|
Plagegeister aller Art und deren Bekämpfung: xplugin.dll infected mit Esepor VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.12.2004, 19:28 | #1 |
| xplugin.dll infected mit Esepor Virus Hallo, ich hab seit kurzem das Problem, dass nach gewisser Zeit mein Rechner sich so gut wie aufhängt. Daraufhin, hab ich im Taskmanager überprüft, woran es liegen könnte. Das Problem liegt daran, dass bei mir 4 mal der Prozess "svchost.exe" läuft. Ich glaube bei WinXP ist es normal, dass es 3 Prozesse sind, die alle ca. 3 bis 7 MB Speicher brauchen. Ich hab jedoch einen svchost-Prozess, der direkt nach Systemstart ca. 20MB Speicher brauch. Dieser Prozess wird ebenfalls vom "system" ausgeführt (ein zweiter der auch vom "system" ausgeführt wird brauch nur ca. 6 MB). Nach einer gewissen Zeit, "laggt" mein PC einmal kurz und dann benutzt der svchost-Prozess nicht nur 20 MB Speicher, sondern auch durchgehend 100% meines CPU. Weiterhin steigt der zugesicherte Speicher von 115M auf ca. 620M an. Ich habe, darauf hin meine Festplatte mit AntiVir auf Viren geprüft und er hat bei mir den Dldr.Epesor.AB Virus entdeckt. AntiVir konnte ihn jedoch nicht beseitigen. Die HijackThis Log Datei enthällt auch keine unsauberen Prozesse (log wird zum ende dieses Post geschrieben). Nachdem das Problem mit AntiVir nicht zu lösen schien, hab ich mit eScan meine PC im Abgesichertem Modus auf Viren überprüft. Das Ergebnis lautete: File C:\WINDOWS\System32\xplugin.dll infected by "TrojanDownloader.Win32.Esepor.v" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Holti\Eigene Dateien\!ReadMe.exe infected by "Backdoor.Win32.Gobot.gen" Virus. Action Taken: No Action Taken. Habe daraufhin bei Google und auch hier im Forum nach Lösungen gesucht um die beiden Viren loszuwerden. Habe jedoch keine Richtige Lösung gefunden. In der Hoffnung den Virus zu beseitigen habe ich nun die beiden Dateien xplugin.dll und die !Readme.exe gelöscht. Hat jedoch nicht geholfen. Ich hoffe, ihr könnt mir helfen... MfG raphaeL *edit: Wenn ich die 20MB svchost.exe nach Systemstart beende, tritt das Problem mit der CPU nicht mehr auf, ich kann jedoch z.B. keine Musik mehr hören etc. Logfile of HijackThis v1.98.2 Scan saved at 19:28:52, on 13.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE D:\Download\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{41BD222F-DA47-4424-979B-13CD67D4266F}: NameServer = 192.168.0.23 O17 - HKLM\System\CCS\Services\Tcpip\..\{7E8954D5-9274-4106-826F-A3087BF37595}: NameServer = 217.237.151.225 217.237.150.225 Geändert von raphaeL^ (13.12.2004 um 19:35 Uhr) |
13.12.2004, 22:57 | #2 |
| xplugin.dll infected mit Esepor Virus @raphaeL^
__________________zur svchost-Prozess http://www.pctipp.ch/helpdesk/kummer...in2k/25498.asp zur zweiten problem Backdoor.Win32.Gobot.gen http://www.trendmicro.com/vinfo/viru...e=BKDR_GOBOT.B diese sorte verfügen über backdoor eingenschaften, wahrscheinlich ist dein system schon kompromittiert obwohl dein logfile unauffällig ist. du kannst es höchstens noch mit escan versuchen hier die anleitung mache es genauso wie beschrieben, poste danach nur die gefundene ergebnisse. 1 scan dauert 1 stunde chaosman
__________________ |
15.12.2004, 19:32 | #3 |
| xplugin.dll infected mit Esepor Virus so nachdem ich den virus auch mit eurer hilfe nicht wegbekommen hab, habe ich erst von einigen daten ein backup gemacht und dann meine platte formatiert. danach hab ich mein winXP so eingerichtet wie es in dem tutorial "Windows sicher einrichten in 15 Schritte" steht. als virenscanner hab ich norton 2005 draufgemacht und der ist auch direkt bei der virenüberprüfung fundig geworden.
