hi!!


Mcafee findet diesen Virus bei mir aber der lässt sich einfach nicht entfernen der befälltimmer mehr dateien!!!wie bekomme ich den weg?wäre nett wenn mir jemand helfen könnte!!!

mfg moreno111

Hallo,

welche Dateien meldet McAfee als infiziert?

Poste ein HijackThis-Logfile.

hi!

hier mal die log file:

Logfile of HijackThis v1.99.1
Scan saved at 20:40:57, on 17.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\oodag.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\FRAPS\FRAPS.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Valve\Steam\Steam.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\Mo\LOKALE~1\Temp\SQZ4D.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115567490734
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebase/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2132D82A-8F56-49DC-AF24-ABE689DB2555}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

infiziert sind .exe dateien auf mehreren partitionen!!

mfg moreno111
_____________
Anm.
Aktive Links editiert!

Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

@moreno111!

Zitat:

infiziert sind .exe dateien auf mehreren partitionen!!

Welche?

Erstelle ein eScanlogfile lt. Cidre's Anleitung

Weiters deaktiviere alle Links in deinem HijackThis logfile zb. so: http in h**p

hi!!!

also der virus befindet u.a im system restore auf 2 partionen,dann sind alle dateien auf D: im appz ordner infiziert,z.b realplayer.exe,icq.exe und so weiter kann nicht alle dateien nennen sind zu viele!das mit der systemwiederherstellung hab ich schon versucht,hat aber nicht so wirklich geklappt!???

mfg moreno111

Zitat:

Zitat von moreno111

hi!!!

also der virus befindet u.a im system restore auf 2 partionen,dann sind alle dateien auf D: im appz ordner infiziert,z.b realplayer.exe,icq.exe und so weiter kann nicht alle dateien nennen sind zu viele!das mit der systemwiederherstellung hab ich schon versucht,hat aber nicht so wirklich geklappt!???

mfg moreno111

Erstelle vorerst einmal eScanlogfile lt. Cidre's Anleitung

eScan wir dir nicht weiterhelfen, da es ein "echter Virus" ist, d.h. er infiziert andere Dateien.

Entweder du setzt das System gleich neu auf (Anleitung) oder du versuchst es mal mit einem Scan mit McAfee im abgeischerten Modus.

Abgesehen vom Neuaufsetzen wäre es am besten, wenn du einen Virenscanner verwendest, der sein eigenes Minimal-OS mitbringt (AVK hat sowas - aber die CD kostet natürlich was). Eine kostenlose Variante wäre ein Virenscan mit Kantonix. Dazu brauchst du aber einen sauberen Zweit-PC (zum Download von Kantonix).

hi also escan hat das hier gefunden!!


Sun Jul 17 21:25:46 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.

Sun Jul 17 22:03:26 2005 => File C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.


mcafee findet den virus w32/gael wie gehabt!!!

also was tun???

mfg moreno111

Zitat:

C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus!

Hierbei handelt sich IMO um einen Fehlalarm!

Schicke bitte diese Datei zur Überprüfung an Kaspersky, wie hier beschrieben.

btw:
Haui45 hat dir die Alternativen schon aufgezeigt.

Hi!
Hatte heute früh auch diese nachricht beim Escan:

Zitat:

C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus!

Allerdings, stand dann bei mir noch, das er es renamed hat.

Was hat es nun zu bedeuten?
Muss ich jetzt, das System neu aufsetzen,oder ist es auch nen Fehlalarm, wie von Cidre beschrieben?
Eine neues Update von escan vorhin und ein wiederholter Scan ergab keine befunde. Bin jetzt ratlos.
Hoffe,ihr könnt mir da weiterhelfen.


MFG Psy

Zitat:

Allerdings, stand dann bei mir noch, das er es renamed hat.

Dann verwendest du eine alte Version von eScan, die noch automatisch löschen konnte.

Zitat:

Muss ich jetzt, das System neu aufsetzen,oder ist es auch nen Fehlalarm, wie von Cidre beschrieben?

Letzteres solltest IMO zutreffender sein.
Wenn es denn irgendjemand mal gebacken kriegt und die Datei an Kaspersky senden würde, wüßten wir es genauer...

Zitat:

wiederholter Scan ergab keine befunde

Ist klar, der Fehlalarm wurde ja umbenannt.