Hallo zusammen,
seit einigen Tagen bekomme ich beim Hochfahren des PC's immer eine Meldung vom Fund:
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/VB.ash
Ich hatte beim ersten Fund löschen angegeben und auch danach die temporary Internet Files geleert (dort war der Fundort). Nun ist es aber so, das die Meldung trotzdem immer noch beim Einschalten erscheint, obwohl der Ordner in dem es sein sollte leer ist.
Dann habe ich mal den Namen des Virus angeklickt, aber darüber gibt es keine Informationen. Ebenfalls habe ich mit Google gesucht und nicht ein Treffer. Irgendwie ist das eigenartig.
Könnt ihr mir hier weiterhelfen?
Danke schon mal
Sandy

Poste bitte ein HijackThis Logfile.

Zitat:

Zitat von cosinus

Poste bitte ein HijackThis Logfile.

...oder auch nicht: http://forum.antivir-pe.de/thread.ph...0721#post60721

@Rene-gade: Warum denn nicht? Ist es verboten, in mehreren Foren zu posten? Ich habe es dort versucht, aber da sich dort möglicherweise niemand meldet habe ich es hier auch gepostet. Ich wußte ja nicht, dass das hier nciht erlaubt ist.


@cosinus: Falls du trotzdem mal schauen willst:

Logfile of HijackThis v1.99.1
Scan saved at 11:10:43, on 09.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService.exe
C:\WINDOWS\System32\service.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\programme\deskcalc pro\deskcalc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
G:\Programme\hijackthis_199\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DeskCalc] "c:\programme\deskcalc pro\deskcalc.exe" /hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Startup: ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE

Crosspostings werden nicht gern gesehen. Jetzt helfen wir Dir hier und haben wohl schon eine Lösung für Dich parat. Jmd. anders, der jetzt im AntiVir-Forum Dir antwortet, würde sich ziemlich ärgern, wenn er wüsste, dass für Dich das Problem schon in einem anderen Forum behoben wurde.

Zitat:

C:\WINDOWS\System32\service.exe

Ist dieser Schädling.
Ursache:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Heißt für Dich: System vom Netz nehmen, flach machen und neu aufsetzen.

Aha, ok danke.
Dann werde ich im anderen Forum posten, dass es ich erledigt hat.

Zitat:

Zitat von Sandy1969

Aha, ok danke.
Dann werde ich im anderen Forum posten, dass es ich erledigt hat.

Ok
Abgesehen davon könnte es sich bei der Service.exe auch um einen Sdbot-Abkömmling handeln, würde aber auch in dem Fall Neuaufsetzen bedeuten. Siehe auch hier unter "service.exe"