__________________!Readme.exe ist war/ist auf meiner backup platte. reparieren ging nicht, also habe ich den virus isoliert. nachdem ich mich dann ins internet eingewählt hatte, kam nach kurzer zeit von norten die meldung, dass die svchost.exe das internet benutzen will. habe diesnatürlich abgelehnt. es läuft zwar jetzt alles ohne probleme, aber der virus ist ja immernoch da. meine frage nun, ob ich den im ersten thread genannten backdoor worm irgendwie loswerden kann? auch wenn nun alles einwandfrei läuft, fühlt man sich ja schon recht unsicher mit einem virus aufm computer. komplettes formatieren kommt für mich unter keinen umständen in frage. würde mich sehr freuen, wenn einer eine lösung hat. mfg raphaeL p.s. ich schreibe gerne klein ich weiß ;D |
15.12.2004, 19:47 | #4 | |
Administrator, a.D. | xplugin.dll infected mit Esepor Virus Zum Verständnis und zur Erleichterung für andere Leser wäre es sinnvoller, wenn du die Gross- und Kleinschreibung beachten würdest. Zitat:
Was ergab die Üperprüfung durch eScan? |
15.12.2004, 23:07 | #5 |
| xplugin.dll infected mit Esepor Virus Folgendes kam beim eScan raus: File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\06F4367E.exe infected by "Backdoor.Win32.Gobot.gen" Virus. Action Taken: No Action Taken. File D:\Installer\mIRC 6.16.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. Ich denke die mIRC Meldungen sind zu vernachlässigen. Zu der anderen Meldung: Es ist wie gesagt, ich hab meine Systempartition C: formatiert, doch der Backdoorvirus (!Readme.exe), hat war auch in einem Unterorder von meiner Datenpartition D:. Habe dann als erstes (noch bevor ich Online gegangen bin) nach dem Formatieren den Norton Antivirus 2005 draufgemacht. Dieser hat den Virus auf D: erkannt und da er ihn nicht reparieren konnte, hat er ihn in das Quarantäne Verzeichnis gepackt. Der Virus ist dadurch noch nicht "inaktiv": Kurz nachdem ich mich ins Internet eingewählt hab, kam von Norton die Meldung, dass die svchost.exe auf das Internet zugreifen will. Wenn ich dem Prozess dies erlaubt hätte, denke ich, dass meine CPU Auslastung durch den Prozess wieder auf 100% geht usw. Da ich ihm den Zugriff jedoch verweigert hab, ist nichts schlimmes passiert, der Virus ist aber immernoch auf meinem PC (zwar inaktiv, aber er ist noch da). Die Frage ist nun also wie ich ihn ganz loswerden kann? Als Info noch zum Virus: Ich denke, dass er sich durch den Internetzugang aktiviert und dann einen Prozess durch die svchost.exe starten will, der im Endeffekt 100% CPU brauch. Würd mich riesig freuen, wenn ihr mir helfen könntet MfG raphaeL^ |
16.12.2004, 00:25 | #6 |
| xplugin.dll infected mit Esepor Virus @ raphaeL^, hier einige Information zu den Ablegern der Familie Backdoor.Win32.Gobot.-. Ihnen allen ist gemeinsam, dass sie Dritten den Zugriff auf den befallenen Rechner ermöglichen. Lies auch unter "Erläuterung" und "erweitert" nach. Du hast ja schon einmal formatiert, am besten ist es, Du formatierst Deinen Rechner nochmal, und dann C und D. Diese Würmer lassen sich leider nicht so einfach löschen, dazu müssten auch jede Menge Registry-Einträge entfernt werden. Hierzu einige Tipps von Cidre: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html |
16.12.2004, 01:20 | #7 |
| xplugin.dll infected mit Esepor Virus Falls es so wie beschrieben abgelaufen ist und der Schädling "nur" in deinen Backups gefunden wurde und du das Programm, wo er sich befand noch nicht wieder installiert hast, dürfte dein System auch noch nicht wieder befallen worden sein. Entscheidend wäre, WO genau er gefunden wurde und was du mit dem entsprechenden Programm gemacht hast. Es empfiehlt sich bei einer Neuformatierung sowieso, auf aus dem Netz geladene Programme zu verzichten und sich diese neu zu holen und nur reine Daten wie Dokumente und Bilder zu sichern. Die Fragen von Cidre stehen also nach wie vor im Raum und wären zunaächst zu beantworten. |
16.12.2004, 13:02 | #8 | ||
| xplugin.dll infected mit Esepor Virus @ Shadowdance Ich habe meine Systemplatte C bereits genauso formatiert, wie du es gerade zitiert hast und die Daten/Backuppartition D formatieren kommt unter keinen Umständen in Frage. Norton hat dann direkt nach dem Formatieren folgendes gefunden: Zitat:
Zitat:
Nochmal: Zur Zeit läuft mein ganzes System perfekt und es geht nur darum, den Virus loszuwerden (er ist NICHT aktiv). Kann ich die Dateien dann einfach löschen? Symantec sagt dazu dieses . Aber wenn ich nun mein System im abesichertem Modus scanne, findet er garkeinen Virus mehr. @ MountainKing Ja, der Schädling wurde nur in meinen Backups gefunden und ich hab ihn auch nach dem formatieren nicht ausgeführt. Er wurde wie bereits weiter oben gesagt in diesem Ordner gefunden: D:\Backup\MyProjects\Modellrechner\ Eine Frage noch, die absolut nichts mit dem Thema zu tun hat. Wie kann ich einstellen, dass sich die DFÜ-Verbindung beendet, wenn ich den PC neustarte? Das passiert bei mir nicht und wenn ich nun reboote und den Verbindung nicht manuell kappe, ist meine Leitung nach dem Reboot für ca. 2 min besetzt. Hoffe, ihr könnt mir helfen MfG raphaeL^ Geändert von raphaeL^ (16.12.2004 um 13:09 Uhr) |
16.12.2004, 13:35 | #9 | |
| xplugin.dll infected mit Esepor VirusZitat:
Mal sehen, was die Kollegen dazu sagen. SD |
16.12.2004, 13:40 | #10 |
| xplugin.dll infected mit Esepor Virus Ich versteh nicht so ganz, was meine letzte Frage mit dem Virus zu tun haben soll. Das die Leitung besetzt ist, liegt doch daran, dass ich die Verbindung nicht beendet habe und sie deswegen 2-3 min brauch um Timeout zu gehen, so dass T-Online sie wieder frei macht. Außerdem: Wenn ich die Verbindung manuell kappe, gehts ja direkt nachm Reboot wieder - vergesse das nur ab und zu Halt mal |
Themen zu xplugin.dll infected mit Esepor Virus |
.exe, 100%, 192.168.0.2, antivir, bho, einstellungen, excel, festplatte, firefox, google, hijack, hijackthis, hijackthis log, internet, internet explorer, log datei, mozilla, mozilla firefox, musik, nvcpl.dll, problem, prozess, prozesse, rundll, sun java, svchost.exe, taskmanager, tcpip, viren, virus, windows, windows xp |