Hallo Leute, hab vorhin auf unserem FIRMENPC folgendes angezeigt bekommen:

Virus gefunden!
Die datei C\ARKA.tmp ist der Trojaner:
TR/Agent.6938.A

Antivir läuft seidem Amok. Alle 2 Minuten bekomme ich die Meldung das dieser Virus gefunden wurde und auch "in Quarantäne verschieben" und "Löschen" scheinen ihn nicht zu stören.

Leider spuckt mir auch das Internet nichts zu diesem Virennamen aus, und auch AV scheint den zwar zu identivizieren aber nicht zu kennen!

Habe mal einen Logfile gemacht:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]


Bisher kann ich keinen Schaden ausmachen, außer das er rumnervt, aber da es nunmal der Firmenpc ist muss schnell ne Lösung her.

Vielen dank schonmal im Vorraus,
Shion

Sry war ein doppelpost KA. warum!

Bist du selbstständig?

Zitat:

Zahlungserinnerung.lnk
C:\epmis\jre\bin\webserver7.exe

Das webserver7.exe ist ein Verwaltungsprogramm von Artikel. Für Ladeninhaber. Dann läuft noch Microsoft Active Sync!


Also wir dürfen bei Geschäfts pcs keine hand anlegen! Das hast du bei der Anmeldung auf der seite bestätigt! Das hat glaube ich was mit haftung etc. zu tun! Wenn du der Geschäftsführer bist kann das vllt etwas ändern aber das weiß ich nicht!

Du hast dir etwas eingefangen das sieht man auch im log!

Zitat:

Bisher kann ich keinen Schaden ausmachen, außer das er rumnervt, aber da es nunmal der Firmenpc ist muss schnell ne Lösung her.

Vllt dämmt Antivir die ausbreitung ein aber man weiß es nicht da sind ein paar seltsame einträge!

LOL?? Wie ist der doppeltpost passiert ich hab doch editiert -.-

Also: Mein Chef will das der Virus verschwindet, da es sein persöhnlicher PC ist, der in seinem Büro steht.
Und ich soll mich darum kümmern.
Es ist ein stink normaler PC, aufdem Rechnungen geschrieben werden, und vondem aus mal was bestellt wird, das ists auch schon. Es kommt weder spezielle Software zum einsatz oder sonst was. Das einzige was den PC zu nem Firmen PC macht, ist die Tatsache das er hier im Gebäude steht :P
Und nochmal: ich arbiete hier im Auftrag meines Chefs

Kennt denn jemand den Virus schon? oder hat ne allround Lösung parat?
Oder was anderes:
Es ist IMMER die Gleiche Datei die sich meldet.
Könnte ich dann nicht wenigstens anfangen die wichtigen Sachen zu sichern?
Denn das ist leider nie gemacht worden *rolleyes*

Zitat:

Und nochmal: ich arbiete hier im Auftrag meines Chefs

Das ist eben schwierig! Jeder angestellte der mist gebaut hat und ärger vermeiden will könnte das hier schreiben (Soll keine Anschuldigung sein) und wir könnten das nicht überprüfen und wenn dann noch mehr kaputt geht dann kann das forum in schwierigkeiten kommen!

Zitat:

Könnte ich dann nicht wenigstens anfangen die wichtigen Sachen zu sichern?

Ja das wäre das beste! Denn bei jeder bereinigungs aktion kann es zu schäden kommen! Egal ob wir das machen oder der IT Fachmann!

Mist gebaut? Ärger vermeiden will?
Ich habe meinem Chef, welcher als einzigster an diesem rechner sitzt angeboten mich drum zu kümmern, weil der gute Mann selbst zum Emailverschicken hilfe braucht.

Also bitte Leute, es geht hier darum schaden zu vermeiden.
Ist doch Nebensache warum wie was, es geht darum das EIN Rechner von nem Virus befreit wird, egal wo der steht.

Ich hab nur bisher in diesem Forum immer hilfe bekommen, und fände es schade wenn jetzt deshalb keine Hilfe kommt, nur weil mein Chef es gewagt hat an seinem Firmenpc nen Virus zu bekommen und nicht zuhause...

Hallo zusammen!
Nach der Arbeit von Spybot search and destroy, AbtiVir, und ein wenig Geduld
ist er anscheinend weg. Die datei, welche sich immer wieder zu wort gemeldet hat ist verschwunden, und auch antivir ist still. Das einzige was nun noch geblieben ist, ist ein Problem mit dem Zugriff auf Festplatten bzw Speichermedien.
Sobald ich auf C:\ zugreifen will bekomme ich folgende Meldung:

"C:\resycled\boot.com ist keine zulässige Win32-Anwendung"

Das gleiche kommt, sobald ich auf die Externe Festplatte zugreifen möchte (und auch beim MP3 Player).
Gebe ich allerdigs in das Adressfeld ein:
C:\
Kommre ich ganz normal rein.

Habe auch nochmal den Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:23:05, on 01.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\epmis\sdb\solid.exe
C:\epmis\jre\bin\webserver7.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ***.Server-Start.lnk = C:\***\startserver.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ***.lnk = C:\Programme\Profi cash\wzed.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201261223578
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCB49CFB-B5D3-4B5D-A246-948D86DF9DE4}: NameServer = 85.255.115.2,85.255.112.209
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMSAccessU - Unknown owner - C:\WINDOWS\system32\NMSAccessU.exe (file missing)

--
End of file - 5548 bytes



Ich hoffe diesmal alles erwischt zu haben damits keine Zensur gibt :P
LG Shion