|
Plagegeister aller Art und deren Bekämpfung: Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.05.2008, 20:54 | #1 |
| Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. Mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht löschen mit HiJackThis habe ich auch versucht Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Realtek\InstallShield\AzMixerSel.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\FlashGet\FlashGet.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\calc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Flashget] "C:\Programme\FlashGet\FlashGet.exe" /min O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [POCO] "C:\Programme\Poco2007\poco_tools.exe" -p POCO O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: RC.exe.lnk = C:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: officejet 6100.lnk = ? O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200760148157 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200760471264 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 8632 bytes |
18.05.2008, 20:57 | #2 |
/// TB-Ausbilder | Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. Hi,
__________________poste bitte den genauen Pfad der bemängelten Datei! Reicher außerdem die ersten 4 Zeilen des Hijackthislogs nach! lg myrtille
__________________ |
18.05.2008, 21:41 | #3 |
| Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. Antivir Bericht
__________________Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\sens.dll [FUND] Ist das Trojanische Pferd TR/Patched.BD.130 [WARNUNG] Die Datei konnte nicht gelöscht werden! Beginne mit der Suche in 'D:\' D:\System Volume Information\_restore{F9ACADB1-7995-4919-9C48-AA9610A422B9}\RP43\A0005925.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. |
18.05.2008, 21:58 | #4 | |
/// TB-Ausbilder | Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. Hi, wie stehts mit dem Kopf von Hijackthis? Ich brauch die Version von HijackThis und welches Betriebssystem du nutzt Lade bitte die Datei: Zitat:
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.). lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
18.05.2008, 22:27 | #5 |
| Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. Habe XP Home Datei sens.dll empfangen 2008.05.18 21:59:54 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.18 - AntiVir 7.8.0.19 2008.05.18 TR/Patched.BD.130 Authentium 5.1.0.4 2008.05.17 - Avast 4.8.1195.0 2008.05.18 Win32:Patched-FF AVG 7.5.0.516 2008.05.18 - BitDefender 7.2 2008.05.18 Trojan.Patched.BD CAT-QuickHeal 9.50 2008.05.17 - ClamAV 0.92.1 2008.05.18 - DrWeb 4.44.0.09170 2008.05.17 - eSafe 7.0.15.0 2008.05.18 - eTrust-Vet 31.4.5798 2008.05.16 - Ewido 4.0 2008.05.18 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.18 - Fortinet 3.14.0.0 2008.05.18 - GData 2.0.7306.1023 2008.05.18 Win32:Patched-FF Ikarus T3.1.1.26.0 2008.05.18 Trojan.Patched.BD Kaspersky 7.0.0.125 2008.05.18 - McAfee 5297 2008.05.17 - Microsoft 1.3408 2008.05.13 - NOD32v2 3106 2008.05.16 - Norman 5.80.02 2008.05.16 - Panda 9.0.0.4 2008.05.18 - Prevx1 V2 2008.05.18 - Rising 20.44.62.00 2008.05.18 Trojan.Win32.Patch.d Sophos 4.29.0 2008.05.18 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.18 - TheHacker 6.2.92.312 2008.05.18 - VBA32 3.12.6.6 2008.05.17 - VirusBuster 4.3.26:9 2008.05.18 - Webwasher-Gateway 6.6.2 2008.05.18 Trojan.Patched.BD.130 weitere Informationen File size: 38912 bytes MD5...: 08ed907d419b1587b6c830c42956bbe7 SHA1..: 23f190540e8fb6fee0a580c3bd009e1874cfcdb7 SHA256: 0084e1142d2b46fe5450d63c7f9c31d3fffddbb3e403d9b7817e83dd64712792 SHA512: 6fe15e35cca47252197df87ca1d04c43fd41242b52cd62557596afcf2e832334<br>ecaddf2cb381a06fed52d06a419a6ad2d05b9679ce7516816fc6754e6a3123fc PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x722612a3<br>timedatestamp.....: 0x41109696 (Wed Aug 04 07:56:06 2004)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x722d 0x7400 6.32 18635658d873132e78b15c15197f2f11<br>.data 0x9000 0x29c 0x200 1.62 