Hallo Leute, ich habe ein Problem und vielleicht kann mir ja jemand hier weiterhelfen. Am Samstag den 9.8 bin ich auf eine von meinen Vertrauten Online Marktforschungsumfrageseiten gesurft mit Firefox, ich bin Mitglied bei der Seite und die ist sonst auch seriös, da meldetet sich plötzlich mein Bitdefender Antivirus 2008 Wächter das sind ein Trojaner namens Braviax.exe bei mir einnisten will, dies gleich 2 mal, ich habe auf Verbieten geklickt und dann ging mein Rechner aus, also fuhr runter.

Ich habe ihn wieder hochgefahren
Ich habe dann anschliessend eine tiefgehende Systemprüfung mit BD gemacht und
der fand auf meinem Pc: Datei A0002519.sys, Name des Virus: Generic Malware
P!..712B0A53, im Ordner: C:\System Volume information\_restore..... usw
usw....

Diese habe ich dann in Quarantäne geschoben und habe nach Braviax exe gegoogelt und einiges gefunden dazu, zb das der sich im Windos/System/system32 Ordner einnistet, dort war diese exe Datei auch, ich habe sie dann gelöscht u beim nächsten Systemstart war sie auch nicht wieder dort drin.

Auch nach etwaigen anderen Dateien was ich in google zum Thema gefunden hatte, habe ich gesucht, aber nichts bei mir gefunden, ich habe auch die Registry durchsucht, aber auch nichts, auch nichts unter den ganzen Run einträgen.

Dann habe ich im abgesicherten Modus ein scan mit Spybot search and destroy und mit HijackThis gemacht, auch da wurde nichts gefunden.

Hier das HJT Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 12:15:03, on 11.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\xxxx\Hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.bitdefender.com
O15 - Trusted Zone: h**p://survey.otxresearch.com
O15 - Trusted Zone: h**p://medien.pineconeresearch.de
O15 - Trusted Zone: h**p://www.surveywriter.net
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe" /service (file missing)
         

Dann habe ich heute am Montag mit dem Tel Support von BD gesprochen, und ich war nicht wirklich zufrieden mit dem Gespräch, der Mann am Tel empfahl mir ein scan mit dem BD Online Scanner zu machen im abgesicherten Modus. Ich also neu gebootet im abgesicherten Modus mit Netzerwerk usw. aber leider funktionierte da nicht meine Alice Internetverbindungs Verknüpfung u ich konnte nicht online gehen. Also habe ich wieder normal gebootet u habe dann mit dem BD Online scanner noch mal alles gecheckt, der fand nichts.
Ich habe dann noch mal diese Braviax exe manuell geprüft übers Kontextmenue und BD findet in der Datei nichts. Anderseits hatte ich die über Virus total hochgeladen u da wurde so einiges gefunden. Ich benutze Windows XP Prof. mit Sp2 und Firefox v. 2,00,16.

Vielleicht könnte Ihr mir ja weiterhelfen.
Danke
Gruß Lana

Hallo Leute, hat den keiner ein Rat für mich? Ich habe wirklich kein ausreichenden Support von Bitdefender bekommen, das hätte ich auch selber gewußt was die mir gesagt hatten, ich würde mich wirklich über eine Antwort freuen. Ich fühle mich total unsicher mit meinem PC nach dem Vorfall mit dem Trojaner. Vielen Dank
Gruß Lana

Lade dir Malwarebytes ausführen updaten und ein voll scan im abgesicherten modus machen alle funde löschen und report posten.

Hallo, so habe mir Malwarebytes installiert und ein kompletten Scan im abgesicherten Modus damit gemacht, er wurden 2 Einträge gefunden die jedoch nichts mit dem Problem was ich aktuell habe mit Braviax exe zu tun haben, gefunden hatte er einen Eintrag mit winsys2 und einem mit WinSys2.exe, diese Dateien gehören jedoch zu meiner Nvidia Grafikkarte und manche Viren oder Malware Scanner sehen das als Schädling an, ist es jedoch nicht. Wurde hier auch schon diskutiert.

Ansonsten hat MB nichts gefunden.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1043
Windows 5.1.2600 Service Pack 2

15:53:23 12.08.2008
mbam-log-8-12-2008 (15-53-16).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 80804
Laufzeit: 1 hour(s), 44 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> No action taken.
         

Ich hatte auch noch mal ein Online scan mit Bitdefender Online scanner gemacht und mit House Call der Online scanner von Trend Micro, der hatte auch nichts gefunden. Leider konnte ich die beiden Online scans nicht im abgesicherten Modus mache weil, als ich Windows im abgesicherten Modus mit Netzwerk gestartet hatte, funktionierte meine Alice Internet Verknüpfung irgendwie nicht, also kam ich nicht online.

Auch ein scan mit Spybot s and d, im abgesicherten Modus, fand auch nichts.

Ich finde es halt merkwürdig das obwohl mein Bitdefender Antivirus 2008 2 mal diesen Braviax.exe gestoppt hatte, das ich die exe Datei trotzdem noch in meinem Windows/system32 Ordner gefunden hatte.

Ich habe das Ding jetzt auch noch im Papierkorb weil ich es an Bitdefender Support per email geschickt hatte und trotzdem meldet mir kein Schutz programm ein Fund. Trotzdem bin ich da sehr ängstlich und will wirklich sicher gehen das mein System Ok ist, ich mache viel Online banking und da will ich nichts riskieren.

Vielleicht hat ja jemand noch den einen oder anderen Tip für mich, was ich noch tun könnte. Das wäre sehr nett.
Danke und gruß Lana

Halli hallo LanaHH

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  XP_ dingens.org
  Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  XP_ Firewall
  Vista_ Firewall
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Poste danach bitte ein frisches HijackThis log.

Danke werde das alles ab arbeiten, habe aber noch eine frage zu der deaktivierung der Systemwiederherstellung ,ich habe mir die Seite durchgelesen habe das aber nicht ganz verstanden. Also ich gehe erst auf die Systemeigenschaften und deaktiviere die Wiederherstellung auf allen Laufwerken, dann gehe ich zu msconfig (das kenne ich schon) und gehe ich den abgesicherten Modus ok, aber dann habe ich das nicht ganz verstanden, welche schritte muss ich dann im abgesicherten Modus machen? was war da mit bereinigen gemeint?

Gruß Lana