Hallo liebe Leute,

also heute musste ich meine erste - und anscheinend auch gleich komplizierte - Erfahrung mit einem Virus machen. AntiVir Version 6 fand auf meinem PC ein Virus namens VBS/Redlof. A.1 in einem Archiv. Im Report von Antivir war nachzulesen, dass es deshalb - eben weil in einem Archiv - nicht entfernbar sei. Kann mir irgendjemand einen Rat geben, was ich jetzt machen kann? Ich muss dazu sagen, dass ich extrem wenig PC-Kenntnisse habe.

Vielen Dank im Vorraus

Eure mirasol

@mirasol
ist schon ein älteres modell
http://www.sophos.com/virusinfo/anal...bsredlofa.html

lösche als erstes diese ordner
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files


poste danach ein HJT logfile mit pfadangabe wo der virus gefunden würde.
download
anleitung
chaosman

Lieber chaosman,
liebe Leute,

ich hoffe, ich habe bei dem logfile alles richtig gemacht (habe den scan erst gemacht nachdem ich mit clearprog gereinigt habe, hoffe, das war richtig), ich poste ihn jetzt mal:

Logfile of HijackThis v1.99.1
Scan saved at 18:43:41, on 06.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\HANSENET\ALICE\APP\TANGOMANAGER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\UNZIPPED\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.m-base.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HANSENET\ALICE\APP\TANGOM~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

auf jeden fall dein system updaten!! Deine Log ist jetzt sauber! allerdings kommt sie mir ziemlich klein vor *g*

mfG
Sword

Zitat:

Zitat von Swordian

auf jeden fall dein system updaten!!

Auf was?

Zitat:

Zitat von Swordian

Deine Log ist jetzt sauber! allerdings kommt sie mir ziemlich klein vor *g*

Nö, warum? Ich seh da noch einiges überflüssiges (nicht gefährlich).

Gruß
Yopie

ich weiss nicht wieso mein log nun zu klein sein sollte (kenne mich nicht aus).....

... leider hat AntiVir den Virus wieder gefunden, als ich es hab laufen lassen. Das ist mir nun unverständlich. Die Log ist sauber, aber das Virusprogramm findet trotzdem den Virus wieder. Hm... - vielleicht hat jemand von Euch ne Erklärung?

Liebe Grüße

Eure mirasol




mfG
Sword[/QUOTE]

Zitat:

Zitat von Swordian

auf jeden fall dein system updaten!! Deine Log ist jetzt sauber! allerdings kommt sie mir ziemlich klein vor *g*

mfG
Sword

Zitat:

leider hat AntiVir den Virus wieder gefunden, als ich es hab laufen lassen.

Poste mal den genauen Pfad des Archives.

hallo Cidre,

leider weiss ich nicht, wie ich den genauen Pfad posten kann, bzw., wie ich an diesen herankomme. Mit Hilfe des Antiviren-Programms?

Gruß mirasol

Zitat:

Zitat von Cidre

Poste mal den genauen Pfad des Archives.

Zitat:

Zitat von mirasol

leider weiss ich nicht, wie ich den genauen Pfad posten kann, bzw., wie ich an diesen herankomme. Mit Hilfe des Antiviren-Programms?

Entweder Du schaust in die Log-Datei des AV-Progs, oder Du wartest die nächste Meldung ab und schreibst Dir den Pfad handschriftlich (gibts das noch? ) auf.

Gruß
Yopie

Hallo,

habe jetzt aus dem letzten Report den Pfad mal kopiert. Ich hoffe, ich habe das jetzt richtig gemacht. Voilà:


