Hallo Leute,

als ich heute so im Netz unterwegst war klappte plötzlich ein Fenster von Norten Antivirus auf und es wurde mir mitgeteilt, dass sich ein Virus mit dem Namen Trojan.moo auf meinem PC befände. Er konnte von Norton Antivirus allerdings nicht gelöscht werden. Es wurde mir auserdem angezeigt, dass sich eine Datei namens payload[1].ani auf meinem Computer befände. Ich habe dann mal bei Symantec nach geschaut, was ich gegen den Virus machen kann und dort wird einem empfohlen, einfach die Tempdateien im Einstellungen und Windows Menü zu löschen und dann Norten AntiVirus über das System laufen zu lassen.

Zur Sicherheit habe ich den Scanner zwei mal laufen lassen. Es wurde nichts gefunden. Das verwirrt mich allerdings ein wenig. Es wurde ja immerhin angezeigt, dass der Virus nicht gelöscht werden konnte. Kann es tatsächlich sein, dass ich den Virus mit dem löschen der Temp-Dateien erwischt habe, oder versteckt der sich irgendwo? Auf der Symantec Seite wird jedenfalls behauptet, dass keine Gefahr mehr besteht.

Übrigens: Probleme habe ich noch keine mit meinem System.

Erstelle zunächst einen Log mittels HijackThis und poste diesen hier im Forum:

Anleitung

Zitat:

Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Hier ist der Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 15:07:02, on 21.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\EzButton\CplBCL50.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\A Note\A Note.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Switching\User\RoamSvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.das-studentenforum.de.vu/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CplBCL50] C:\Programme\EzButton\CplBCL50.EXE
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: A Note.lnk = C:\Programme\A Note\A Note.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102161052813
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h**ps://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Adapter-Switching (IntelRoam) - Intel Corporation - C:\Programme\Intel\Switching\User\RoamSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Der Log zeigt so erstmal keine Auffälligkeiten, bis auf das Service Pack 2 fehlt.
Um sicher zu gehen könntest du dein System mit Escan im abgesicherten Modus überprüfen.Teile uns die Ergebnisse mit.

Also hier mal die Ergebnisse von escan. Ich habe nur die Zeilen mit Virenwarnungen raus kopiert:

Sat May 21 15:51:33 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Sat May 21 17:05:54 2005 => C:\RECYCLER\NPROTECT\00022169. possibly infected and removed by background antivirus package!

Sat May 21 17:05:54 2005 => File C:\RECYCLER\NPROTECT\00022169. infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.

Sat May 21 17:05:54 2005 => C:\RECYCLER\NPROTECT\00022171. possibly infected and removed by background antivirus package!

Sat May 21 17:05:55 2005 => File C:\RECYCLER\NPROTECT\00022171. infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.

Sat May 21 17:05:55 2005 => C:\RECYCLER\NPROTECT\00022193. possibly infected and removed by background antivirus package!

Sat May 21 17:05:55 2005 => File C:\RECYCLER\NPROTECT\00022193. infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.

Sat May 21 17:05:55 2005 => C:\RECYCLER\NPROTECT\00022217. possibly infected and removed by background antivirus package!

Sat May 21 17:05:55 2005 => File C:\RECYCLER\NPROTECT\00022217. infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.

Sat May 21 17:05:56 2005 => C:\RECYCLER\NPROTECT\00022389. possibly infected and removed by background antivirus package!

Sat May 21 17:05:56 2005 => File C:\RECYCLER\NPROTECT\00022389. infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.

Sat May 21 17:05:56 2005 => C:\RECYCLER\NPROTECT\00272193. possibly infected and removed by background antivirus package!

Sat May 21 17:05:56 2005 => File C:\RECYCLER\NPROTECT\00272193. infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.

Sat May 21 17:05:56 2005 => C:\RECYCLER\NPROTECT\00272194. possibly infected and removed by background antivirus package!

Sat May 21 17:05:56 2005 => C:\RECYCLER\NPROTECT\00272204. possibly infected and removed by background antivirus package!

Sat May 21 17:05:56 2005 => File C:\RECYCLER\NPROTECT\00272204. infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.

Sat May 21 15:57:50 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\CX6JGXEN\EMSAT[1].CAB tagged as "not-a-virus: Dialer.Win32.Creazione.a". Action Taken: No Action Taken.

Sat May 21 16:01:22 2005 => File C:\cep11p.exe tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.

Sat May 21 16:14:52 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CX6JGXEN\EMSAT[1].CAB tagged as "not-a-virus: Dialer.Win32.Creazione.a". Action Taken: No Action Taken.

Sat May 21 16:20:04 2005 => File C:\Meine Downloads\mirc614.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.


Was haltet ihr davon? Sind das wirklich schädliche Viren und wie werde ich die wieder los?

Lösche im abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html


mittels Killbox :

C:\RECYCLER
C:\cep11p.exe

dazu:

Zitat:

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Lösche den Inhalt folgender Ordner:

C:\Dokumente und Einstellungen\Default User\Cookies\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf

Lasse auch zusätzlich Spybot und Adaware drüberlaufen und behebe Probleme.
Mit Spybot noch zusätzlich immunisieren.

