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\fqkbxww.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.S
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Montag, 10. Mai 2010 22:38
Benötigte Zeit: 1:21:11 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
8724 Verzeichnisse wurden überprüft
382463 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
382462 Dateien ohne Befall
2024 Archive wurden durchsucht
0 Warnungen
0 Hinweise
347772 Objekte wurden beim Rootkitscan durchsucht
14 Versteckte Objekte wurden gefunden
Moin,
deaktiviere deine Systemwiederherstellung und geh in den 'abgesicherten Modus' und führe den Scan mit AntiVir noch mal durch. Sollte diese Datei wieder auftauchen, dann scanne ebenfalls im abgesicherten Modus mit dem Tool HiJackThis (siehe unter Freeware) und schicke uns das erzeugte Logfile.
Moin @ Eisblut,
da du bisher noch nicht geantwortet hast, habe ich mich noch einmal näher mit dem Fund befasst, den du von AntiVir als nicht entfernbar gemeldet bekommst:
Beginne mit der Suche in 'C:\'
C:\WINDOWS\system32\drivers\fqkbxww.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.S
Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\fqkbxww.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.S
[HINWEIS] Die Datei wurde gelöscht.
Ein Rootkit ist um Einiges gefährlicher als die gewöhnliche Malware. Ein Virus richtet bemerkbaren Schaden am PC an. Rootkits bewirken das Gegenteil: Der PC soll -unbemerkt von dir- weiter arbeiten aber im Sinne des Angreifers.
Wenn du dazu diese Einlassungen liest: RKIT/Bubnix.S - Viren und andere Sicherheitsrisiken - Avira Support Forum
wird dir sicher die Gefahr bewusst.
Die gemachten Vorschläge in diesem Thread sind eine elende Würgerei und absolut sicher kannst du dir danach auch nicht sein.
Vor allem, wenn du Online-Banking betreibst, wäre der Schaden nicht gut zu machen.
Deshalb komme ich zu einer radikaleren Empfehlung: Sichere alle Daten extern und formatiere deine Festplatten. Setze das BS neu auf!
Moin @ Eisblut,
da du bisher noch nicht geantwortet hast, habe ich mich noch einmal näher mit dem Fund befasst, den du von AntiVir als nicht entfernbar gemeldet bekommst:
Ein Rootkit ist um Einiges gefährlicher als die gewöhnliche Malware. Ein Virus richtet bemerkbaren Schaden am PC an. Rootkits bewirken das Gegenteil: Der PC soll -unbemerkt von dir- weiter arbeiten aber im Sinne des Angreifers.
Wenn du dazu diese Einlassungen liest: RKIT/Bubnix.S - Viren und andere Sicherheitsrisiken - Avira Support Forum
wird dir sicher die Gefahr bewusst.
Die gemachten Vorschläge in diesem Thread sind eine elende Würgerei und absolut sicher kannst du dir danach auch nicht sein.
Vor allem, wenn du Online-Banking betreibst, wäre der Schaden nicht gut zu machen.
Deshalb komme ich zu einer radikaleren Empfehlung: Sichere alle Daten extern und formatiere deine Festplatten. Setze das BS neu auf!
sorry das ich jetzt erst antworte, ich musste meinen pc vom netz nehmen da ich eine mail bekommen habe (von meinem provider) das sich ein virus über outlook als werbung versendet ... sitze nun am lappy... es hat auch versucht die anderen pcs hier im netzwerk zu infizieren indem es versuchte sich unter falschen angaben in die fritzbox einzuwählen. diese hat zum glück gleich voll abgeblockt (das internet und die telefone waren danach tot) ein spezielles rootkitpogramm habe ich auch durchlaufen lassen..es findet ihn aber kann ihn nicht löschen... ich denke das sich wohl doch nicht drum herum komme zu formatieren
....ich wohl doch nicht drum herum komme zu formatieren
das ist sicher notwendig und du kannst von Glück sagen, dass die anderen Rechner nicht betroffen sind. Wie diese Reaktion deines Routers im Netzwerk funktioniert, ist mir nicht geläufig. Hast du nach der Trennung des befallenen PC das übrige Netzwerk und Telefon wieder zum Laufen bekommen?
Ich lese auch zum ersten Mal davon, dass ein Provider eine Warnung verschickt. Demnach müsste der Okkupant sich deines Outlooks bemächtigt haben und per Mail sein Unwesen weiter treiben. Die anderen Rechner hast du sicher schon durch gescannt.
