also ich hab einen Passwortstealer aufm pc der hast PassStealerV3_0 ..also kaspersky hat den gefunden doch wenn ich ihn lösche taucht nach kurzer Zeit
die selbe datei nur mit 3_1 ..usw
nach einiger zeit kommt dann wieder der stealer 3_0 und immer wenn kaspersky den entdeckt hängt der pc total
hab auch mit tuneup gelöscht mit der beste nmethode und 10 ma vorgang wiederholt und es klappt net...brauceh unbeding hilfe da ich kein bock hab zu deinstalieren

Hallo.

1.) Wo wurde der Passwort-Stealer genau gefunden?
(Pfadangabe)

2.) Erstell bitte ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt.

Gruß
Sunny

also der passstealer ist In Lokaler Datenträger C:/Windows/system32/PassStealerV3_0


und hie rdie log file

Logfile of HijackThis v1.99.1
Scan saved at 15:35:06, on 13.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Gaming Mouse\MouseElf.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\QIP\qip.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\Gaming Mouse\MouseElf.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ms32Secure] "C:\WINDOWS\svchost.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by113fd.bay113.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Das sieht nicht gut aus für dein System, aber mach erstmal folgendes:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\svchost.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

Zitat:

Zitat von BloodyAerox

C:\WINDOWS\svchost.exe

Vermutlich Win32/Jeefo.

Daten asap sichern, formatieren und neu aufsetzen! Anleitung im Anleitungsforum beachten!

Gruß
Yopie

Zitat:

Zitat von Yopie

Vermutlich Win32/Jeefo.

Daten asap sichern, formatieren und neu aufsetzen! Anleitung im Anleitungsforum beachten!

Gruß
Yopie

Diese Vermutung hatte ich auch, jedoch hatte ich auch noch einige andere Anhaltspunkte gefunden welche nicht unbeding auf eine Backdoor zurückzuführen sind/waren. Daher erstmal die Auswertung bei Virustotal.

Gruß
Sunny

Zitat:

Zitat von [Gc]Sunny

Diese Vermutung hatte ich auch, jedoch hatte ich auch noch einige andere Anhaltspunkte gefunden welche nicht unbeding auf eine Backdoor zurückzuführen sind/waren. Daher erstmal die Auswertung bei Virustotal.

Ich neige bei Schädlingen generell zum Plattmachen. Wo ein Schädling ist, sind oft auch noch andere.

Außerdem ist der Lerneffekt dann größer, Lernen durch Schmerzen!

Gruß
Yopie

http://www.virustotal.com/vt/en/resultadof?30f91371bb91d04628dbcc8f508ce6a4

hier sit das bei virus total aht ein paar sachen gefunden

Zitat:

Zitat von BloodyAerox

http://www.virustotal.com/vt/en/resultadof?30f91371bb91d04628dbcc8f508ce6a4

So geht's nicht, jedenfalls nicht bei mir. Stell die Ergebnisse per Copy&Paste hier rein.

Zitat:

hier sit das bei virus total aht ein paar sachen gefunden

Was ist das für eine Sprache?

Gruß
Yopie

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 Possibly a new variant of W32/VB-Backdoor-PSVR-based!Maximus
Avast 4.7.936.0 01.12.2007 Win32:Steam-D
AVG 386 01.12.2007 no virus found
BitDefender 7.2 01.13.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.13.2007 no virus found
DrWeb 4.33 01.13.2007 Trojan.PWS.Steam
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.13.2007 no virus found
Fortinet 2.82.0.0 01.13.2007 no virus found
F-Prot 3.16f 01.12.2007 Possibly a new variant of W32/VB-Backdoor-PSVR-based!Maximus
F-Prot4 4.2.1.29 01.12.2007 W32/VB-Backdoor-PSVR-based!Maximus
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.13.2007 no virus found
McAfee 4938 01.12.2007 potentially unwanted program PWCrack-NetPass
Microsoft 1.1904 01.13.2007 no virus found
NOD32v2 1976 01.13.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.13.2007 no virus found
Prevx1 V2 01.13.2007 no virus found
Sophos 4.13.0 01.11.2007 Troj/Steam-AH
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.12.2007 no virus found
VBA32 3.11.2 01.12.2007 suspected of Embedded.Backdoor.Win32.Hupigon.bft
VirusBuster 4.3.19:9 01.13.2007 no virus found



und das mit der sprache^^ ich war die ganze nacht wach und bisl müde

Interessantes Ergebnis!

Hast du eine Idee, wo du dir das eingefangen hast? Offensichtlich wird das Teil noch nicht durchgängig erkannt, und auch noch nicht eindeutig.

Schick das mal zu Kaspersky und/oder Avira mit Beschreibung des Fundortes und Bitte um Analyse. Die sind immer recht zügig!

newvirus[at]kaspersky.com (besser wohl auf englisch)
virus[at]avira.de

Kannst aber auch erst mal pennen.

Gruß
Yopie

wisst ihr was ic hscheiß drauf...ich lösche jeztt die partition und mach alles neu dann is er weg

Zitat:

Zitat von BloodyAerox

wisst ihr was ic hscheiß drauf...ich lösche jeztt die partition und mach alles neu dann is er weg

Nicht die schlechteste Idee. Vielleicht kannst du den Schädling trotzdem einsenden, zukünftige Opfer freuen sich dann über eine bessere Erkennung.

Gruß
Yopie

Hallo Bloody Aerox,

als Nicht-Computer-Mensch war ich auch schon mal so weit und würde sagen, daß ÜBERALL (!!!) no virus found stehen müßte (das sind alles einzelne Scan-Programme). Sofern die einzelnen Programme kostenlose Scanner auf ihren eigenen webseiten haben, dort ggfs. Genaueres erfahren oder, was mir geholfen hat : "BulletProofSoft.com" - Scan mit "deep scan" und dann mit "Total Commander" entfernen. Ganz sicher aber nur mit Neuinstallation (siehe FAQ's). Viel Erfolg. Sprich noch mal Deine "Experten" direkt an.

Hab genau das gleiche Problem, hab mir mal ne Datei runtergeladen und dachte es ist ein Video.. es waren 2 Dateien die eine sah aus wie ne jpg datei aber als ich die angeklcitk hab ist was mit mein PC passiert... also ich hab der regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Online Service\ den Eintrag: "ms32Secure" das ist 100 pro ein Virus, weil immer wenn ich das löschen will es wieder auftaucht und ca nach ner halben stunde mein PC "einfriert" dann läuft nichts mehr. Hab schon alles versucht geht aber nichts...
Wenn jemand ein Weg kennt diesen Virus unschädlich zu machen ohen zu formatieren wäre ich ihm sehr Dankbar...

P.S (meine erste Erfahrung mit nem Virus)