C:\
C:\_RESTORE
C:\_RESTORE\TEMP
C:\_RESTORE\ARCHIVE
C:\_RESTORE\LOGS
C:\_RESTORE\SFP
C:\_RESTORE\EXTRACT
C:\WINDOWS
C:\WINDOWS\SYSTEM
C:\WINDOWS\SYSTEM\MUI
C:\WINDOWS\SYSTEM\MUI\0401
C:\WINDOWS\SYSTEM\MUI\0403
C:\WINDOWS\SYSTEM\MUI\0404
C:\WINDOWS\SYSTEM\MUI\0405
C:\WINDOWS\SYSTEM\MUI\0406
C:\WINDOWS\SYSTEM\MUI\0407
C:\WINDOWS\SYSTEM\MUI\0408
C:\WINDOWS\SYSTEM\MUI\0409
C:\WINDOWS\SYSTEM\MUI\040B
C:\WINDOWS\SYSTEM\MUI\040C
C:\WINDOWS\SYSTEM\MUI\040D
C:\WINDOWS\SYSTEM\MUI\040E
C:\WINDOWS\SYSTEM\MUI\0410
C:\WINDOWS\SYSTEM\MUI\0412
C:\WINDOWS\SYSTEM\MUI\0413
C:\WINDOWS\SYSTEM\MUI\0414
C:\WINDOWS\SYSTEM\MUI\0415
C:\WINDOWS\SYSTEM\MUI\0416
C:\WINDOWS\SYSTEM\MUI\0419
C:\WINDOWS\SYSTEM\MUI\041B
C:\WINDOWS\SYSTEM\MUI\041D
C:\WINDOWS\SYSTEM\MUI\041F
C:\WINDOWS\SYSTEM\MUI\0424
C:\WINDOWS\SYSTEM\MUI\042D
C:\WINDOWS\SYSTEM\MUI\0804
C:\WINDOWS\SYSTEM\MUI\0816
C:\WINDOWS\SYSTEM\MUI\040A
C:\WINDOWS\SYSTEM\MUI\0411
C:\WINDOWS\SYSTEM\OOBE
C:\WINDOWS\SYSTEM\OOBE\MSNSETUP
C:\WINDOWS\SYSTEM\OOBE\SETUP
C:\WINDOWS\SYSTEM\OOBE\REGSETUP
C:\WINDOWS\SYSTEM\OOBE\IMAGES
C:\WINDOWS\SYSTEM\OOBE\HTML
C:\WINDOWS\SYSTEM\OOBE\HTML\MOUSE
C:\WINDOWS\SYSTEM\OOBE\HTML\MOUSE\IMAGES
C:\WINDOWS\SYSTEM\OOBE\ERROR
C:\WINDOWS\SYSTEM\OOBE\ICSERROR
C:\WINDOWS\SYSTEM\OOBE\ISPERROR
C:\WINDOWS\SYSTEM\OOBE\MSNERROR
C:\WINDOWS\SYSTEM\OOBE\REGERROR
C:\WINDOWS\SYSTEM\QuickTime
C:\WINDOWS\SYSTEM\VMM32
C:\WINDOWS\SYSTEM\WBEM
C:\WINDOWS\SYSTEM\WBEM\DTD
C:\WINDOWS\SYSTEM\WBEM\MOF
C:\WINDOWS\SYSTEM\WBEM\MOF\bad
C:\WINDOWS\SYSTEM\WBEM\MOF\good
C:\WINDOWS\SYSTEM\WBEM\Logs
C:\WINDOWS\SYSTEM\WBEM\REPOSITORY
C:\WINDOWS\SYSTEM\ZoneLabs
C:\WINDOWS\SYSTEM\IOSUBSYS
C:\WINDOWS\SYSTEM\RESTORE
C:\WINDOWS\SYSTEM\COLOR
C:\WINDOWS\SYSTEM\MACROMED
C:\WINDOWS\SYSTEM\MACROMED\UPDATE
C:\WINDOWS\SYSTEM\MACROMED\DIRECTOR
C:\WINDOWS\SYSTEM\MACROMED\FLASH
C:\WINDOWS\SYSTEM\MACROMED\Shockwave 8
C:\WINDOWS\SYSTEM\MACROMED\Shockwave 8\xtras
C:\WINDOWS\SYSTEM\MACROMED\Shockwave 8\Prefs
C:\WINDOWS\SYSTEM\MACROMED\Shockwave 8\DswMedia
C:\WINDOWS\SYSTEM\MACROMED\common
C:\WINDOWS\SYSTEM\CatRoot
C:\WINDOWS\SYSTEM\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
C:\WINDOWS\SYSTEM\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}
C:\WINDOWS\SYSTEM\sfp
C:\WINDOWS\SYSTEM\sfp\archive
C:\WINDOWS\SYSTEM\sfp\tempcats
C:\WINDOWS\SYSTEM\sfp\ie
C:\WINDOWS\SYSTEM\DirectX
C:\WINDOWS\SYSTEM\DirectX\Migrate
C:\WINDOWS\SYSTEM\DirectX\Dinput
C:\WINDOWS\PIF
C:\WINDOWS\COMMAND
C:\WINDOWS\COMMAND\EBD
C:\WINDOWS\OPTIONS
C:\WINDOWS\OPTIONS\INSTALL
WIN_18.CAB
ArchiveType: CAB (Microsoft)
--> pubplace.htt
[FUND!] Enthält Signatur des VBS-Scriptvirus VBS/Redlof.A.1
C:\WINDOWS\OPTIONS\CABS
C:\WINDOWS\INF
C:\WINDOWS\INF\INTERNET
C:\WINDOWS\INF\CATALOG
C:\WINDOWS\INF\QFE
C:\WINDOWS\INF\QFE\WINME
C:\WINDOWS\UPGINFS
C:\WINDOWS\HELP
C:\WINDOWS\HELP\TOUR
C:\WINDOWS\HELP\TOUR\CSS
C:\WINDOWS\HELP\TOUR\IMAGES
C:\WINDOWS\HELP\TOUR\IMG
C:\WINDOWS\HELP\TOUR\IMG\BTNCTRL
C:\WINDOWS\HELP\TOUR\IMG\BTNSCENE
C:\WINDOWS\HELP\TOUR\IMG\WMARKS
C:\WINDOWS\HELP\TOUR\CNT
C:\WINDOWS\HELP\TOUR\AUDIO
C:\WINDOWS\HELP\TOUR\AUDIO\WAV
C:\WINDOWS\HELP\TOUR\SCR
C:\WINDOWS\HELP\TOUR\VIDEO
C:\WINDOWS\HELP\KB
C:\WINDOWS\HELP\MMC
C:\WINDOWS\HELP\MMC\MISC
C:\WINDOWS\HELP\MMC\HTM
C:\WINDOWS\SYSTEM32
C:\WINDOWS\SYSTEM32\DRIVERS
C:\WINDOWS\MSAGENT
C:\WINDOWS\MSAGENT\CHARS
C:\WINDOWS\MSAGENT\INTL
C:\WINDOWS\CURSORS
C:\WINDOWS\JAVA
C:\WINDOWS\JAVA\CLASSES
C:\WINDOWS\JAVA\Packages
C:\WINDOWS\JAVA\Packages\Data
C:\WINDOWS\JAVA\TRUSTLIB
C:\WINDOWS\UPGDLLS
C:\WINDOWS\FONTS
C:\WINDOWS\WEB
C:\WINDOWS\WEB\Wallpaper
C:\WINDOWS\DRWATSON
C:\WINDOWS\MEDIA
C:\WINDOWS\MEDIA\Microsoft Office 2000
C:\WINDOWS\LHSP
C:\WINDOWS\LHSP\DIALOG
C:\WINDOWS\LHSP\HELP
C:\WINDOWS\LHSP\LANGUAGE
C:\WINDOWS\LHSP\TPP
C:\WINDOWS\LHSP\G2P
C:\WINDOWS\LHSP\VOICE
C:\WINDOWS\LHSP\SYSTEM