Verändere nach der Neuinstallation auf jeden Fall deine sicherheitsrelevanten Passwörter, auch im Router.
das ist sicher notwendig und du kannst von Glück sagen, dass die anderen Rechner nicht betroffen sind. Wie diese Reaktion deines Routers im Netzwerk funktioniert, ist mir nicht geläufig. Hast du nach der Trennung des befallenen PC das übrige Netzwerk und Telefon wieder zum Laufen bekommen?
Ich lese auch zum ersten Mal davon, dass ein Provider eine Warnung verschickt. Demnach müsste der Okkupant sich deines Outlooks bemächtigt haben und per Mail sein Unwesen weiter treiben. Die anderen Rechner hast du sicher schon durch gescannt.
Verändere nach der Neuinstallation auf jeden Fall deine sicherheitsrelevanten Passwörter, auch im Router.
Laut meinem Vater schaltet Fritzbox wohl ab sobald da etwas nicht in ordnung ist..also die verbindung wird gekappt und alle pcs getrennt. Telefon und Pcs gingen danach auch wieder (bis auf meinen da ist ja der virus drauf)
wir haben auch alle gescannt und die sind soweit sauber.
und ja 1&1 hat ne mail rausgeschickt an unseren hauptpc .. habe die mail auch ausgedruckt vor mir liegen die ist 2 Seiten lang, hier das wichtigste:
von:1&1 Internet AG Abuse Abteilung An: *ZENSIERT* Betreff: 1&1 warnt:Hinweise auf eine Virus-Infektion auf ihrem PC
Ihre Kundennummer: *ZENSIERT*
Ihre Vertragsnummer:*ZENSIERT*
Unsere Referenz *ZENSIERT*
Hinweis: Ihre Kundennummer und Ihr Name zeigen ihnen, dass diese Nachricht von der 1&1 Internet AG verschickt wurde.
Sehr geehrte/r *ZENSIERT*
heute erhalten sie eine dringende Nachricht zu ihrem 1&1-DSL Anschluss. 1&1 hat es sich zur Aufgabegemacht, vor den Gefahren des Internets zu warnen und seine Kunden zu schützen.
Unser Expertenteam hat Hinweise erhalten, dass sich auf ihrem Computer an ihrem Anschluss ein Virus befindet. Von ihrem Anschluss wurde volgende Spam-E-Mail versendet:
Absenderadresse: Top Quality ViagraOnline <bagajide3939@t-ipconnect.de>
Betreff-Zeile User xxxxxxxxxx.xxxxxxx odering today - getting 80% off Aqyxib
Datum:2010-05-10 04:27:56
Dieser Spam-Versand wird von einer Virus-Software gesteuert. Den Namen des Virus konnten wir nicht feststellen.
Im Rest der Mail ist werbung für Norton und die aufforderung von einem Sauberen PC aus alle Passworter zu ändern.
Habe jetzt auch alles geändert was mir eingefallen ist..dabei ist mir folgendes aufgefallen: Ein Browsergame-Account den ich täglich nutze ist plötzlich keinem der Passwörter die ich nutze oder einer Emailadresse von mir zugehörig, Bei einem Chat-account in einer grössenen Community wurde beim einloggen versucht meine Email-Adresse zu ändern...(von Cathis-Welt@ auf ccathis-welt@) habe das abgelehnt und sofort mein PW geändert... auch meine Emailadresse hat nun ein neues PW.
Moin,
danke für die Infos, ist für mich und sicher auch für Andere interessant. Mit den bisher getroffenen Maßnahmen kommst du sicher aus der Malaise wieder raus. Und dass da nun eine Werbung dran hängt, kann man ja ignorieren. Vielleicht kann *Fabi* den Eingriff der Fritz!Box erklären. Ich selbst habe wenig nähere Kenntnisse über diese Angriffe und ihre Abwehr. Ich wünsche dir aber viel Erfolg.
Moin,
danke für die Infos, ist für mich und sicher auch für Andere interessant. Mit den bisher getroffenen Maßnahmen kommst du sicher aus der Malaise wieder raus. Und dass da nun eine Werbung dran hängt, kann man ja ignorieren. Vielleicht kann *Fabi* den Eingriff der Fritz!Box erklären. Ich selbst habe wenig nähere Kenntnisse über diese Angriffe und ihre Abwehr. Ich wünsche dir aber viel Erfolg.
ja das sollte auch nochmal allen vor augen führen "merkwürdige" spammails sofort zu löschen... und wenn pogramme auf eurem rechner aufgehen (bei mir imitierte es ein angebliches antivierenpogramm) die ihr nicht kennt oder die sonst nie aufgehen sofort scannen.. werde wenn mein vater da ist den pc formatieren und die sache ist dann hoffentlich ausgesessen.