|
Plagegeister aller Art und deren Bekämpfung: Virus???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.01.2004, 15:59 | #1 |
| Virus??? Hallo, ich habe mir gestern im IRC irgendeinen Virus oder Wurm eingefangen...habe auf www.nad1ne.de.vu geklickt und schon wars geschehen...Der Windows Media PLayer funktioniert nicht mehr bzw. ist gelöscht worden.Immer wenn ich ihn starten wollte, wurde eine 1.exe und 2.exe im Temp-Ordner erstellt.Wenn ich nun in regedit gehen will, schließt sich das Fenster nach kurzer Zeit.Antivir hat nichts gefunden...und auch andere Programm haben versagt...Was kann ich tun? |
14.01.2004, 02:58 | #2 |
| Virus??? hallo Pomes,
__________________willkommen an Bord. Solltest Du nach all diesen Scans noch immer Probleme haben mit Viren, was ich mir eigentlich nicht vorstellen kann, koenntest Du Dir noch eine Testversion von KAV runterladen, sie online updaten und dann Deinen Computer mit dieser KAV-Testversion scannen. Sollte also noch die Spur eines Virus auf Deiner Festplatte verblieben sein, wird KAV sie finden. Wenn Du dann das Ergebnis hier postest, sehen wir weiter. Viel Erfolg! |
14.01.2004, 21:10 | #3 |
| Virus??? So Bit Defender hat etwas gefunden:
__________________Backdoor.Agobot.3.gen Ich bin total ratlos.Denn die rundll.exe und rundll.exe.poly sind von diesem Wurm befallen.Einfach so löschen geht nicht.In die Regedit komme ich auch nicht rein, da sich das Fenster immer wieder alleine scließt, was durch den Wurm bedingt ist...ich bin mit meinem Latein am Ende... |
14.01.2004, 21:21 | #4 |
| Virus??? Hallo Pomes, fuehre vielleicht nochmal einen Scan aus mit diesem tool Trend Micro und lass den Virus loeschen. Dann brauchst Du es nicht von Hand zu machen. Viel Erfolg |
14.01.2004, 21:40 | #5 |
| Virus??? @Pomes Habe auch mal die von Dir verlinkte Seite besucht und Kaspersky meckerte sofort: TrojanDownloader.VBS.Psyme-Based Wurde im IE Cache lokalisiert und war nach dem Löschen der Temporären Internet Files verbannt. Übrigens...die Blondine auf der Seite (Nadine) sieht eher billig aus Lies mal hier nach, wie du das Biest wieder los wirst. http://www.pestpatrol.com/PestInfo/t..._vbs_psyme.asp Gruß Schlumpfi |
14.01.2004, 21:42 | #6 |
/// Helfer-Team | Virus??? Falls es interessiert, dieser Wurm der vom Schlumpf gepostet wurde, ist nicht mehr als ein Exlpoit für den IE, der eine Datei runter lädt. Und genau da liegt das Problem. Im QNet tauchen neuerdings immer wieder Links auf die eine Datei runter laden. Und die Malware, die das ist, wechselt auch immer... ;( Björn
__________________ --> Virus??? |
15.01.2004, 07:20 | #7 |
| Virus??? Guten Morgen, ich habe die Nacht Trend Micro scannen lassen.Er fand 43 infizierte Datein im Temporären Ordner des IE.Sie waren mit JS_Spawn_a infiziert.Er hat sie gelöscht.Aber die rundll.exe und rundll.exe.poly hat er nicht als Virus identifiziert.Den Trojaner habe ich schon entfernt.Vielen Dank nochmal für die Hilfe! |
15.01.2004, 14:41 | #8 |
Moderator, a.D. | Virus??? Gabs hier schon 'nen Hinweis auf Browserwechsel? Nein? Dann jetzt: Wechsel den Browser. Der Internet Explorer ist unsicher. Mit Mozilla, Firebird oder Opera wär das nicht passiert. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
15.01.2004, 17:29 | #9 |
| Virus??? Wie gesagt, der liebe Wurm ist noch bei mir...Trend Micro hat ihn nicht erkannt.Nur Bit Defender war in der Lage ihn zu identifizieren.Ich habe heute eine Seite gefunden wo beschrieben diesen Virus zu isolieren.Dazu muss man drei Windows-Updates installieren.Ich habe sie geladen, aber beim Öffnen haben sich wieder von alleine geschlossen, was auf den Wurm zurück zu führen ist.Die rundll.exe durch eine unverseuchte rundll.exe ersetzen??Ist das möglich? |
16.01.2004, 13:34 | #10 |
