Meine Mp3 Player sind Infiziert!!!

rnbstylaking · 26.07.2008, 11:56

Hallo erstmal ,

In letzter Zeit hatte ich schon viele Probleme mit Viren usw. musste jetzt schon in 2. Wochen 2.mal formatieren......

(hatte dieses Bagle ding und XP Antivirus 2008)

Ich habe jetzt schon Vieren auf meinen mp3 Playern und dachte mir das das vielleicht ein Teufelskreis ist, also das meine MP3's meinen Pc immer aufs neue infizieren.

Achso die Malware um die es sich handelt heißt

TR/PSW.Nilage.bvl.1, sagt jedenfalls Antivir so.

Ich poste auch zur sicherheit noch ein Logfile hier

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:30, on 26.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Alt+Q Hotkey.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Amok web bash obj] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\seek film amok web\error logo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [phonegram] C:\DOKUME~1\ADMINI~1\ANWEND~1\BOOBAM~1\Move Enc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RK Launcher.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216570611671
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2BB1F19-7220-49AC-988E-1D0297436E80}: NameServer = 62.109.123.197 213.191.74.19
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6802 bytes

Würde mich sehr auf Antworten freuen

myrtille · 29.07.2008, 00:54

Hi,
in welcher Datei wird der Virus denn gefunden?

Du hast auch noch Spuren von Swizzor auf deinem Rechner.

rnbstylaking · 29.07.2008, 07:50

Achso; danke das du dir die mühe gemacht hast und es durchgelesen hat:aplaus:

Die Datei wurde in der Datei I:\autorun.inf gefunden.

Swizzor ist nicht so schlimm, kommt eh nur wenn ich de Internet Explorer benutze (tu ich aber nicht,ich benutze Safari oder Firefox)

myrtille · 29.07.2008, 08:08

Hi,

poste mir bitte den Inhalt der autorun.inf:

Stecke den MP3-Player ein und öffne ihn per Rechtsklick unter Arbeitsplatz. Rufe dann die autorun.inf per Rechtsklick ->öffnen mit->Editor auf und poste den Inhalt der gemeldeten Datei dann hier.

Swizzor ist leicht zu beseitigen, aber wenn du weißt dass du ihn installiert hast, weißt du wahrscheinlich auch mit welchem Programm du es dir installiert hast...
Willste Swizzor denn behalten?

lg myrtille

rnbstylaking · 29.07.2008, 17:34

Hi,

Ich vertsehe nicht ganz wie ich die autorun Datei öffnen,
soll. Ich drücke bei Arbeitsplatz auf den MP3 Player da kann ich aber nur öffnen nicht öffnen mit...

Aber ich hebe einen Scan mit Antivir gemacht und der hat das hier drauf gefunden:

Die Datei 'J:\nideiect.com'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Bagle.NK' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f34561.qua' verschoben!

Das ist dieser Bagle wieder

myrtille · 29.07.2008, 17:39

Hi,
den Datenträger öffnen, die Datei dann mit "öffnen mit" öffnen.

Wenn du aber Bagle noch am Rechner hast, solltest du über ein Neuaufsetzen nachdenken.

lg myrtille

rnbstylaking · 29.07.2008, 18:50

wie finde ich denn die Datei autorun.inf??? Also in meinem MP3 player sind diese datein: Muic Pictures Playlists und pmp_usb.ini WMPInfo.xml WMPInfo.xml

myrtille · 29.07.2008, 19:17

Hast du die Dateien sichtbar gemacht?

Wird die Datei von Antivir denn gemeldet?

lg myrtille

rnbstylaking · 29.07.2008, 19:34

Jetzt sind da drei neue sachen aber nicht mit autorun oder nideiect.com

myrtille · 29.07.2008, 20:03

Hi,
wie heißen denn die Dateien?

Die nideiect.com zeigt deutlich, dass du noch mit vielen infiziert bist.
Ist J: eine externe Platte gewesen? Wieviele externe Speichermedien hast du denn?
Du hast dir offenbar etwas zugezogen, dass sich über USB-Sticks verbreitet. Verleih deine Sticks vorerst nicht und nutze auch keine von anderen Leuten.

lg myrtille

rnbstylaking · 29.07.2008, 20:12

Ich habe 4 (2 Handys, 2 Mp3 Player) die neuen Datein heißen: winamp_cache_0001.xml

winamp_cache_0001.xml DevLogo.fil (habe ich 2 mal) BOOTEX.LOG

In meinem Vorletzten Beitrag habe ich eine Fehler gemacht ich habe die datei

WMPInfo.xml nur einmal

myrtille · 29.07.2008, 20:23

hi,
die von dir genannten Dateien gehören zu Winamp oder WMP, Checkdisk und deinem Telephon. Die Dateien sind wahrscheinlich sauber.

lg myritlle

rnbstylaking · 29.07.2008, 20:26

UNd Was soll ich jetz machen??????????????? Ich weiß ich nerv aber ich in echt verzweifelt soll ich sie jetzt alle weg schmeißen?????????

myrtille · 29.07.2008, 20:31

Was sind I: und J: für Laufwerke? Externe/Interne?

Was hast du mit der Datei gemacht die als Bagle erkannt wurde, was ist aus der autorun.inf geworden? Hat Avira die vielleicht gelöscht?

Ich kann nicht helfen, wenn ich nicht weiß was Sache ist.

lg myrtille

rnbstylaking · 29.07.2008, 20:44

Ich weiß garnicht was der Unterschied zwischen einer int. ext. Laufwerk ist

Der Bagle habe ich in Quarantäne gesteckt. autrun.inf wurde nur zugriff verweigert.
Soll ich die Vielleicht nur Löschen und dann mein System neu aufsetzten?????????

Edit: Ich habe die beiden Viren jaetz einfach über antivir gelöscht hoffe das hat mein Problem gelöst................. Trotzdem danke

29.07.2008, 00:54	#2
myrtille /// TB-Ausbilder	Meine Mp3 Player sind Infiziert!!! Hi, in welcher Datei wird der Virus denn gefunden? Du hast auch noch Spuren von Swizzor auf deinem Rechner. __________________ __________________

29.07.2008, 17:39	#6
myrtille /// TB-Ausbilder	Meine Mp3 Player sind Infiziert!!! Hi, den Datenträger öffnen, die Datei dann mit "öffnen mit" öffnen. Wenn du aber Bagle noch am Rechner hast, solltest du über ein Neuaufsetzen nachdenken. lg myrtille __________________ --> Meine Mp3 Player sind Infiziert!!!

Meine Mp3 Player sind Infiziert!!!

Log-Analyse und Auswertung: Meine Mp3 Player sind Infiziert!!!