|
Plagegeister aller Art und deren Bekämpfung: Worm/Remadm.A.9Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.09.2004, 16:45 | #1 |
| Worm/Remadm.A.9 Hallo zusammen Brauche Hilfe bei Diesem Worm/Remadm.A.9 Hat sich gestern bei mir eingeschlichen... Kennt den jemand??? HABE MICH SCHON WUND GEGOOGELT...! Grüsse und Thanx für eure Antworten Baumi |
03.09.2004, 16:56 | #2 |
| Worm/Remadm.A.9 Welcher Virenscanner entdeckt den Schädling und wo?
__________________Befolge mal dies: http://www.trojaner-board.de/42731-escan-anleitung.html und erstelle ein Log hiermit: http://www.trojaner-board.de/51130-a...ijackthis.html |
03.09.2004, 17:24 | #3 |
| Worm/Remadm.A.9 Hy und Thanx für die promte antwort...
__________________E-Scan habe ich schon länger... habe ihn auch gestern abend angewendet. Werde aber nicht so richt schlau aus 4 (2mal die gleichen) meldungen blablabla.no action taken... hat er jetzt da was bewegt? Habe die Log Datei eingerichtet... und jetz? sorry bin nicht so der Hirsch mit Viren&co Grüsse |
03.09.2004, 17:30 | #4 |
| Worm/Remadm.A.9 sorry hier der Log..... Tja Rooky halt... Logfile of HijackThis v1.98.2 Scan saved at 18:07:35, on 03.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\S3hotkey.exe C:\WINDOWS\system32\S3tray2.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\EZButton\CP51NBtn.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Bluetooth Software\BTTray.exe C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\EZButton\CPHKCnt.EXE C:\PROGRA~1\EZButton\DtcEMail.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Bluetooth Software\bin\btwdins.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Baumi\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: BTTray.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1087883125334 |
03.09.2004, 17:32 | #5 |
| Worm/Remadm.A.9 Hallo Baumi, hast Du den eScan im abgesicherten Modus laufen lassen? Ist er geupdatet? Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. Unter dem Link (http://www.trojaner-board.de/51130-a...ijackthis.html), den MountainKing Dir gegeben hat, findest Du eine Anleitung, wie Du ein logfile erstellen kannst. Poste es bitte hier im Forum mittels copy&paste. SD |
03.09.2004, 21:21 | #6 |
| Worm/Remadm.A.9 Hy also habe e-scan im abges.mod. arbeiten lassen... folgendes kam raus dabei... Tue Aug 03 19:11:06 2004 => File C:\windows\system32\sncntr.exe infected by "TrojanDownloader.Win32.Dluca.gen" Virus. Action Taken: File Deleted. Tue Aug 03 19:11:21 2004 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Aug 23 19:03:30 2004 => Total Number of Files Scanned: 1458 Mon Aug 23 19:03:30 2004 => Total Number of Virus(es) Found: 2 Mon Aug 23 19:03:30 2004 => Total Number of Disinfected Files: 0 Mon Aug 23 19:03:30 2004 => Total Number of Files Renamed: 1 Mon Aug 23 19:03:30 2004 => Total Number of Deleted Files: 0 Mon Aug 23 19:03:30 2004 => Total Number of Errors: 0 Mon Aug 23 19:03:30 2004 => Time Elapsed: 00:01:25 Mon Aug 23 19:03:30 2004 => ***** Scanning complete. ***** Mon Aug 23 19:03:30 2004 => Virus Database Date: 2004/08/02 Mon Aug 23 19:03:30 2004 => Virus Database Count: 99087 Komisch finde ich nur die Datums oben...? ist zwar ein 5 min alter e-scan Log - keine ahnung... Hier noch der Log von Hijackthis... Logfile of HijackThis v1.98.2 Scan saved at 22:37:25, on 03.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Bluetooth Software\bin\btwdins.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\WINDOWS\system32\S3hotkey.exe C:\WINDOWS\system32\S3tray2.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\EZButton\CP51NBtn.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Bluetooth Software\BTTray.exe C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\EZButton\CPHKCnt.EXE C:\PROGRA~1\EZButton\DtcEMail.EXE C:\Dokumente und Einstellungen\Baumi\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: BTTray.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1087883125334 grüsse Geändert von Baumi (03.09.2004 um 21:41 Uhr) |
04.09.2004, 14:00 | #7 |
| Worm/Remadm.A.9 Was hast du für eine Grafikkarte? Fixen kannst du auf jeden Fall schon mal: O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe vorher Prozess beenden, falls es nicht klappt und der Eintrag wiederkommt, Systemwiederherstellung vorübergehend deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html auch noch fixen: O4 - Global Startup: BTTray.lnk = ? O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU) |
04.09.2004, 14:53 | #8 |
| Worm/Remadm.A.9 Hy MountainKing Danke für Deine Zeit... Habe eine "S3 Graphics Twister & S3Hotkey" Grafikkarte... das sagen zumindest "meine" Eigenschaften. Zu diese Datei: O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe die ich fixen soll, noch ne frage: ist doch eine Programm/Datei von meinem Cable-modem??? Nur so das ich weiterhin ins Netz kann... Nur um sicherzugehen, mache ich das ganze im abges.Mod.? und mit HijackThis...? Grüsse |
04.09.2004, 15:34 | #9 |
| Worm/Remadm.A.9 Ok, dann sind die Prozesse bezüglich S3 ja auch in Ordnung. Was die cfd.exe betrifft, ich habe anhand dieser informationen entschieden: http://www.frankn.com/html/cfd_exe.php http://www.liutilities.com/products/...sslibrary/cfd/ Andererseits habe ich nun auch das gesehen: http://weblogs.asp.net/jtobler/archi...18/186931.aspx Also vielleicht lässt du es erstmal, kann man von hier dann wohl nicht wirklich entscheiden. Die anderen Sachen sind eh nicht gefährlich, sondern unnötig, von daher kannst du es im Zweifelsfall wohl auch erst mal so lassen, wie es ist, wenn die cfd.exe sauber ist, kann ich eigentlich nichts weiter gefährliches erkennen im Moment. |
04.09.2004, 16:00 | #10 |
| Worm/Remadm.A.9 :aplaus: Hallo Habe einmal alles ausser die "O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe" gefixt... Ist komisch das habe ich auch schon gelesen das diese Datei "daten über das Surfverhalten sammelt um an den I-Net Beitreiber zu senden" Stutzig macht mich nur das ich das bei der Installation ganz klar ABGELEHNT habe...hmmm Was meinst Du? Sollte mir nichts kaputt machen wenn ich sie lösche...? Übrigens habe ich das gefühl, dass der Desktop jetzt schneller lädt, sprich er ist es tatsächlich... Hier die Log: Logfile of HijackThis v1.98.2 Scan saved at 16:46:44, on 04.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Bluetooth Software\bin\btwdins.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\S3hotkey.exe C:\WINDOWS\system32\S3tray2.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\EZButton\CP51NBtn.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\EZButton\CPHKCnt.EXE C:\PROGRA~1\EZButton\DtcEMail.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Baumi\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1087883125334 Grüsse und vielen Dank Baumi |
Themen zu Worm/Remadm.A.9 |
gestern, hilfe, snyper, worte |