|
Plagegeister aller Art und deren Bekämpfung: Hilfe! Mit Adware und Backdoor infiziert?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.12.2004, 15:18 | #1 |
| Hilfe! Mit Adware und Backdoor infiziert? Hallo, ich bräuchte mal eure Hilfe! Mein Rechner ist potentiell verseucht mit Adware und mindestens einer Backdoor, wenn man den Scannern trauen darf. BitDefender 7.2 free hatte mir folgendes gemeldet Zusammenfassung: C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe=>(Instyler o)=>(Instyler Module 7) Infiziert Adware.1088 eScan AntiVirus Toolkit Utility Fri Dec 24 20:50:53 2004 => File C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013137.exe infected by "not-a-virus:AdWare.MiniBug" Virus. Action Taken: No Action Taken. Fri Dec 24 20:52:08 2004 => File C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe infected by "not-a-virus:AdWare.IGetNet" Virus. Action Taken: No Action Taken. ewido security suite - Scan Report + Scanergebnis: C:\Programme\MGI PhotoSuite II\System\Randomize.dll -> Backdoor.Ralpha -> Ignoriert Ich werde gleich noch mal mit KAV 4.5 mit erweiterten Signaturen scannen.TrenMicro 11 hatte übrigens gar nichts gefunden... Hier ist ein HijackThis Report von heute Logfile of HijackThis v1.98.2 Scan saved at 14:49:15, on 26.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\Internet Security\PCClient.exe C:\Programme\Trend Micro\Internet Security\TMOAgent.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\StarOffice6.0\program\soffice.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Trend Micro\Internet Security\pccguide.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe c:\programme\softwin\bitdefender free edition\bdmcon.exe C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\WINDOWS\System32\msiexec.exe C:\Download\hjt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103752139130 O17 - HKLM\System\CCS\Services\Tcpip\..\{89B5ED60-A4EE-473E-940E-3ABA568DD3CF}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{89B5ED60-A4EE-473E-940E-3ABA568DD3CF}: NameServer = 192.168.122.252,192.168.122.253 Schon mal Danke für eure Hilfe!
__________________ Gruß DSL_Freak Geändert von DSL_Freak (26.12.2004 um 15:23 Uhr) |
26.12.2004, 15:46 | #2 |
| Hilfe! Mit Adware und Backdoor infiziert? Sehe nichts auffälliges in deinem Log!
__________________Kaspersky lässt du dann am besten im abgesicherten Modus laufen,vorher updaten. Gruss |
26.12.2004, 17:59 | #3 |
| Hilfe! Mit Adware und Backdoor infiziert? Hallo,
__________________erst mal Danke für Deine Mühe! Ich habe vorhin mal mit KAV 4.5 mit aktuellsten erweiterten Signaturen gescannt. C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013137.exe/WISE0015.BIN Infiziert not-a-virus:AdWare.MiniBug <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0007 Infiziert not-a-virus:AdWare.IGetNet <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0008 Infiziert not-a-virus:AdWare.180Solutions <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/NHInstall.exe Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHUninstaller.exe Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHelper.dll Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHUpdater.exe Infiziert not-a-virus:AdWare.NavExcel.b <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0010/data0002 Infiziert not-a-virus:AdWare.BargainBuddy.a <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0010/data0003 Infiziert not-a-virus:AdWare.BargainBuddy.a <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0011/WISE0011.BIN Infiziert not-a-virus:AdWare.Toolbar.Exact <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0011/WISE0013.BIN Infiziert not-a-virus:AdWare.Toolbar.Exact <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0001.cab/Save.exe Infiziert not-a-virus:AdWare.SaveNow.t <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0001.cab/SaveUninst.exe Infiziert not-a-virus:AdWare.SaveNow.af <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0002.cab/Weather.exe Infiziert not-a-virus:AdWare.SaveNow.ak <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0002.cab/Uninst.exe Infiziert not-a-virus:AdWare.SaveNow.f <cd0000.0.e> C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0003.cab/Sync.exe Infiziert not-a-virus:AdWare.SaveNow.v <cd0000.0.e> Alles Adware-Komponenten in der Systemwiederherstellung. Aber keine Backdoor. Ich habe die Randomize.dll mit Dr. Web per Online-Scanner gesannt Ergebnis Dr.Web ® daemon for FreeBSD, version 4.32.2 (2004-11-01) Copyright © Igor Daniloff, 1992-2004 Engine version: 4.32b Total 63022 virus-finding records. Randomize.dll infected with BackDoor.Ralpha Das das was ewido gemeldet hat und weder KAV, BitDefender und TrendMicro gefunden haben... Kann ich die Adware aus der Systemwiederherstellung problemlos löschen? Ich denke mal das die dort jetzt inaktiv sind aber bei der nächsten Systemwiederherstellung aktiv werden können... Die Backdoor.Ralpha werde ich mit ewido löschen lassen. Ich habe vorhin noch mal mit f-prot (DOS) gescannt. Der hat haber nichts gefunden. Ich hoffe mal das der Rechner nach der Löschung wieder sauber ist.
__________________ |
26.12.2004, 18:25 | #4 |
| Hilfe! Mit Adware und Backdoor infiziert? Hm, Randomize.dll infected with BackDoor.Ralpha wenn es wirklich so ist,solltest du darüber nachdenken dein System neu Aufzusetzen,wie der Name schon sagt,dazu auch: http://oschad.de/wiki/index.php/Kompromittierung Mich wundert aber um ehrlich zu sein,das Kaspersky nix gefunden hat! Vielleicht hat hier noch jemand mehr Info`s zu dem Trojaner,ich höre ihn heute,um ehrlich zu sein,das erste Mal! Gruss |
27.12.2004, 00:08 | #5 |
Gast | Hilfe! Mit Adware und Backdoor infiziert? Sende die Datei C:\Programme\MGI PhotoSuite II\System\Randomize.dll an peter.klapprodt@ewido.net und schreib in die Mail, dass du einen Fehlalarm darin vermutest. Für den Rest ... deaktiviere deine Systemwiederherstellung -> Neustart -> aktiviere die Systemwiederherstellung wieder. Zu Trendmicro: Anscheinend wurde nur Adware gefunden ... Diese findet Trendmicro nur in den Spywarepattern bei PC-Cillin. |
Themen zu Hilfe! Mit Adware und Backdoor infiziert? |
.exe, adobe, adobe reader, adware, antivirus, backdoor, bho, danke, danke für eure hilfe!, defender, download, dsl, explorer, file, hijack, hijackthis, hilfe, infected, infiziert, infiziert?, internet, internet explorer, internet security, kaspersky, programme, scan, security, security suite, server, system, tcpip, trend micro, unknown file in winsock lsp, windows, windows messenger, windows xp |