28. März 2024, 10:37:44 Uhr

virus???

Begonnen von missy666, 10. Februar 2007, 22:22:30 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

missy666

ich habe seit kurzem (wieder) internet und hab jetz ein problem weil immer wenn ich ins internet gehe kommt nach einer weile ein hinweis mit folgendem inhalt:

"Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. Alle Änderungen, die nicht gespeichert werden, gehen verloren. Das Herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgelöst

Zeit bis zum Herunter fahren:   00:00:...

Meldung
Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozeduraufruf (RPC) unerwartet beendet wurde"

ja und dann passiert das angekündigte und dann is wieder normal bis zum nächsten mal.... wär toll wenn mir jemand sagen könnte was das ist und wie ich das wieder hinbekomm....danke schonmal im vorraus!

kmailman4

Du hast dir vielleicht einen Wurm  eingefangen .. dir hatten wohl diverse Hotfixes für XP gefehlt .. schau mal auf den Internetseiten eines beliebigen Virenschutzsoftwareherstellers z.b.Symantec dort findest du removal software. dann gehst du auf die Internetseiten von Microsoft und holst dir das notwendige Hotfix

Um das Herunterfahren erstmal zu unterbinden :

[Start] - ausführen - Shutdown -a - [ok]
CPU Typ
Arbeitsspeicher
Grafikkarte
Monitor
Festplatte
Netzteil
  Intel Core 2 Quad Q6700
4 GB  ( DDR2 CorsairCM2X1024-6400C2)
Nvidia GeForce 560 Ti
Samsung SyncMaster940BF[19" LCD] 
Seagate Barracuda250GB,7200 SATA-II
Enermax Liberty 500Watt
 


missy666

naja von diesen symantec removal tools hab ich schon einige runtergeladen und durchlaufen lassen aber da hatte ich keinen erfolg.... was brauche ich denn da für ein "hotfix" und was ist das is das auch n tool??? mfg

kmailman4

Machst du regelmäßig das Windows xp Update?Und poste mal dein Hijackthis Logfile.
CPU Typ
Arbeitsspeicher
Grafikkarte
Monitor
Festplatte
Netzteil
  Intel Core 2 Quad Q6700
4 GB  ( DDR2 CorsairCM2X1024-6400C2)
Nvidia GeForce 560 Ti
Samsung SyncMaster940BF[19" LCD] 
Seagate Barracuda250GB,7200 SATA-II
Enermax Liberty 500Watt
 


gandal

11. Februar 2007, 00:15:47 Uhr #4 Letzte Bearbeitung: 11. Februar 2007, 00:18:07 Uhr von gandal
Schalte mal die Firewall ein, das ist schon mal nicht schlecht.
Dein Virenschutz ist praktisch nicht vorhanden.
Das Ding nennt sich W32.Blaster.Worm und hat fast 4 Jahre auf dem Buckel.

Stinger kann ihn beseitigen
http://vil.nai.com/vil/stinger/ (http://vil.nai.com/vil/stinger/)


Hier gibt es ne Übersicht von Onlinescanner, laß da mal ein paar laufen. Hast vielleicht noch andere ...
http://www.hwe-forum.de/index.php/topic,14842.0.html (http://www.hwe-forum.de/index.php/topic,14842.0.html)


Info's Blaster von MS
http://www.microsoft.com/germany/technet/sicherheit/bulletins/blaster.mspx (http://www.microsoft.com/germany/technet/sicherheit/bulletins/blaster.mspx)

         
Real Programmers code in binary

American

Wenn es der Blaster nicht ist, hilft einfach das einschalten einer Firewall, da das ganze auch gerne übers Internet gemacht wird.
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

missy666

11. Februar 2007, 13:47:43 Uhr #6 Letzte Bearbeitung: 11. Februar 2007, 13:52:32 Uhr von missy666
soooo.... mit stinger hab ichs versucht der hat nix gefunden. das symantec removal tool für W32.Blaster.Worm hat auch nix gefunden mein antivir is abgekackt und ne firewall konnt ich aus welchen gründen auch immer nich installieren. außerdem wird er von minute zu minute langsamer und kommt andauernd nich klar was dann dazu führt das ich dann nen neustart machen mus damit er überhaupt wieder was sagt....

