Hola!

Ich habe jetzt zwei Trojaner durch Deaktivieren der Systemwiederherstellung unschädlichgemacht. Der Virenscan war postiv, nichts mehr da.

Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da?

Und ich habe soeben ein Problem festgestellt:
Das Antivirenprogramm erkennt sie zwar nicht mehr, nach jedem Neustart erkennt aber das Programm "Ad-Aware SE" sowohl eine RegData und eine "MRU List", die infiziert sein sollen.

Braucht ihr den Log? Wollte ihn einfügen, aber das hochladen dauert so lange und die Seite stürzt ab.

Laure

Zitat:

Zitat von Laure

Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da?

Nein, siehe auch http://service1.symantec.com/SUPPORT...30807105707924

Zitat:

Durch das Deaktivieren der Systemwiederherstellung werden alle vorherigen Wiederherstellungspunkte gelöscht. Sie müssen neue Wiederherstellungspunkte erstellen, wenn Sie die Systemwiederherstellung wieder aktivieren.

btw: ob du die Schädlinge wirklich restlos entfernen konntest, weiß ich nicht

Wenn du die Systemwiederherstellung deaktivierst, werden alle Wiederherstellungspunkte gelöscht.Es ist also kein Wiederherstellungspunkt mehr dxa.Also kommt auch nichts wieder , wenn du sie wieder anstellst.
Aber warum willst du die Wiederherstellung deaktiviert lassen? An sich ist das eine vernünftige Anwendung.

Zitat:

Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da?

Wie waren die Namen und in welchem Pfad wurden sie gefunden?
Wenn Du die Systemwiederherstellung deaktiviert hast und danach neu gebootet
hast und die Schädlinge in C:\SystemVolumeInformation\Restore waren, dann sind sie weg, denn dort werden die Systempunkte von Windows verwaltet. Du solltest aber die Systemwiederherstellung wieder aktivieren.

Und ich habe soeben ein Problem festgestellt:
Das Antivirenprogramm erkennt sie zwar nicht mehr, nach jedem Neustart erkennt aber das Programm "Ad-Aware SE" sowohl eine RegData und eine "MRU List", die infiziert sein sollen.

Braucht ihr den Log? Wollte ihn einfügen, aber das hochladen dauert so lange und die Seite stürzt ab.

Laure

Du kannst mal ein HijackThis Logfile posten:
Direktdownload
kurze Beschreibung
ausführliche Beschreibung


Die MRU Liste von Ad-Aware ist nichts "böses"

"Reg-Data" ist ein bisschen ungenau...

Logfile of HijackThis v1.99.1
Scan saved at 18:30:16, on 19.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\DITASK.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\WATCH.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\CGSERVER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\GAH95ON6.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\DIINFO.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\COMPUSERVE 3.0\COMPUSERVE STARTERKIT 3.0\CSODIALER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: ohb - {988CAFC4-DC0D-4D8C-A35E-5028ABE9E641} - C:\WINDOWS\SYSTEM\IC2_WIN.DLL
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\SYSTEM\TRGEN.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Begin2Search.com Bar - {207AEF46-0596-4966-A7BF-098F247E85BB} - C:\WINDOWS\SYSTEM\IC2_WIN.DLL
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [DiTask] C:\WINDOWS\ditask.exe
O4 - HKLM\..\Run: [EICONCARD_DAEMON] C:\Program Files\Deutsche Telekom\Management System\WATCH.EXE
O4 - HKLM\..\Run: [CGUARD] C:\Program Files\Deutsche Telekom\Management System\CGSERVER.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\SYSTEM\gah95on6.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

Leider hat du den auf deinem Sytem.
Erkennbar an folgendem Eintrag:

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe

Da hilft leider nur Neuinstallation am besten nach folgender Anleitung:

http://www.trojaner-info.de/report_i...nleitung.shtml

Hallo,

lass bitte einmal diese Datei:

C:\WINDOWS\SYSTEM\msmsgs.exe

hier online scannen:

http://www.systemwiederherstellung-d...indows-xp.html

Teile bitte das Ergebnis mit.

dartus

@ dartus

Muss nicht gescannt werden.Ist definitiv der von mir beschriebene Schädling:
Warum?
Deswegen

ein HJT ist halt doch immer wieder gut, Du hast den hier im System

Zitat:

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe

meine Empfehlung setze dein System neu auf, hier die Hilfe dazu

Ich halte dagegen, scanne die Datei bitte online.
btw: Es ist sicher Malware, aber ich glaube nicht, dass es ein Bot ist

Das glaub ich aber für dich mit.

Zitat:

W32/Forbot-BD is a network worm with backdoor Trojan functionality.

W32/Forbot-BD spreads through network shares and by exploiting the LSASS (MS04-011) software vulnerability. The Trojan may also spread through backdoors left open by other malware.

When first run, W32/Forbot-BD copies itself to the Windows System folder as MSMSGS.EXE. In order to run automatically each time Windows is started, W32/Forbot-BD sets the following registry entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Messenger = msmsgs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Messenger = msmsgs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Messenger = msmsgs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Messenger = msmsgs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Messenger = msmsgs.exe

W32/Forbot-BD creates a service named "Windows Messenger" with
the display name "Windows Messenger".

The worm runs continuously in the background providing backdoor access to the infected computer through IRC channels.

Zitat: http://www.sophos.com/virusinfo/anal...2forbotbd.html

Hallo,

ich wette das kommt dabei raus:

AntiVir Keine Viren gefunden (0.40 Sekunden)
Avast Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus Keine Viren gefunden (1.01 Sekunden)
BitDefender Keine Viren gefunden (0.53 Sekunden)
ClamAV Keine Viren gefunden (0.62 Sekunden)
Dr.Web Trojan.DownLoader.1916 (0.91 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.11 Sekunden)
Fortinet Keine Viren gefunden (0.46 Sekunden)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.g (1.00 Sekunden)
mks_vir Trojan.Downloader.Zlob.G (0.22 Sekunden)
NOD32 Keine Viren gefunden (0.49 Sekunden)
Norman Virus Control Keine Viren gefunden (0.82 Sekunden)

Laure,

bitte scan diese Datei.

@cronos,

der Registry-Eintrag ist hierbei aber MSN Messenger und nicht Windows Messenger.

dartus

Wir werden's ja sehen
btw: den Link hab ich schon gelesen, keine Angst.