| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR\Crypt.U.Gen und SdBot.BWHWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.10.2007, 20:51
| #1 |
| |  TR\Crypt.U.Gen und SdBot.BWH Hi Leute... mich nervt grade das Problem das ich mir den TR\Crypt.U.Gen eingefangen habe...  Bisher ist mir noch nicht viel aufgefallen ausser: das ich in Antivir nich mehr reinkomme bzw einmal bin ichs noch nachdem Antivir den gefunden hat -> direkt rein und mal scannern lassen -> 9mal gefunden -> gelöscht und trotzdem doof... Antivir sagt mir jetzt wenn ich es starten will: ERROR The application module C:\Programme\...\ Antivir PE\AVGNT.exe cannot be found or has been modified or destroyed. The AVGNT.EXE cannot be started. Please Check your Installation! und bei einer Neuinstallation kommt: SETUP Die CRC Summe von C:\Dokumente~1\Temp\RarSFX1\basic\setup.exe wurde verändert! Dies könnte von einem Virus verursacht worden sein. Hab dann noch bei HJT nen Entry vom SdBot.BWH gefunden und den gleich mal  Hier mal der HJT LOG: Logfile of HijackThis v1.99.1 Scan saved at 20:29:11, on 28.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\System32\ircomm2k.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\pctspk.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Creative\Shared Files\CAMTRAY.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Steam\Steam.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Dokumente und Einstellungen\Privat\Desktop\HijackThis.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\WINDOWS\System32\wuauclt.exe F2 - REG:system.ini: UserInit=userinit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193579050924 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\System32\ImapiRox.exe (file missing) O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - J. K. - C:\WINDOWS\System32\ircomm2k.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing) O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Ich hoffe Ihr könnt damit was Anfangen und mir helfen?! THX schonmal im voraus Keks |
|
28.10.2007, 21:20
| #2 |
| /// Helfer-Team    | TR\Crypt.U.Gen und SdBot.BWH Hi,
__________________wäre ja gut gewesen, den Eintrag im HijackThis gesehen zu haben. Bei einem derart veralteten Windows ist es gut möglich, dass das wirklich ein SDBot war. Jetzt fehlt uns die Information, welche Datei dadrin stand. Was den Rest angeht: Mach mal einen Kaspersky Onlinescan über dein gesamtes System, Internet Explorer erforderlich. Der kommt ohne EXE-Dateien aus, es ist zu befürchten, dass dein System keine EXE-Dateien von Virenscannern mehr mag. Bericht speichern und posten. Gruß, Karl |
|
28.10.2007, 23:03
| #3 |
| | TR\Crypt.U.Gen und SdBot.BWH Bei den von mir gefixten dateien handelte es sich um diese hier:
__________________O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe den onlinescan mach ich morgen nach feierabend! so ca. 16.00  bis denn schönen abend noch! |
|
29.10.2007, 18:11
| #4 |
| | TR\Crypt.U.Gen und SdBot.BWH Sodele, Kaspersky scan is gemacht, holla die waldfee... hmm jetz krieg ich den nich hier rein weil der text zu lang ist 1. Der Text, den Sie eingegeben haben, besteht aus 613099 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen. wie krieg ich dat nu so klein das das funzt? THX for Help Keks |
|
| Themen zu TR\Crypt.U.Gen und SdBot.BWH |
| 1.exe, adobe, antivir, application, avg, avgnt.exe, avira, desktop, einstellungen, explorer, helfen, hijack, hijackthis, installation, internet, internet explorer, log, pc tools spyware doctor, problem, programme, scan, software, spyware, starten, stick, system, t-online, temp, virus, windows, windows xp |
Linear-Darstellung
