Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Die "Legendäre" 5.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.10.2004, 17:16   #1
Marc-R
 
Die "Legendäre" 5.exe - Böse

Die "Legendäre" 5.exe



Hi @ all,
neuerdings habe ich immer einen Fehler wenn ich ganz normal am PC sitze.
Alle 2 Minuten kommt immer:
16 Bit-Dos-Teilsystem
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS:0fc1 IP:029c OP:63 6f 6c 6f 72 Klicken Sie bitte auf "Schließen" um die Anwendung zu beenden.
Ich kann so nicht am PC arbeiten oder etwa CS spielen.
Es nervt ungemein.
Wie kann man das abstellen?
PS: wenn ich offline bin kam der Fehler bisher noch nicht.

// eScan findet nichts und AntiVir XP stürtst nach einer Zeit auch ab, sowie der MC Afee Stinger ebenfalls nichts findet.
Wenn das nur ein Windows Fehler ist, sagt mir bitte wie ich ihn beheben kann.

eScan Log:

Thu Oct 21 18:39:10 2004 => ***** Scanning Memory Files *****
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\services.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\lsass.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\logonui.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\Explorer.EXE
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\wuarclt.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\RUNDLL32.EXE
Thu Oct 21 18:39:10 2004 => Scanning File C:\PROGRA~1\0900WA~1\w0svc.exe
Thu Oct 21 18:39:11 2004 => Scanning File C:\WINDOWS\System32\alg.exe
Thu Oct 21 18:39:11 2004 => Scanning File C:\WINDOWS\System32\nvsvc32.exe
Thu Oct 21 18:39:11 2004 => Scanning File C:\PROGRA~1\INTERN~1\iexplore.exe
Thu Oct 21 18:39:11 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE
Thu Oct 21 18:39:11 2004 => Scanning File C:\DOKUME~1\Marc\LOKALE~1\Temp\mwavscan.com
Thu Oct 21 18:39:11 2004 => Scanning File C:\DOKUME~1\Marc\LOKALE~1\Temp\kavss.exe

Thu Oct 21 18:39:11 2004 => ***** Scanning Registry Files *****
Thu Oct 21 18:39:11 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Thu Oct 21 18:39:11 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Thu Oct 21 18:39:11 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Thu Oct 21 18:39:11 2004 => Scanning HKCU\Control Panel\Desktop
Thu Oct 21 18:39:11 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Thu Oct 21 18:39:12 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Thu Oct 21 18:39:12 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Thu Oct 21 18:39:12 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Thu Oct 21 18:39:12 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Thu Oct 21 18:39:13 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Thu Oct 21 18:39:13 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Thu Oct 21 18:39:13 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Thu Oct 21 18:39:13 2004 => Scanning HKCR\txtfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\comfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\exefile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\dllfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\batfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\piffile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\scrfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\scrfile\shell\config\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\regfile\shell\open\command

Thu Oct 21 18:39:13 2004 => ***** Scanning StartUp Folders *****

Thu Oct 21 18:39:13 2004 => ***** Scanning C:\Dokumente und Einstellungen\Marc\Startmenü\Programme\Autostart Folder *****
Thu Oct 21 18:39:13 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Marc\Startmenü\Programme\Autostart\*.*

Thu Oct 21 18:39:13 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Thu Oct 21 18:39:13 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*

Thu Oct 21 18:39:13 2004 => ***** Scanning Service Files *****
Thu Oct 21 18:39:13 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Thu Oct 21 18:39:14 2004 => ERROR!!! Invalid Entry System32\DRIVERS\fetnd5.sys in SYSTEM\CurrentControlSet\Services\FETNDIS...

Thu Oct 21 18:39:18 2004 => ***** Scanning System32 Folders *****
Thu Oct 21 18:39:18 2004 => Scanning C:\WINDOWS Directory
Thu Oct 21 18:39:18 2004 => Scanning Folder: C:\WINDOWS\*.*
Thu Oct 21 18:39:21 2004 => Scanning C:\WINDOWS\System32 Directory
Thu Oct 21 18:39:21 2004 => Scanning Folder: C:\WINDOWS\System32\*.*

Thu Oct 21 18:40:22 2004 => ***** Scanning C:\WINDOWS Folder *****
Thu Oct 21 18:40:22 2004 => Scanning Folder: C:\WINDOWS\*.*

Thu Oct 21 18:40:25 2004 => ***** Checking for specific ITW Viruses *****
Thu Oct 21 18:40:25 2004 => Checking for Welchia Virus...
Thu Oct 21 18:40:25 2004 => Checking for LovGate Virus...
Thu Oct 21 18:40:25 2004 => Checking for CodeRed Virus...
Thu Oct 21 18:40:25 2004 => Checking for OpaServ Virus...
Thu Oct 21 18:40:25 2004 => Checking for Sobig.e Virus...
Thu Oct 21 18:40:25 2004 => Checking for Winupie Virus...
Thu Oct 21 18:40:25 2004 => Checking for Swen Virus...
Thu Oct 21 18:40:25 2004 => Checking for JS.Fortnight Virus...
Thu Oct 21 18:40:25 2004 => Checking for Novarg Virus...
Thu Oct 21 18:40:25 2004 => Checking for Pagabot Virus...
Thu Oct 21 18:40:25 2004 => Checking for Parite.b Virus...
Thu Oct 21 18:40:25 2004 => Checking for Parite.a Virus...