5a0f2e57aa07bc30a10295a9dc8aa488<br>.rsrc 0xa000 0x1520 0x1600 3.95 1ef872deceab5ec81f62aa55fe58b402<br>.reloc 0xc000 0x6c4 0x800 6.15 5bb7fb37a59094ba5b7a00dc52b7ccb5<br><br>( 6 imports ) <br>> ntdll.dll: wcscpy, wcscmp, _wcsnicmp, wcschr, wcscat, wcslen<br>> RPCRT4.dll: RpcBindingSetAuthInfoExW, RpcBindingFromStringBindingW, NdrServerCall2, I_RpcBindingIsClientLocal, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcBindingFree, RpcStringBindingComposeW, NdrClientCall2, RpcStringFreeW<br>> ole32.dll: StringFromIID, CoCreateInstance, CoRegisterClassObject, CoRevokeClassObject, CoInitializeEx, CoTaskMemFree, CoUninitialize<br>> USER32.dll: wsprintfW<br>> KERNEL32.dll: SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, LocalFree, FormatMessageW, SetEvent, GetSystemPowerStatus, OpenEventW, InitializeCriticalSection, GetProcessHeap, FreeLibrary, GetProcAddress, LoadLibraryW, DisableThreadLibraryCalls, DeleteCriticalSection, CloseHandle, GetTickCount, InterlockedIncrement, InterlockedDecrement, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, HeapFree, InterlockedExchange, DeleteTimerQueueTimer, Sleep, CreateTimerQueueTimer, GetLastError, QueueUserWorkItem, MapViewOfFile, CreateFileMappingW, UnmapViewOfFile, lstrlenW, DelayLoadFailureHook, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime<br>> ADVAPI32.dll: RegEnumKeyExW, RegSetKeySecurity, RegDeleteValueW, OpenSCManagerW, OpenServiceW, QueryServiceStatus, CloseServiceHandle, WmiNotificationRegistrationW, RegOpenKeyExW, RegQueryValueExW, RegSetValueExW, RegCloseKey, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, AllocateAndInitializeSid, FreeSid, RegisterServiceCtrlHandlerExW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource<br><br>( 4 exports ) <br>SensNotifyNetconEvent, SensNotifyRasEvent, SensNotifyWinlogonEvent, ServiceMain<br> Vielen dank |
18.05.2008, 22:33 | #6 | |
/// TB-Ausbilder | Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. Schicke die Datei bitte mal mit Verdacht auf Fehlalarm bei Avira ein. Link Gib bitte bei Email eine gültige Emailadresse an, an diese wird das Ergebnis der Analyse geschickt. Wähle unter Typ "Verdacht auf Fehlalarm" aus. Poste das erhaltenen Ergebnis dann hier. Zitat:
Welche Version von HJT? lg myrtille
__________________ --> Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. |
18.05.2008, 22:39 | #7 |
| Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. Hallo myrtille vieles davon ist für mich chinesisch habe sp2 ist das jetzt kein trojaner ??? habe versucht manuell versucht zu löschen aber ging nicht. danke |
18.05.2008, 22:54 | #8 | |
/// TB-Ausbilder | Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. Heya, TR/Patched ist ein Trojaner der bereits existierende Dateien patched, also verändert. (Das kann aber auch bei Programmupdates passieren, dadurch entstehen Fehlalarme) Die Datei sens.dll scheint generell anfällig für Fehlerkennungen in der Hinsicht zu sein. Bei der bisherigen Auswertung sprechen ein paar Sachen dafür und ein paar Sachen dagegen, dass es sich bei dir um die ursprüngliche (und damit also legitime) Windowsdatei sens.dll handelt. Daher hätte ich gern eine nähere Analyse von Antivir. Was du außerdem noch tun kannst, bzw was noch hilfreich wäre ist Folgendes: Mach bitte einen Rechtsklick auf die Datei und schau dir an, was unter Eigenschaften steht, kopiere die Angaben (Datei Version, Beschreibung der Datei, Copyright, Firma) hier in denThread. Benutze dann die Windowssuche und gib sens.dll ein. Gib die weiteren Fundorte bitte hier an. lg myrtille EDIT: Zitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu Hilfeeee mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht gelöscht werden. |
adobe, antivir, askbar, avira, bho, bonjour, computer, downloader, drivers, excel, file, firefox, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, kann nicht gelöscht werden, löschen, microsoft, mozilla, mozilla firefox, officejet, pdf, photoshop, picasa, programme, realtek, software, system, windows |