Hallo,
ich habe folgendes Problem:

Gestern AntiVir update gemacht, beim anschließenden Scan folgender Fund: TR/Barin.A in Datei wbopen.exe. Das ist eine Datei in webLCR, so ein Internet-Einwahlprogramm.
Ich habe AntiVir gesagt es kann den Trojaner löschen. Nach neuem Scan nichts mehr zu finden.
Komisch ist jetzt dass ich nirgends infos finde über den Barin.A. Obwohl AntiVir ihn erkennt, sind keine Infos über den TR vorhanden. Auch eine such bei google bringt nicht viel, außer dass es wohl Leute gibt die Oleco benutzen und das gleiche Problem haben.
Hier habe ich noch ne link zu Pandasoft, da gibt es ein Beschreibung des Trojaners, llerdings von April diesen Jahres, was mich wundert, wenn der schon so alt ist und ihn keiner kennt?!
Link zu Pandasoft

Ist das jetzt ernst oder ein Fehler?

Mal eine andere Frage: wenn ich eine e-mail öffne, d.h. auch wenn ich im mail-programm nur mit dem Mauszeiger drauf gehe, kann dann ein Virus, Trojaner, Wurm, etc. raus? Oder sind die IMMER im Anhang?

Btw. man sagt doch wenn man C: formatiert, wäre ein Wurm, Trojner, etc. absolut weg, wie kann das sein? Kam doch mal in Stern-TV dass gelöschte Platten wieder hergestellt werden können. Wie ist das denn?

Poste hier mal mein hijack this logfile:



Logfile of HijackThis v1.99.1
Scan saved at 12:24:56, on 22.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\webLCR\_webLCR.exe
C:\Dokumente und Einstellungen\Aaron\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E919E0-FED3-4CF5-B2E5-786847665E60}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielleicht kann mir jemand helfen, wäre sehr dankbar.

Btw. das war gestern Nacht und heute fragt mich ZoneAlarm (Firewall) zum ersten mal ob Firefox eine Eingehende Verbindung annehmen darf und 5 min. später das gleiche für Thunderbird. Why so? Hat er mich noch nie gefragt. Doch Trojaner?
Sorry für die vielen dummen Fragen, aber habe wirklich kaum Ahnung.

Servus, cnntower!

Wirklich interessant, Dein Virus. Hört sich für mich wie ein Fehlalarm an, da den scheinbar wirklich niemand kennt. Da Du die Datei offenbar ja schon gelöscht hast, können wir sie leider nicht bei Jotti ansehen lassen - da würden andere Scanner die Datei mal unter die Lupe nehmen
Lass aber die Datei

Zitat:

O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe

mal bei Jotti http://virusscan.jotti.org/de/ prüfen und poste das Ergebnis
Zu der Frage

Zitat:

Mal eine andere Frage: wenn ich eine e-mail öffne, d.h. auch wenn ich im mail-programm nur mit dem Mauszeiger drauf gehe, kann dann ein Virus, Trojaner, Wurm, etc. raus? Oder sind die IMMER im Anhang?

Manche Mail-Clients (ich glaube v.a. Outlook) öffnen die Mails bereits im Hintergrund, wenn das Vorschaufenster aktiviert ist und du im Eingangsordner auf die Nachricht scrollst (soll dann komfortabler und schneller im Zugang sein) - damit kann man angeblich bereits ohne dass man die eigentliche Nachricht schon geöffnet hat, Schadroutinen zum Laufen bringen. So oder so ähnlich in Zusammenhang mit der Mailvorschau ist mir das mal selber erklärt worden - da gibt es aber sicher Experten, die das genau wissen. Ich habe bei mir auf jeden Fall die Vorschau am FirmenPC deaktiviert, privat nutze ich Outlook nicht. Wie ich sehe, nutzt Du aber auch Thunderbird!
Im Logfile ist sonst nix zu entdecken außer der einen fraglichen Datei!
Um eine zweite Virenscannermeinung einzuholen lass´mal escan nach Anleitung von Cidre http://www.trojaner-board.de/showthread.php?t=17492 laufen und poste dann das Ergebnis
bis denn, stupormundi

Hey danke für die schnelle Antwort.
Also denn scan bei jotti hab ich gemacht mit der Datei, war ergebnisslos.. keine Funde.
Das andere mit "escan" hat nicht so ganz funktioniert, will sagen, gescant hat er schon, hatte auch ein logfile aber das war dann soooo lang.. also die ganzen 40.000 Dateien eben... jedenfalls hat er zwei Funde gemacht.

Dann kam nebenbei noch eine Meldung von AntiVir, er hat beim routinemäßigen Scan (was immer im Hintergrund läuft), TR/Barin.A in C:SYSTEM VOLUME INFORMATION\_RESTORE {1F7DE868-E...}\RP54\A0033020.EXE gefunden.
Da ich im Netz gelesen habe dass man aus "restore" eh nicht löschen kann, bzw. der Virus, TR, etc. dann wieder auftaucht habe ich in Quarantäne verschoben.
Hab zwar auch gelesen dass man im abgesicherten Modus wenn man die Systemwiederherstellung deaktiviert den bösen Buben ein für alle mal löschen kann; aber ich wollte eher mal probieren an die Datei heranzukommen um sie genauer zu untersuchen bzw. zu scannen.

Am Ende hätte ich halt XP neu aufgesetzt, weil mir das zu heikel ist, auch wenn da noch zwei Viren rumschwirren sollten.

Trotzdem, ne Ahnung wie ich da in "restore" reinkomme? Zugriff ist nämlich verweigert, unabhängig von Admin-Rechten.

regards

Servus, cnntower!

Zitat:

war dann soooo lang.. also die ganzen 40.000 Dateien eben

Dazu ist ja in der Anleitung von Cidre unter dem Punkt

Zitat:

Einsetzen von eScan – Auswertung:

beschrieben, wie Du Haui45´s find.bat samt Alternative

Zitat:

[5] Rechtsklick auf die Find.rar http://www.cidres-security.de/picture/Find.rar -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor du es postest.

[6] Strg + A (alles markieren) -> Strg + C (kopieren) -> Strg + V (Thread einfügen).

Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

zur Gewinnung der essentiellen Daten anwendest!

Zitat:

Trotzdem, ne Ahnung wie ich da in "restore" reinkomme?

Systemwiederherstellung deaktivieren http://www.systemwiederherstellung-d...indows-xp.html , Gerät neu booten, Systemwiederherstellung wieder einschalten!
~~Edit~~sehe gerade, dass Du das ohnedies selber schon ergooglet hast (sollte selber auch die postings ganz lesen ) Nein, ein Weg, um eine einzelne Datei aus der Sys-Recovery herauszuholen ist mir selber auch nicht bekannt! Könnte mir nur vorstellen, dass Du gezielt den entsprechenden Wiederherstellungspunkt auswählst, wiederherstellst, die Datei suchst, kopierst, Kopie unbenennst, um anschließend die Wiederherstellung rückgängig zu machen (wenn das so geht - weiß´ ich selber nicht) ~~/Edit~~
stupormundi
PS.: Bitte nächstes Mal die Gebrauchsanweisung genau lesen und befolgen!
Poste das Ergebnis der find.bat nochmal hier!