P.S. lass jetz nochma son onlinescanner laufen.....

dns

Zitat von: kmailman4 am 10. Februar 2007, 23:50:16 Uhr
Und poste mal dein Hijackthis Logfile.

Das wäre auch noch ne Möglichkeit, weitere Infektionen herauszufinden: HijackThis (http://www.merijn.org/programs.php#hijackthis)

missy666

sieht dann etwa so aus:

Logfile of HijackThis v1.99.1
Scan saved at 15:00:21, on 11.02.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\ntfscrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\directxbt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\missy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HijackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE
O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE
O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\RunServices: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE
O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{108499A3-26EC-452E-8366-8D36EE99BB75}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{108499A3-26EC-452E-8366-8D36EE99BB75}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

missy666

hab gerade festgestell das es noch eine zeite, ähnliche meldung gibt:

"Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. Alle Änderungen, die nicht gespeichert werden, gehen verloren. Das Herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgelöst

Zeit bis zum Herunter fahren:   00:00:...

Meldung
Der Systemprozess "C:\WINDOWS\system32\Isass.exe" wurde unerwartet mit dem Statuscode -1073741819 beendet. Das System wird heruntergefahren und neu gestartet."

also fast das selbe wie das was ich zuerst geschrieben habe nur mit ner anderen meldung... und vorher kommt noch dieser ganze Isass.exe wurde beendet-problembericht senden-nicht senden-sch***....

gandal

Was ist das ?
C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE


Ansonsonst dies mal fixen (im abgesicherten Modus)
C:\WINDOWS\system32\ntfscrypt.exe
C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE                   (siehe Frage)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O4 - HKLM\..\Run: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE
O4 - HKCU\..\Run: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE
O4 - HKCU\..\RunServices: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MTSKZVRVS.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
         
Real Programmers code in binary

missy666


dns

Zitat von: missy666 am 11. Februar 2007, 15:01:40 Uhr
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Außerdem solltest du deinen Internet Explorer auf Version 7 updaten oder auf etwas besseres (Firefox/Opera) umsteigen

missy666

hab mir jetz firefox runtergeladen und funzt jetz auch besser mit seitenaufbau und so!!! thx!!! aber was is jetz eigentlich fixen und wie mach ich das?????

TMK

Zitat von: missy666 am 11. Februar 2007, 17:24:11 Uhr
hab mir jetz firefox runtergeladen und funzt jetz auch besser mit seitenaufbau und so!!! thx!!! aber was is jetz eigentlich fixen und wie mach ich das?????

"Fixen" heißt nichts anderes, als mit Hijackthis die oben genannte Einträge zu löschen. Also in Hijackthis markieren und dann über den Button "fixen" die Einträge löschen.

missy666

jo hab ich jetz gemacht... wars das jetz schon?? könnte der virus dadurch jetz weg sein?? oder muss ich jetz noch was machen??

gandal

Was kam bei den Onlinescannern raus ?
Noch ein HiJackThis-Log machen.
         
Real Programmers code in binary

missy666

onlinescan war nich weil: 1. ist der pc zwischen durch wieder abgestürtzt und
                                   2. ich sag nur 56k modem......

hmmmm... naja wenn nich dann muss ich ihn mal bei jmdm der dsl hat durchscannen lassen......

gandal

Sonst weißt Du ja nie, ob Du nicht noch was hast.
         
Real Programmers code in binary

kmailman4

Genau denn sicher ist sicher.Besser checken lassen.
CPU Typ
Arbeitsspeicher
Grafikkarte
Monitor
Festplatte
Netzteil
  Intel Core 2 Quad Q6700
4 GB  ( DDR2 CorsairCM2X1024-6400C2)
Nvidia GeForce 560 Ti
Samsung SyncMaster940BF[19" LCD] 
Seagate Barracuda250GB,7200 SATA-II
Enermax Liberty 500Watt