Hallo Freunde!
Brauche Hilfe !
Seit drei Tagen habe ich einen Trojaner auf meinem Rechner, trotz Zone Alarm security Suite ist die Sau durch gekommen! Wie kriege ich den weg!
Zone Alarm schickt mir folgende Meldung: Der Virus heisst Winshow.BM!!!
Bitte hilft mir!

Hallo,

schau mal hier -> http://www.trendmicro.com/vinfo/viru...R%2EGE&VSect=T

Erstelle ansonsten mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es.
Beachte die Hinweise!

Ich schaffe es nicht!
Ich habe nicht so viel Ahnung vom Computer!
Besteht die möglichkeit das Tel. zu regeln!
Das jemand das ganze mit mir durch geht!
Mfg

Zitat:

Ich habe nicht so viel Ahnung vom Computer!

Das HJT Log-File kannst du auch ohne Vorkenntnisse erstellen und posten.

Zitat:

Besteht die möglichkeit das Tel. zu regeln!

Von meiner Seite her, Nein!

Zitat:

Zitat von Badboyxxl

Besteht die möglichkeit das Tel. zu regeln!

Bei allem Respekt vor Deinem Problem, aber ich denke Telefon-Support ist wohl ein 'bisschen' zu viel des Guten...

Diese Anzeige zeigt mein Zone alarm!
könnt ihr etwas mit anfangen????
What is this virus?




Virus Name: Winshow.BM
Pervasiveness: 1 of 5


Destructiveness: 2 of 5


Wildness: 2 of 5


Type: Trojan
Aliases: [Win32.]Winshow.BM; [W32/]Agent.MO@dl (F-Secure); [Trojan.]Win32.Agent.bi (Kaspersky); [TROJ_]DLOADER.GE (Trend); [Win32/]Winshow.11439!Trojan; [Downloader-]YK (McAfee);

Date Modified: 11-May-2005
Date Published: 10-May-2005

Description:
Win32.Winshow.BM is a trojan that modifies registry settings and removes some IE pluggable MIME filters from the system. It is usually downloaded by other Winshow variants.
When executed, Winshow.BM sets the following registry value so that it can execute itself at each Windows start:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce \<filename.exe> = <path>\<filename.exe>

Winshow.BM also installs itself as a service so that it can execute at each Windows start. It uses one of the following service display names:

Network Security Service
Network Security Service (NSS)
Remote Procedure Call (RPC) Helper
Workstation Netlogon Service

On Windows 9x systems, the trojan sets the following registry value and registers itself as a service:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices \<filename.exe> = <path>\<filename.exe> /s

The trojan may also copy itself to the %System% folder using one of the following file names, which is combined with two random letters:

add
api
app
atl
cr
d3
ie
ip
java
mfc
ms
net
nt
sdk
sys
win

Example: addxy.exe

The trojan also sets the following registry value.

HKCR\CLSID\ {unique_id}\ LocalServer32\{Default) = <path>\<filename.exe>

Note: '%System%' is a variable location. The malware determines the location of the current System folder by querying the operating system. The default installation location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95,98 and ME is C:\Windows\System; and for XP is C:\Windows\System32.

Deletes Registry Keys
The trojan deletes the following value as well as the file referenced by the value:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

The trojan queries the following registry values, which point to any installed pluggable mime fil ters:

HKCR\protocols\filter\text/html\CLSID = {unique_id}
HKCR\protocols\filter\text/plain\CLSID = {unique_id}

After obtaining the data, {unique_id}, the trojan locates the DLL that is assigned to this value by querying the following registry value:

HKCR\CLSID\ {unique_id}\ InProcServer32\(Default)

The trojan then deletes the file referenced by the above value's data, as well as the above registry key itself.

The trojan creates the following registry key to store internal data:

HKCR\CLSID\ {unique_id} \Data

Analysis by Amir Fouda










Search Virus Information Center
Browse Virus Information Center
Virus Glossary
Zone Labs Security Advisories









One or two years of access to updates, supp