| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Jeem VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.02.2004, 11:49
| #1 |
| |  Backdoor.Jeem Virus Hallo Zusammen, ich benötige dringend Eure Hilfe, denn ich komme nicht mehr weiter. Norton Antivirus meldet: C:\WINDOWS\System32\msrexe.exe is infected with the Backdoor.Jeem virus Habe es nicht geschafft das Ding wegzubekommen. Versuche mit "Ad-aware, Spybot Search & Destry, CWShredder" waren leider erfolglos.  Hier mein HijackThis Logfile. Logfile of HijackThis v1.97.7 Scan saved at 03:39:55, on 01.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\programme\QuickTime 6.1\qttask.exe C:\WINDOWS\System32\msrexe.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe F:\Programme\InterVideo\WinDVD4PR\WinScheduler.exe F:\Programme\SpywareGuard\sgmain.exe F:\Programme\Norton AntiVirus\navapsvc.exe F:\Programme\SpywareGuard\sgbhp.exe F:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe F:\Programme komplett\HijackThis\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - F:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\QuickTime 6.1\qttask.exe" -atboottime O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] F:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: SpywareGuard.lnk = F:\Programme\SpywareGuard\sgmain.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: InterVideo WinScheduler.lnk = F:\Programme\InterVideo\WinDVD4PR\WinScheduler.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Ich hoffe ihr könnt damit etwas anfangen und mir sagen wie ich den Virus wegbekomme! Vielen Dank schon mal! Gruß blackrain |
|
01.02.2004, 16:00
| #2 |
  |  Backdoor.Jeem Virus Moin und Willkommen im Board blackrain,
__________________Symantec (=Hersteller der Norton-Produkte) beschreibt auf dieser Seite, wie Du vorgehen must: 1. Systemwiederherstellung deaktivieren. (Beschreibung hier: http://www.systemwiederherstellung-d...indows-xp.html ) 2. Update der Virendefinitionen. (ich unterstelle mal, das ist bereits geschehen  )3. Neustart im abgesicherten Modus. (Beschreibung hier: http://service1.symantec.com/SUPPORT...20114122843924 ) 4. Komplett-Scan mit Norton machen und alle Dateien, die mit Downloader.BO oder Backdoor.Jeem infiziert gemeldet werden löschen. 5 Löschen der durch den Virus eingetragenen Registry-Werte: System Service C:\%System%\msrexe.exe im Key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Die Werte: 1c3943 4lkf83 vk8593 2340v93 4c34 c0948273 398349873 im Key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Welcome Den Key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Swartax mit dem Wert: ImagePath C:\%System%\msrexe.exe Achtung: Bei Veränderungen in der Registry vorher aus Sicherheitsgründen immer erst eine Sicherungskopie ablegen! tschööö, DerBilk
__________________ |
|
01.02.2004, 16:03
| #3 |
  |  Backdoor.Jeem Virus Hallo, willkommen im Forum!
__________________Starte den PC ggf. im abgesicherten Modus. Rufe den Taskmanager auf (Strg Alt Entf gleichzeitig drücken). Suche den verantwortlichen Prozess für diese Datei: C:\WINDOWS\System32\msrexe.exe Markiere und beende Ihn. Nimm sodann die Datei aus dem System heraus. Rufe dann HijackThis auf, scanne damit, setze einen Haken neben diesem Eintrag: O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe ...und klicke "Fix checked". Deatktiviere die Systemwiederherstellung und starte sodann das Sytem neu. Patche dann dein System, weil das ist nicht gut: Platform: Windows XP (WinNT 5.01.2600) Orientiere dich ferner zukünftig an diesen Tipps: http://www.trojaner-board.de/forum/u...c;f=4;t=002443 [ 01. Februar 2004, 22:38: Beitrag editiert von: mmk ] |
|
01.02.2004, 20:23
| #4 |
| |  Backdoor.Jeem Virus At DerBilk & Markus Juhuuu, habe ihn los...! [img]graemlins/aplaus.gif[/img] Vielen Dank für Eure schnelle Hilfe, echt super, auf Euch ist Verlaß! [img]smile.gif[/img] 1000 Dank + Ciao blackrain |
|
01.02.2004, 20:27
| #5 |
| Gast |  Backdoor.Jeem Virus Unbedingt die WINUPDATE-Funktion nutzen, sonst wirst du immerwieder mit solcher Malware zu tun haben. PS: Den Link, den mmk oben postete soll so heissen: http://www.trojaner-board.de/forum/u...c;f=4;t=002443 |
|
01.02.2004, 21:22
| #6 |
| | Backdoor.Jeem Virus Werde ich machen. Danke für den Link! Gruß blackrain |
|
| Themen zu Backdoor.Jeem Virus |
| ad-aware, adobe, antivirus, bho, confused, dateien, dll, download, dringend, excel, explorer, hijack, hijackthis, hilfe, infected, internet, internet explorer, microsoft, nicht, nvcpl.dll, object, programme, rundll, shockwave, software, sun java, symantec, system, windows, windows xp |
Linear-Darstellung