Ok. Den Ordner Temporary Interntfiles habe ich schon vorher zwei mal gelöscht, nur diese Unterverzeichnisse wie z.B. content.ie5 bleiben scheinbar immer erhalten.

Die erstellen sich auch immer wieder, wenn du mit dem IE surfst.
Du solltest auf alternative Browser umsteigen.

Gut. Das wäre kein Problem. Ich meine aber, dass auch der eigentlich gelöschte Inhelt der Ordner erhalten bleibt. Das dumme ist, dass die ja überhaupt nicht angezeigt werden, auch wenn ich mir die versteckten Ordner anzeigen lasse. Wäre es möglich, dass ich den ganzen Ordner "Temporary Internet Files" lösche?

Kann ich diese Dailer nicht auch mit Killbox löschen? Was ist des überhaupt für ein Virus?

EDIT: Weiteres Problem: Der Ordner Recycler wird auch nicht angezeigt.

Zitat:

Zitat von capt._argus

Wäre es möglich, dass ich den ganzen Ordner "Temporary Internet Files" lösche?

Der erstellt sich automatisch wieder.

Zitat:

Kann ich diese Dailer nicht auch mit Killbox löschen?

Könntest du auch tun.Wenn du aber meine Version befolgst (dich also im abgesicherten Modus bei deaktivierter Systemwiederherstellung als Admin anmeldest und den Inhalt der Ordner löschst) sind die Dateien garantiert auch weg.Anderer Müll, der sich in den Ordnern befindet auch.
Beachte : Du solltest die 4 Ordner für jeden Benutzer des PCs löchen.
Den Dialer zwecks Beweissicherung bei überhöhter Telefonrechnung
auf Diskette sichern

Zitat:

Was ist des überhaupt für ein Virus?

Lies dich hier mal ein:

http://www.trojaner-info.de

Vielen, vielen Dank für die Hilfe. Das hat mir sehr viel weiter geholfen!!!

Eine Frage habe ich aber noch: Die Datei, die mit dem Dailer infiziert war, war eine zip-Datei. Was ist nun, wenn sich der Dailer schon installiert hatte. Mit welchem Programm kann ich den erkennen? Oder ist der auch gelöscht worden?

Danke noch mal für die Hilfe.

Da Escan nichts erkannt hat, kannst du relativ sicher sein, daß da nichts installiert wurde.
Der Dialer beinträchtigt dich nur, wenn du über Modem ins Netz geht.
Bei DSL hat ein Dialer normalerweise keine Chance.

@ capt._argus

Grundlagen zu Dialern:
http://www.dslweb.de/dialer-und-dsl.htm

Zitat:

Dialer und DSL

Dialer können sich aufgrund des oben beschriebenen technischen Unterschiedes (Standleitungs-Prinzip) nur über Wählzugänge, jedoch nicht über DSL-Netzwerke einwählen. Oder kurz gesagt: Wer nur einen DSL-Zugang am PC hat, muss keine Angst vor Dialer-Einwahlen haben. Auch wer über das Fernsehkabel surft, muss aus obigen Gründen (keine “Einwahl”) keine Sorge von Dialer-Einwahlen haben. Vorsicht ist dagegen bei Internetzugängen via Satellit geboten. Hier ist in der Regel ein Rückkanal über ISDN oder Analogleitung nötig - der wiederum von Dialern für die Einwahl genutzt werden kann.

DSL und trotzdem eine Dialer-Einwahl?

Oft wundern sich DSL-Nutzer, dass sie trotzdem eine teure Dialer-Einwahl auf ihrer Telefonrechnung finden. Dabei haben sie meist eines übersehen: Wenn Sie neben dem reinen DSL-Zugang eine zweite Verbindung an ihrem PC haben (etwa, weil sie von Ihrem PC aus Faxe verschicken) besteht ein Einfalltor für teure, unerwünschte Dialer-Verbindungen. Gleiches Risiko gilt für bestimmte Telefonanlagen. Für weiterführende Informationen zur DSL-Technik sei hier auf spezialisierte Seiten wie die unseres Werbepartners Avego.de oder dslweb.de verwiesen. Kostenrisiko für DSL-Nutzer: IP Billing und IP Payment

Seit Anfang 2005 drängt eine neue Abrechnungsmethode auf den Markt, die möglicherweise auch für DSL-Nutzer, die eigentlich vor Dialer-einwahlen geschützt sind, zu einem Kostenrisiko werden könnte: Das IP Payment, auch IP Billing genannt. Bitte beachten Sie dazu unser gesondertes Kapitel IP-Payment.

Quelle: http://www.dialerschutz.de/grundlage...s-internet.php

Besten Dank für die Info.

Dann habe ich noch eine letzte Frage und bin dann beruhigt: Was ist denn nun mit dem Trojaner von heute Morgen. Du hast ja gemeint, dass der nicht auf meinem System wäre, weil er schon nicht von HijackThis erkannt wurde. Wenn er doch installiert gewesen wäre, wäre er dann von escan erkannt worden, oder besteht immer noch ein Restrisiko? Ich frag´ nur noch mal zur Sicherheit...

Ich denke mal, dass dieser durch Löschen der temporären Dateien eliminiert wurde.