Hallo,


AntiVir hatte mir heuete eine schreckliche Nachricht mitzuteilen. Dabei ging es um die Datei mit dem Namen "firefox.exe". Sie leidet nämlich an "Backdoor/Ra.AS".

Hijack sagt dazu unter dem Konto mit eingeschränkten Rechten:

Logfile of HijackThis v1.99.1
Scan saved at 12:43:28, on 31.07.2006
Platform: Windows 2000 SP4
MSIE: Internet Explorer v5.00 SP4

Running processes:
D:\WINNT\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\DU Meter\DUMeter.exe
D:\WINNT\system32\BELSTA.EXE
D:\WINNT\system32\atiptaxx.exe
D:\WINNT\system32\internat.exe
D:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe
D:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\WINNT\system32\taskmgr.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\WinRAR\WinRAR.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.spiegel.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [BELSTA.EXE] BELSTA.EXE START
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: SpeedFan.lnk = D:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Belkin Wireless LAN Utility.lnk = D:\WINNT\system32\belsta.exe
O4 - Global Startup: RtlWake.lnk = D:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FAE2BB-04C1-4FE6-B9C7-E69B994F8A55}: NameServer = ***
O20 - AppInit_DLLs: D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINNT\system32\ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - D:\WINNT\System32\NMSSvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programme\Agnitum\Outpost Firewall\outpost.exe


Was soll ich nur tun? Habe mittlerweile "firefox.exe in Quarantäne geschickt, da die Virusmeldung öfters kam und der PC immer wieder an Meldung hängte.

Ich bitte um Hilfe!!!

Vielen Dank im Voraus.

Grüße,

Arik11

Hallo,

also ein HJt wird Dir hier nicht weiterhelfen.
Lies Dir diese Anleitung durch und setzte sie um.
Einen Backdoor Befall kann man anders nicht bereinigen.

Gruß

Schrulli

sorry, habe übersehen, dass dieses Thema auch unter
http://www.trojaner-board.de/showthread.phps=23fb0ee6b46406a9262239dcf50bd878&t=31025

behandelt wird. Ich habe mir aber keine Google Toolbar oder ähnlich installiert.

Hatte dieses Problem auf zwei Rechnern, auf denen ich in den letzten Tagen Firefox installiert hatte.
Habe nun mit den Backup-CD's den Kaufzustand des einen Notebooks wiederhergestellt, das duerfte der Schaedling ja nicht ueberstehen, oder*?
(Und danach selbsverstaendlich sofort Zonealarm, Antivir, und Windows-Updates installiert)
Allerdings bin ich insgesamt sehr verunsichert und wuerde gerne mal wissen, welcher Seite man beim Mozilla Download jetzt ueberhaupt noch vertrauen kann...

(siehe dazu auch den Link in dem vorigen Beitrag auf mein Posting )

Gruesse,

Kong

*ich hoffe mal, dass bei einer solchen Systemwiederherstellung auf den Kaufzustand die Festplatte komplett formatiert wird, da man nicht wie bei einer normalen Windows Installation die Moeglichkeit hat, am Anfang Partitionen zu loeschen und neu zu erstellen.

vielen Dank für die Antworten!!


Das bemerkenstwerte ist jedoch, dass ich Firefox in den letzten Tagen weder aktualisiert, noch Erweiterungen installiert habe.

Nachdem firefox.exe mittlerweile in Quarantäne ist, schweigt AntiVir und ich surfe mit Opera.

Meint Ihr es ist trotzdem "gefährlich"?

Grüsse,
Arik11

Zitat:

Zitat von Arik11

vielen Dank für die Antworten!!


Das bemerkenstwerte ist jedoch, dass ich Firefox in den letzten Tagen weder aktualisiert, noch Erweiterungen installiert habe.

Nachdem firefox.exe mittlerweile in Quarantäne ist, schweigt AntiVir und ich surfe mit Opera.

Meint Ihr es ist trotzdem "gefährlich"?

Grüsse,
Arik11

Soweit ich weis kann ein trojaner oder ähnliches dir nix mehr anhaben wenn er in quarantäne ist du könntest aber versuchen in aus der wuarantäne zu löschen

mfg

Hallo,

IMHO wird dies ein Fehlalaram sein.

Am besten die entstspr. Datei hier gegenchecken:

http://www.virustotal.com/xhtml/index_en.html
http://virusscan.jotti.org/de

dartus

Hallo,


virusscan.jotti.org/de lieferte:

AntiVir Found Backdoor-Server/Ra.AS backdoor


BitDefender Found Backdoor.Ra.AS

Alle anderen Scanner fanden nichts.

Arik11