Hallo zusammen,
wer kann mir weiterhelfen? Da ich seit einiger Zeit das Gefühl hatte das irgendein Merkwürden auf meinem Rechner rummacht habe ich mit eScan im abgesicherten Modus gescannt, gefunden wurde:
C:\WINDOWS\system32\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart.No Action Taken
Den Onlinescan bei lotti dieser Datei seht ihr folgend:

Service load:
0% 100%
File: Restart.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
No viruses found (0.20 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
Virtool.Destart.A (0.38 seconds taken)
ClamAV
No viruses found (0.42 seconds taken)
Dr.Web
No viruses found (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.Tool.Destart (0.63 seconds taken)
mks_vir
No viruses found (0.22 seconds taken)
NOD32
No viruses found (0.42 seconds taken)
Norman Virus Control
No viruses found (2.47 seconds taken)


wie soll`s jetzt weitergehen? Bitte habt Geduld mit mir , bin eine absolute
Anfängerin.

Vielen Dank im voraus
Gruß macmueffel

Hi,
biite poste mal ein Logfile rein. virtool wird zwar von KAV als "riskware" erkannt, kann aber eben auch ein gewaltig böser Trojaner mit Backdoorqualitäten sein.
Zur Beurteilung wären noch mehr Infos sinnvoll.

hallo cacatoa,
ich habe gedacht ,das ich hier nicht mehr so schnell um Hilfe bitten muß!
Aber wer weiß , wie lange dieses Etwas schon da ist?
Langsam geht mir der Popo auf Grundeis. Weil eigentlich surfe ich gar nicht so wild rum.

Logfile of HijackThis v1.98.2
Scan saved at 20:42:46, on 30.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\Rar$EX00.253\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetxxx.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst4_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_07) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9F59327-98A9-4546-8ED0-4F79ABB814C4}: NameServer = 81.173.194.68 194.8.194.60

dank im voraus
macmueffel

PS: www.internetxxx.de wurde von mir geändert!

Hi, hatte gerade netzprobleme,

Bitte folgendes bei Jotti online scannen lassen: C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe

Bitte das Ergebnis posten; ich hoffe nicht, daß es das ist, was ich vermute..

Dies bitte im abgesicherten Modus fixen, es sei denn Du willst es behalten:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetxxx.de

hi da bin ich wieder.

Dieses ww..internetxxx.de ist mein Provider ! Ich habe es nur abgeändert, weil bei meiner letzten "Sitzung" hier sich jemand daran gerieben hat!


Service load:
0% 100%
File: Tray.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.36 seconds taken)
ClamAV
No viruses found (0.33 seconds taken)
Dr.Web
No viruses found (0.50 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.73 seconds taken)
mks_vir
No viruses found (0.61 seconds taken)
NOD32
No viruses found (1.18 seconds taken)
Norman Virus Control
No viruses found (1.35 seconds taken)

Aber was ist mit dieser anderen Datei: Virtool.Destart.A?

Scheint ja was "nettes" zu sein?
macmueffel

Hallo, macmueffel,
Schau mal hier da wird empfohlen, in diesm FAll das System neu aufzusetzen.
Virtool.Destart.A, laut Bitdefender ein Virusgenerator, wird von sophos als Backdoortrojaner gemeldet.
In diesem Fall gibt´s nur eins:
System neu aufsetzen

OH NEIN...
ich habs geahnt. Kann ich gar nicht.Ich weiß überhaupt nicht wie das geht.
Lasse das ganze jetzt wirklich erstmal "sacken" und trenne die Kiste vorläufig vom Netz.Ist in meinem Fall der fürs erste beste Endschluß.
Vielen Dank nochmal
eine geknickte macmueffel

Hi, macmueffel,
nicht traurig sein. Wie es geht steht doch in meinem letzten Post.
Außerdem beachte dies zur Datensicherung und für die Zukunft noch dies
Also, melde Dich, wenn fertig
Gute Nacht
cacatoa

hallihallo
cacatoa
bin wieder da. Ich hoffe mit den richtigen Empfehlungen:
Nach Formatierung und Neuinstallation surfe ich jetzt (laut Empfehlung-en) mit Mozilla, Kaspersky-Anti-Virus-Personal und nach wie vor ZoneAlarm. Gibt´s da vielleicht noch was, das wichtig wäre? Ausser überflüssige Downloads und unüberlegtes Link-Angeklicke und zum Schluss "out of internet"
Ne, im Ernst, sollte ich noch irgendwelche Scanprogramme zusätzlich installieren?

lieben gruss macmueffel

PS: Tränchen sind wieder getrocknet aber Scheiss-Bauch-Gefühl bleibt!

Hi, macmueffel,
so weit, so gut; und damit die Tränchen auch wegbleiben, würde ich mir noch clearprog runterladen, alle Häkchen bei IE, Netscape/Mozilla und Windows machen und nach jeder Internetsitzung auf löschen clicken und dann beenden.
Weiterhin AdAware SE incl. Sprachdateien updaten und immer wieder mal laufen lassen.
Am wichtigsten aber, wie Du schon selbst gemerkt hast, brain 1.0 immer eingeschaltet lassen!
LG cacatoa

Bei mir hat Antivir ebenfalls SPR/destart.A gefunden und gelöscht. Danach tauchten keine Meldungen mehr auf (allerdings eine Vielzahl von Warnungen).
Was mach ich jetzt am besten. Ist Neuaufspeilen unvermeintlich?

Hi

wenn du nur noch Probleme mit den Warnungen hast dann schau hier

Ansonsten brauche ichmir jetzt keine Sorgen mehr zu machen? Ist der Backdoor beseitigt wenn Antivir die Datei destart gefunden und eliminiert hat oder bedeutet das nur, dass derjenige von dem ich ausgespäht werde sich ruhug verhält. Noch mal, was sollte ich jetzt tun?

Das hier ist doch wohl nicht besorgniserregend oder (antivir report)?
Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1
Master-Bootsektor von Festplatte HD2
Master-Bootsektor von Festplatte HD3
Master-Bootsektor von Festplatte HD4
Bootsektor von Laufwerk C: OK

Dieser Sektor ist bekannt.
Systemdateien
arcldr.exe OK
arcsetup.exe OK
BOOT.BAK OK
boot.ini OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Systemtest: OK
Selbsttest: OK

dann erstelle mal ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe
die Meldungen von AntiVir kannst du ignorieren

um das mal kurz darzustellen, man wird nicht immer gleich ausspioniert wenn eine Datei mit Backdoorcharakter auf dem System ist. Da kommt es auch auf den Ordner an in dem die Datei sich befindet. In deinem Fall konntest du ihn löschen ohne das er wieder aufgetaucht ist, das bedeutet eigentlich damit er nicht beim Starten mit geladen wird.