Ende des Suchlaufs: Dienstag, 8. März 2005 16:32
Benötigte Zeit: 08:19 min


850 Verzeichnisse wurden durchsucht
17332 Dateien wurden geprüft
0 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden

Zitat:

C:\WINDOWS\OPTIONS\INSTALL\WIN_18.CAB

Imho handelt es sich um einen Fehlalarm von AntiVir, siehe z.B. auch http://www.easydesksoftware.com/recovery.htm !

Zur Sicherheit kannst du dieses Archiv bei http://virusscan.jotti.org/ nochmals gegenchecken.

Zitat:

Zitat von Cidre

Imho handelt es sich um einen Fehlalarm von AntiVir, siehe z.B. auch http://www.easydesksoftware.com/recovery.htm !

Zur Sicherheit kannst du dieses Archiv bei http://virusscan.jotti.org/ nochmals gegenchecken.

also ich habe den pfad in das Fenster oben in der Seite eingegeben, danach öffnete sich ein Windows-Fenster und ich bin auf "öffnen" darauf gegangen (ich hoffe das war richtig...) unten auf der Seite erschien nach ca. 1 Minute dann folgendes Ergebnis (wobei ich hoffe, das WAR überhaupt ein Ergebnis ) :

Service load: 0% 100%

Status: Ready for upload
Statistics
Last piece of malware found was not-a-virus:RiskWare.Monitor.Perflogger.al in ultimate aimbot.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.47 seconds
Avast X 1.51 seconds
AVG Antivirus X 0.50 seconds
BitDefender Trojan.Spy.Agent.Y 0.51 seconds
ClamAV X 0.70 seconds
Dr.Web X 0.90 seconds
F-Prot Antivirus X 0.25 seconds
Fortinet X 0.44 seconds
Kaspersky Anti-Virus not-a-virus:RiskWare.Monitor.Perflogger.al 1.19 seconds
mks_vir X 0.45 seconds
NOD32 X 0.53 seconds
Norman Virus Control X 6.33 seconds

.... leider kann ich mit dem Verweis auf die easydesksoftware-Seite nicht so viel anfangen....was ist da relevant? Über einen Tip wäre ich sehr dankbar.

Vielen Dank - bis bald

Eure mirasol