Hallo!

Mein Antivirusprogramm hat den Virus "Win32/Henky.Tanzen gefunden. Leider kann ich ihn nicht mit meinem Antivir-Programm entfernen, er ist nach jedem Löschversuch wieder da. Habe auch die Systemwiederherstellung deaktiviert und das Virusprogramm nochmal im abgesicherten Modus durchgezogen, doch gleich nach dem Neustart war er wieder da.

Was kann ich da machen?? Gibt es irgendeine Möglichkeit, das Ding endgültig loszuwerden, außer das System wieder neu zu installieren?

Guten Abend,

Tanzen ist ja eigentlich gar nicht so schlecht.
Aber mal zur Sache: Poste bitte die vollständige Meldung des AntiViren-Programmes sowie Informationen über das von Dir verwendete Betriebssystem.

Hallo,

also, mein Betriebssystem ist Windows XP Professional SP 2.

Mein Antivirusprogramm meldet: Auf Ihrem PC wurde gefunden:

C:\WINDOWS\rdrive\bku.exe enthält Signatur des Windows-Virus:

W32/Henky.Tanzen

Wenn ich dann Löschen anklicke, kommt eine Fehlermeldung:

C:\WINDOWS\rdrive\bku.exe konnte nicht gefunden werden.

Es scheint auch meinen PC ziemlich lahmzulegen, kann nicht mehr richtig surfen...

Zitat:

Zitat von Lilly123

Es scheint auch meinen PC ziemlich lahmzulegen, kann nicht mehr richtig surfen...

Das allerdings wäre jetzt meine geringste Sorge. Und zwar aufgrund der Eigenschaften dieses Schädlings:

TROJ_AGENT.EDR - Description and solution

Steht Dir ein Zweit-PC zur Verfügung, mit dem Du ins Internet gehen könntest?

Ich hab nur diesen PC.
Hab auch erst vor einer Woche den ganzen PC neu installieren müssen wegen einem anderen Virus. Trotz ZoneAlarm und Antivirusprogramm hab ich mir jetzt schon wieder sowas eingefangen...

Gibt es auch eine deutsche Anleitung, um diesen Virus wegzubekommen?

Vielen Dank für eure Hilfe!

Zitat:

Zitat von Lilly123

Ich hab nur diesen PC.
Hab auch erst vor einer Woche den ganzen PC neu installieren müssen wegen einem anderen Virus. Trotz ZoneAlarm und Antivirusprogramm hab ich mir jetzt schon wieder sowas eingefangen...

Ich dreh's mal um: Wegen des Sich-Verlassens auf Programme, die nicht hinreichend vor Malware zu schützen vermögen, ist es zu der Infektion gekommen. Daher gleich einmal deutlich: Es müssen andere Schutzmaßnahmen getroffen werden, die von Dir verwendeten sind völlig unzureichend. Ich sage es deswegen so deutlich, um Dir weitere zukünftige Infektionen und die damit verbundenen Umstände zu ersparen - ich denke, das ist auch in Deinem Interesse.

Mehr dazu ggf. gleich noch.

Zitat:

Gibt es auch eine deutsche Anleitung, um diesen Virus wegzubekommen?

Nur ein Versuch der Erstmaßnahme (bitte danach das System nicht als sauber oder das Problem als "gelöst" betrachten!):

Lade Dir HijackThis:
HijackThis - bebilderte Anleitung

Öffne HijackThis bzw. starte das Programm, doch anstatt einen Systemscan durchzuführen, klick auf "Opfen the Misc Tools section". Wähle sodann im Bereich "System tools" -> "Open process manager". Such in der Auflistung nach dem Prozess C:\WINDOWS\rdrive\bku.exe, markiere ihn durch einfachen Linksklick und wähle "Kill process". Bestätige die Abfrage mit "Ja".

Such anschließend die Seite http://www.virustotal.com/ auf und prüf dort die Datei C:\WINDOWS\rdrive\bku.exe. Warte das Scanende ab, und poste anschließend die vollständige Ergebnisliste.

Danke erstmal für die schnelle Antwort!

Das klappt leider nicht. Dieser Prozess ist im Prozess Manager nicht zu finden...

Was kann ich stattdessen machen?

Versuch, ob die Virustotal-Prüfung auch so funktioniert.

Erstell bitte ergänzend ein LogFile gemäß dieser Anleitung und poste es hier:
http://www.trojaner-board.de/17493-a...ijackthis.html

Hallo Markus,

die Virustotal-Prüfung klappt auch nicht, die Datei wird nicht gefunden.