| Virus??? Ich habe mal hiJack ausführen lassen: Logfile of HijackThis v1.97.7 Scan saved at 07:25:17, on 16.01.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Messenger Plus! 2\MsgPlus.exe C:\Programme\PestPatrol\PPControl.exe C:\PROGRA~1\PESTPA~1\PPMemCheck.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe C:\Programme\ICQ\ICQ.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\D-Link AirPlus\AirPlus.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe C:\WINDOWS\System32\rundll.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender Standard Edition\vsserv.exe C:\Programme\Internet Explorer\iexplore.exe C:\HijackThis.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.7\THGuard.exe" O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Standard Edition\\bdmcon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\RunServices: [rundll] rundll.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BackWeb LiteInstaller] C:\DOKUME~1\Carsten\LOKALE~1\Temp\ins3.tmp\LiteInst.exe /NoIntervention O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://p1x.de/jinstall-1_4_2-windows-i586.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab Ist da alles korrekt?Oder versteckt sich da was? |
16.01.2004, 13:50 | #11 |
| Virus??? C:\WINDOWS\System32\rundll.exe Backdoor.Agobot.3.gen ist noch aktiv ! "rundll.exe" und "rundll.exe.poly" müssen nach beenden des Prozesses gelöscht werden. Falls nötig, im abgesicherten Modus. Falls es Probleme gibt, würde ich empfehlen, den Trojanerscanner "ewido" zur Löschung anzusetzen. www.ewido.de Ungepatchtes System ! http://windowsupdate.microsoft.com Alles installieren, was unter "Wichtige Updates und Service Packs" gelistet ist. |
16.01.2004, 13:57 | #12 |
| Virus??? Hallo Pomes, ich bin mir nicht sicher, aber ich empfehle Dir mal, Dich analog den hier gegebenen Anweisungen: </font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk: 1. Ruhe bewahren! 2. Download des Tools cwsshredder Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.spywareinfo.com/~merijn/files/cwshredder.zip nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit! 3. cwsshredder ausführen Achtung: Alle Browserfenster müssen geschlossen sein! [...] 9. Windows und insbesondere den Internet-Explorer updaten. 10. SpybotSD und Adaware herunterladen, installieren, updaten, ausfuehren, reinigen lassen. 11. System neu starten 16. In der Zwischenzeit ernsthaft über einen Browserwechsel nachdenken!! In diesem Sinne, tschööö, DerBilk</font>[/QUOTE]aus diesem Thread kopiert. Zusaetzlich koenntest Du Dir eine Textversion des Testversion KAV downloaden, ihn online mit der update-Funktion updaten, Deine vorhandene Virenschutzware ausschalten und mit KAV scannen. Wenn KAV nichts findet, ist Deine Festplatte sauber. Lieben Gruss |
16.01.2004, 16:32 | #13 |
| Virus??? So... Habe nun 42 Updates installiert! [img]graemlins/lach.gif[/img] Den KAV konnte ich nicht downloaden, weil der Download irgendwie down war.Heißt das Programm von KAV Anti-Spam? Der ewido-Scanner konnte meine 3 infizierten Dateien nicht lesen. Ich muss aber sagen, dass durch die Installation der Updates der Windows Media Player wieder da ist.Wenn ich nun die 3 infizierten Systemdateien lösche, kopiert Windows die wieder alleine von der eingelegten XP-CD...oder muss ich das machen? |
16.01.2004, 17:07 | #14 |
| Virus??? Hallo Pommes KAV heisst Kaspersky Anti Virus und ist als Testversion gratis downloadbar. Anti-Spam-Programme sind Ad-Aware und Spybot. Links dazu findest Du in den vorausgehenden Postings. Da ich Dir keine helfende Antwort mehr geben kann, empfehle ich Dir zu warten, bis unsere Computerfachleute wieder an Board sind, und sich Deiner annehmen. Wie ich gerade gesehen habe, ist der Backdoor.Agobot.3.gen bei Kaspersky erfasst. Folglich kannst Du ihn mit KAV entfernen. Ich weiss nur nicht, ob die Testversion von KAV Malware entfernt. Hast Du denn einen onlinescan durchgefuehrt? Guck mal dazu in meiner Signatur nach. |
16.01.2004, 17:11 | #15 |
| Virus??? </font><blockquote>Zitat:</font><hr /> KAV heisst Kaspersky Anti Virus und ist als Testversion gratis downloadbar... </font>[/QUOTE]...ja,ja. hab mal auch versucht, mit dem DL hat's geklappt, weiter aber ist voll sch---: man kann das Programm ohne Key weder starten, noch updaten. |
Themen zu Virus??? |
.exe, 1.exe, andere, arten, erstell, fenster, funktionier, funktioniert, funktioniert nicht, funktioniert nicht mehr, gelöscht, gestern, irc, kurzer, media, media player, nicht, nicht mehr, nichts, player, programm, regedit, schließt, starte, starten, temp-ordner, virus, windows, windows media player, wurm |