Hallo zusammen,
seit einigen Tagen bekomme ich beim Hochfahren des PC's immer eine Meldung vom Fund:
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/VB.ash
Ich hatte beim ersten Fund löschen angegeben und auch danach die temporary Internet Files geleert (dort war der Fundort). Nun ist es aber so, das die Meldung trotzdem immer noch beim Einschalten erscheint, obwohl der Ordner in dem es sein sollte leer ist.
Dann habe ich mal den Namen des Virus angeklickt, aber darüber gibt es keine Informationen. Ebenfalls habe ich mit Google gesucht und nicht ein Treffer. Irgendwie ist das eigenartig.
Könnt ihr mir hier weiterhelfen?
Danke schon mal
Sandy

Poste bitte ein HijackThis Logfile.

Zitat:

Zitat von cosinus

Poste bitte ein HijackThis Logfile.

...oder auch nicht: http://forum.antivir-pe.de/thread.ph...0721#post60721

@Rene-gade: Warum denn nicht? Ist es verboten, in mehreren Foren zu posten? Ich habe es dort versucht, aber da sich dort möglicherweise niemand meldet habe ich es hier auch gepostet. Ich wußte ja nicht, dass das hier nciht erlaubt ist.


@cosinus: Falls du trotzdem mal schauen willst:

Logfile of HijackThis v1.99.1
Scan saved at 11:10:43, on 09.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService.exe
C:\WINDOWS\System32\service.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\programme\deskcalc pro\deskcalc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
G:\Programme\hijackthis_199\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DeskCalc] "c:\programme\deskcalc pro\deskcalc.exe" /hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Startup: ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE

Crosspostings werden nicht gern gesehen. Jetzt helfen wir Dir hier und haben wohl schon eine Lösung für Dich parat. Jmd. anders, der jetzt im AntiVir-Forum Dir antwortet, würde sich ziemlich ärgern, wenn er wüsste, dass für Dich das Problem schon in einem anderen Forum behoben wurde.

Zitat:

C:\WINDOWS\System32\service.exe

Ist dieser Schädling.
Ursache:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Heißt für Dich: System vom Netz nehmen, flach machen und neu aufsetzen.

Aha, ok danke.
Dann werde ich im anderen Forum posten, dass es ich erledigt hat.

Zitat:

Zitat von Sandy1969

Aha, ok danke.
Dann werde ich im anderen Forum posten, dass es ich erledigt hat.

Ok
Abgesehen davon könnte es sich bei der Service.exe auch um einen Sdbot-Abkömmling handeln, würde aber auch in dem Fall Neuaufsetzen bedeuten. Siehe auch hier unter "service.exe"

Moment mal, nicht dass ich da voreilige Schlüsse ziehe.
Lass mal die Datei "service.exe" bei Jotti auswerten und poste das Ergebnis. Link siehe unten in meiner Signatur.

Hallo,

@ cosiunus: Die "Editieren" Funktion hast Du aber auch noch nicht gefunden

Gruß

Schrulli

Doch klar kenn ich die Funktion
Aber erschien es mir in diesem Fall passender, eine neue Antwort zu erstellen.
Hätte mal lieber editieren sollen...

Hallo cosinus,
habe eben erst gesehen, dass du nochmal was gepostest hast.
Hier das Ergebnis vom Jotti-Scan:

Datei: service.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPX

AntiVir
Heuristic/Trojan.Downloader gefunden (mögliche Variante)
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
BehavesLike:Win32.Backdoor gefunden (mögliche Variante)
ClamAV
Keine Viren gefunden
Dr.Web
DLOADER.Trojan gefunden (mögliche Variante)
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Backdoor.Win32.Agent.zb gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* Decompressing UPX.
* File length: 11810 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\service.exe.

[ Changes to registry ]
* Creates key "HKLM\System\CurrentControlSet\Services\WSCM".
* Sets value "I"="" in key "HKLM\System\CurrentControlSet\Services\WSCM".
* Sets value "DisplayName"="Windows Service Manager" in key "HKLM\System\CurrentControlSet\Services\WSCM".

[ Network services ]
* Connects to "LOCALHOST" on port 33333 (TCP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 33333.
* Possible backdoor functionality [UNKNOWN] port 4798.

[ Process/window information ]
* Creates service "WSCM (Windows Service Manager)" as "%SystemRoot%\System32\service.exe". gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Hat den Verdacht bestätigt. Nimm Deinen Rechner endlich vom Netz und setz ihn neuauf.