Grüße,

Lilly

Hier ist das LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 22:42:04, on 15.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svshost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Name\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?47f4e88708b743388318cb277c6eb496
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?47f4e88708b743388318cb277c6eb496
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB40D04F-A147-471B-B32C-95DB00404BD2}: NameServer = 82.144.41.8 62.220.18.8
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote WinDir Services - Unknown owner - C:\WINDOWS\system32\svshost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sieht insgesamt nicht gut aus, da Du bis dato mit dem SP1 für XP unterwegs warst.

Prüf bitte nun diese Datei bei Virustotal:
C:\WINDOWS\system32\svshost.exe

Poste hier die Ergebnisse. Nichts voreilig löschen!

Das Scanergebnis von Virustotal sieht folgendermaßen aus:

File svshost.exe received on 07.15.2007 22:53:47 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Loading server information...
Your file is queued in position: 3.
Estimated start time is between 52 and 75 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.

Print results Print
Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 Win32/IRCBot.worm.variant
AntiVir 7.4.0.42 2007.07.15 HEUR/Crypted
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 Win32:Ircbot-ATD
AVG 7.5.0.476 2007.07.15 no virus found
BitDefender 7.2 2007.07.15 Backdoor.SDBot.DESL
CAT-QuickHeal 9.00 2007.07.14 Backdoor.SdBot.awe
ClamAV devel-20070416 2007.07.15 Trojan.SdBot-6298
DrWeb 4.33 2007.07.15 BackDoor.IRC.Sdbot.1396
eSafe 7.0.15.0 2007.07.10 suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 Win32/Petribot.ALV
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Backdoor.Win32.SdBot.awe
Kaspersky 4.0.2.24 2007.07.15 Backdoor.Win32.SdBot.awe
McAfee 5074 2007.07.13 New Malware.cs
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 IRC/SdBot
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 W32/Sdbot.KNV.worm
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.15 Worm.SdBot.FTG
Webwasher-Gateway 6.0.1 2007.07.15 Heuristic.Crypted
Aditional information
File size: 66823 bytes
MD5: c448fb7fbd3da09c5ba36fc0d144ec0b
SHA1: 795ece48fb11e499cc4968672b4872cb98caf7bd
packers: eXPressor

Importante ATENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

Scan another file
VirusTotal © Hispasec Sistemas - Blog - Contacto: info@virustotal.com

Bitte wie folgt vorgehen:

A.) Datei C:\WINDOWS\system32\svshost.exe, wenn möglich, aus dem Systemverzeichnis kopieren und in ein Archiv packen wie hier unter Punkt 4.) beschrieben, dann als Anhang per Mail senden an virus@sicher-ins-netz.info (oder versuchen, die Datei direkt anzuhängen). Wenn es nicht klappt, melde Dich nochmal.

B.) Killbox laden: KillBox.Net

C.) Klick dort auf "Download KillBox" und speichere die dann geladene
Datei KillBox.exe in einem extra Ordner, den Du z.B. unter "Eigene
Dateien" neu anlegst. Diesen Ordner nennst Du z.B. "Analyse". Trenne die Internetverbindung.

D.) Führe "KillBox.exe" aus.

E.) Setze im sich öffnenden kleinen KillBox-Fenster den Punkt links auf
"Delete on Reboot".

F.) Jetzt wird rechts davon der Button "AllFiles" anklickbar. Klick darauf.

G.) Kopiere nun aus diesem Posting diese zwei Pfade (nicht mehr und
nicht weniger, nur diese zwei Zeilen, die hinter diesem Doppelpunkt folgen):

C:\WINDOWS\system32\svshost.exe
C:\WINDOWS\rdrive\bku.exe

H.) Wechsele wieder zum KillBox-Fenster. Klick darin oben links auf
"File", dann "Paste from Clipboard".

I.) Klick nun in KillBox ganz rechts außen auf den roten Kreis mit dem
weißen Kreuz.

J.) Es kommt nun die Frage, ob das System neu gestartet werden soll.
Bestätige mit "Ja".


Melde Dich nach dem Neustart mit einem sodann erstellten neuen HijackThis-Logfile wieder.

Hallo, vielen Dank!

Das neue LogFile sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 23:33:47, on 15.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Heike\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?47f4e88708b743388318cb277c6eb496
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?47f4e88708b743388318cb277c6eb496
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB40D04F-A147-471B-B32C-95DB00404BD2}: NameServer = 82.144.41.8 62.220.18.8
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote WinDir Services - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe