|
Plagegeister aller Art und deren Bekämpfung: Bloodhound.w32.EPWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.07.2005, 18:45 | #1 |
| Bloodhound.w32.EP Hab den oben genannten Trojaner auf meinem Rechner und bekomme ihn nicht weg. Er hat sich in 4 verschiedene dateien direkt im C: laufwerk fest gesetzt... Sind in den Dateien see_this!!.scr, funny_pic.scr, my_photo2005.scr und in hellmsn.exe.... können auch mehr sein aber mehr hab ich nicht gefunden... bitte helft mir.... habs schon mit norton antivirus und antivir versucht.. bringt nichts... Danke im Vorraus Hoodlum |
08.07.2005, 18:55 | #2 |
| Bloodhound.w32.EP Überprüfe die Dateien mal bei http://virusscan.jotti.org/de und poste das Ergebnis zusammen mit einem HijackThis-Logfile.
__________________Beachte die rot markierten Hinweise! |
08.07.2005, 19:02 | #3 |
| Bloodhound.w32.EP Datei: funny_pic.scr
__________________Status: INFIZIERT/MALWARE Entdeckte Packprogramme: FSG AntiVir Worm/Mytob.DV gefunden ArcaVir Worm.Mytob.Dr gefunden Avast Keine Viren gefunden AVG Antivirus I-Worm/Mytob.ED gefunden BitDefender Win32.Worm.Mytob.X gefunden ClamAV Worm.Mytob.H-3 gefunden Dr.Web Win32.HLLM.MyDoom.29 gefunden F-Prot Antivirus W32/Mytob.gen - Packed gefunden Fortinet W32/MyTob.BZ-mm gefunden Kaspersky Anti-Virus Net-Worm.Win32.Mytob.x gefunden NOD32 Win32/Mytob.BG gefunden Norman Virus Control W32/Mytob.EQ gefunden UNA Worm.Win32.Mytob gefunden VBA32 Net-Worm.Win32.Mytob.x gefunden Datei: hellmsn.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: FSG AntiVir Worm/Mytob.F.1 gefunden ArcaVir Worm.Mytob.F gefunden Avast Win32:Mytob-FSG gefunden AVG Antivirus I-Worm/Mytob.E gefunden BitDefender Backdoor.Faribot.A gefunden ClamAV Worm.Mytob.H-3 gefunden Dr.Web Win32.HLLW.Bropia gefunden F-Prot Antivirus W32/Mytob.X gefunden Fortinet W32/Mytob.L-mm gefunden Kaspersky Anti-Virus Net-Worm.Win32.Mytob.f gefunden NOD32 Win32/Mytob.I gefunden Norman Virus Control W32/Mytob gefunden UNA I-Worm.Mydoom.as gefunden VBA32 Worm.Mytob.h gefunden Logfile of HijackThis v1.99.1 Scan saved at 20:03:59, on 08.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\devldr32.exe D:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\svchost.exe C:\WINDOWS\System32\taskgmr.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\hellmsn.exe C:\WINDOWS\explorer.exe D:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE d:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\PC-M\LOKALE~1\Temp\Rar$EX01.516\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file) O2 - BHO: CSBrBho Class - {96DA5BEE-4ACC-476C-B3EC-54C6730C4293} - C:\PROGRA~1\Comet\Install\Temp\brbho.dll (file missing) O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PNtask Services] C:\WINDOWS\System32\pntask.exe O4 - HKLM\..\Run: [System Update] winsct32.exe O4 - HKLM\..\Run: [MMtask Service] mmtask.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [WINTASK] taskgmr.exe O4 - HKLM\..\Run: [TvTwHAvF] C:\WINDOWS\kfimo.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\RunServices: [WINTASK] taskgmr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [WindowsMGM] C:\WINDOWS\winmgm32.exe O4 - HKCU\..\Run: [System Update] winsct32.exe O4 - HKCU\..\Run: [Yahoo! Pager] d:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\system32\sm.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [Eyeball Chat] "D:\Programme\Eyeball\Eyeball Chat\EyeballChat.exe" -min O4 - HKCU\..\Run: [WINTASK] taskgmr.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...0006_adult.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-...3.cab?fgiocv=1 O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab31267.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt03.com/dialer/internazionale_ver11.CAB O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab O18 - Filter: text/html - {221D730B-B08F-4292-B0F5-6A199353192E} - C:\Dokumente und Einstellungen\PC-M\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat |
08.07.2005, 19:28 | #4 |
| Bloodhound.w32.EP Du hast leider mehrere Würmer mit Backdoor-Funktionalität auf dem PC. => Das System ist als kompromittiert anzusehen und sollte von dir neu aufgesetzt werden. Halte dich dabei bitte unbedingt an diese Anleitung. |
08.07.2005, 19:28 | #5 |
| Bloodhound.w32.EP gehört glaube ich auch dazu... C:\WINDOWS\System32\taskgmr.exe |
08.07.2005, 19:31 | #6 | |
| Bloodhound.w32.EPZitat:
|
08.07.2005, 19:33 | #7 | |
| Bloodhound.w32.EPZitat:
|
08.07.2005, 19:37 | #8 | ||||
| Bloodhound.w32.EPZitat:
Zitat:
Zitat:
btw: Er hat sicher Backups von so wichtigen Daten. Was macht er, wenn die HD ihren Geist aufgibt? Warum ist das System nicht auf dem aktuellen Stand, wenn die Daten wichtig sind? Zitat:
|
08.07.2005, 19:41 | #9 |
| Bloodhound.w32.EP Das Problem war dass gestern ein Fehler bei der explorer.exe aufgetreten war und ich mit der windows cd wieder repariert habe. Daraufhin hat Norton Anti Virus nicht mehr funktioniert. Bis ich das Problem beheben konnte hat sich das teil auf irgend eine Weise eingeschlichen.... Ich bin am Arsch. Mein Vater bringt mich um. |
08.07.2005, 19:46 | #10 |
| Bloodhound.w32.EP Es ist sicherlich ärgerlich, aber das ist der einzige Weg, durch den ihr wieder ein vertrauenswürdiges System bekommt. |
08.07.2005, 19:48 | #11 |
| Bloodhound.w32.EP Ist es sinnvoll den pc bis meine Eltern aus dem Urlaub zurück sind aus zu lassen? Ich weiss ja nicht welche daten er noch braucht. Oder kann man dran arbeiten? |
08.07.2005, 19:50 | #12 | ||
| Bloodhound.w32.EPZitat:
Zitat:
In der Zwischzeit kannst du ja das SP2 bestellen (s. Anleitung) |
08.07.2005, 19:52 | #13 | |
| Bloodhound.w32.EPZitat:
wenn du mit SP2 das servive PAck 2 für XP meinst.. es ist ja installiert... |
08.07.2005, 19:56 | #14 | |
| Bloodhound.w32.EPZitat:
|
08.07.2005, 19:57 | #15 | |
| Bloodhound.w32.EPZitat:
|
Themen zu Bloodhound.w32.EP |
antivirus, dateien, direkt, gefunde, helft, laufwerk, norton, rechner, this, troja, trojaner, verschiedene, versuch |