Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: VBS/Redlof.A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.08.2005, 18:33   #1
kleene37
 
VBS/Redlof.A - Standard

VBS/Redlof.A



Hallo,

mein AntiVirus Programm hat diesen Virus VBS/Redlof.A

bei uns gefunden.

3 Dateien konnte ich löschen,
jetzt habe ich aber festgestellt, das wenn ein andere Benutzer (meine Tochter) angemeldet ist.... kann sie ihre temp Datei nicht löschen
auch unser Clear Programm hängt sich bei ihr auf,
bei mir läuft es wie gehabt.

sag schon mal danke, für eure Hilfe

Alt 14.08.2005, 19:04   #2
heli2005
 
VBS/Redlof.A - Standard

VBS/Redlof.A



hallo,dann ist es der http://www.sophos.de/virusinfo/analy...sredlofa.html#
poste mal ein hijackthis-logfile
www.trojaner-board.de/showthread.php?t=17493
__________________


Alt 14.08.2005, 19:20   #3
kleene37
 
VBS/Redlof.A - Standard

VBS/Redlof.A



Hi, hoffe das ist richtig so
(kenne mich nicht so gut aus


Logfile of HijackThis v1.99.1
Scan saved at 20:18:34, on 14.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\SIPPS\SIPPS.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\ScanPanel\ScnPanel.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\FAULST~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.1und1.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SIPPS] C:\Programme\Ahead\SIPPS\SIPPS.exe
O4 - HKLM\..\Run: [PL2210Z] C:\WINDOWS\P221ZI98.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\Programme\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a4b2ccb10bd9b0eb05/netzip/RdxIE601_de.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{338D1DF6-222A-436C-86C0-A267E9313DFF}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{338D1DF6-222A-436C-86C0-A267E9313DFF}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB
__________________

Alt 15.08.2005, 11:55   #4
heli2005
 
VBS/Redlof.A - Standard

VBS/Redlof.A



also erkenne nichts böses zur sicherheit mach das und poste das log.
Wichtig ist du haltest dich genau an die anleitung
www.trojaner-info.de/hijacker/escan.shtml

Alt 15.08.2005, 12:10   #5
cacatoa
 
VBS/Redlof.A - Standard

VBS/Redlof.A



Soorry, daß ich mich einmisch.
Als erstes würde ich klären, was das ist:
C:\WINDOWS\P221ZI98.exe
diese Datei mal bei Jotti online scannen lassen und das Ergebnis posten.
cacatoa

__________________
Der Mensch sollte eine Hundeseele haben

Alt 15.08.2005, 12:13   #6
heli2005
 
VBS/Redlof.A - Standard

VBS/Redlof.A



Zitat:
Zitat von cacatoa
Soorry, daß ich mich einmisch.
Als erstes würde ich klären, was das ist:
C:\WINDOWS\P221ZI98.exe
diese Datei mal bei Jotti online scannen lassen und das Ergebnis posten.
cacatoa
---------------------------------------------------------------------------


:aplaus: hast natürlich recht

Alt 15.08.2005, 12:15   #7
cacatoa
 
VBS/Redlof.A - Standard

VBS/Redlof.A



@ heli2005
Dein Tip war schon in Ordnung, eScan kann nie schaden. Aber falls diese Datei wirklich böse ist, kann sie sich vielleicht den eScan sparen und gleich neu aufsetzen... oder so.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu VBS/Redlof.A
andere, andere benutzer, angemeldet, antivirus, benutzer, clear, danke, dateien, festgestellt, gefunde, gemeldet, gestellt, hängt, konnte, löschen, programm, temp





Zum Thema VBS/Redlof.A - Hallo, mein AntiVirus Programm hat diesen Virus VBS/Redlof.A bei uns gefunden. 3 Dateien konnte ich löschen, jetzt habe ich aber festgestellt, das wenn ein andere Benutzer (meine Tochter) angemeldet ist.... - VBS/Redlof.A...
Archiv
Du betrachtest: VBS/Redlof.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.