Thu Oct 21 18:40:25 2004 => ***** Scanning complete. *****
Thu Oct 21 18:40:25 2004 => Total Number of Files Scanned: 2285
Thu Oct 21 18:40:25 2004 => Total Number of Virus(es) Found: 0
Thu Oct 21 18:40:25 2004 => Total Number of Disinfected Files: 0
Thu Oct 21 18:40:25 2004 => Total Number of Files Renamed: 0
Thu Oct 21 18:40:25 2004 => Total Number of Deleted Files: 0
Thu Oct 21 18:40:25 2004 => Total Number of Errors: 1
Thu Oct 21 18:40:25 2004 => Time Elapsed: 00:01:15
Thu Oct 21 18:40:25 2004 => Virus Database Date: 2004/10/07
Thu Oct 21 18:40:25 2004 => Virus Database Count: 100274

Thu Oct 21 18:40:25 2004 => Scan Completed.

Geändert von Marc-R (21.10.2004 um 17:41 Uhr)

Alt 21.10.2004, 18:01   #2
Cidre
Administrator, a.D.
 
Die "Legendäre" 5.exe - Standard

Die "Legendäre" 5.exe



Hallo,

arbeite dich hier durch:
http://support.microsoft.com/default...d=kb;de;156687
__________________

__________________

Alt 21.10.2004, 18:37   #3
MountainKing
 
Die "Legendäre" 5.exe - Standard

Die "Legendäre" 5.exe



Poste mal bitte ein Hijackthis-File. Es müsste mit einem älteren DOS-Programm zu tun haben, wobei es mich wundert, dass das bei dir automatisch läuft bzw, etwas mit der Netzverbindung zu tun haben sollte.
__________________

Alt 21.10.2004, 19:01   #4
Marc-R
 
Die "Legendäre" 5.exe - Standard

Die "Legendäre" 5.exe



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuarclt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [windows update] wuarclt.exe
O4 - HKLM\..\RunServices: [windows update] wuarclt.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [windows update] wuarclt.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B512D6F-02FC-4789-8278-3FD5E429A3A1}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B512D6F-02FC-4789-8278-3FD5E429A3A1}: NameServer = 217.237.151.225 217.237.150.225


Es kam seid ca. 20 min nichtmehr, seidem ich irgendein Programm im Taskmanager beendet habe...
Ich habe eine Frage, kann man das Problem mit einer Batch datei unterdrücken?
Ich habe da eine erstellt.
Theoretisch könnte man auch einen antivirus daraus machen...

Alt 21.10.2004, 20:18   #5
Cidre
Administrator, a.D.
 
Die "Legendäre" 5.exe - Standard

Die "Legendäre" 5.exe



Hier ist der Verursacher ein aktiver Backdoor.Sdbot.gen:

Zitat:
backdoor.sdbot.gen 34 times wuarclt.exe
Quelle: http://virusscan.jotti.org/de

Zitat:
Sobald der Bot auf dem Computer des Opfers läuft macht er Folgendes:
- er versucht, verschiedene Antivirus/Sicherheits Applikationen zu beenden
- schafft und versteckt seine Kopie (gewöhnlich im Windows Ordner, und in P2P Share Ordnern)
- schafft einen Registry Key, der den Bot bei jedem Windows Start laufen lässt.
- verbindet sich mit einem vorgegebenen Irc Server und wählt einen bestimmten Kanal. Dort wartet er auf Befehle des Angreifers.
Indem der Angreifer diese Bots benutzt, kann er Folgendes tun:
Benutzung des Computers des Opfers, um:
- viele infizierte Computer zu nutzen, um einen Ddos Angriff auf eine spezielle IP Adresse/Website auszuführen.
- verschiedene Methoden, um eine anvisierte IP Addresse zu fluten
- andere Computer oder Webseiten anzugreifen unter Ausnutzung spezieller Schwachstellen (RPC/DCOM, RPC/Locator, WebDAV, etc)
- suchen nach anderen schwachen Hosts und Versuch, sich dort zu installieren
Auf dem Computer des Opfers:
- verändert die internen bot Parameter, update des Bot mit einer neueren Version, etc
- nutzt den Host als TCP proxy
- lenkt HTTP Traffic um
- stielt CD Keys von verschiedenen Applikationen/Spielen
- stielt persönliche Infos, Passwörteretc.
- verändert, zeigt verschiedene Infos an
- lädt Dateien hocfh und runter
- vernichtet/modifiziert Dateien
- beendet Programme
- Beendet Prozesse
- rebootet, schaltet den Computer aus
und vieles Andere, je nachdem, was in der Original Source angegeben ist.
Quelle: Backdoor.SDBot.Gen

Demzufolge solltest du, zur deiner eigener Sicherheit, dein System neu aufsetzen, da es nicht mehr vertrauenswürdig ist. Eine Anleitung findest du hier:
http://www.trojaner-board.de/showpos...28&postcount=2

__________________
Gruß, Cidre


Alt 21.10.2004, 23:02   #6
Marc-R
 
Die "Legendäre" 5.exe - Standard

Die "Legendäre" 5.exe



Ich habe das mit dem Formatieren bereits versucht:
Rechtsklick auf die Festplatte->Formatieren
geht aber nicht, dann kommt immer ein Fehler
dann noch Systemwiederherstellung,
geht auch nicht!
Was soll ich tuen?
Ich versteh das alles nicht, ich bin ein windows nixkönner.
Ich hab die wuarclt.exe gelöscht, wird zwar nichts bringen, war aber so ein reflex...
Ich hab zum Glück nichts wichtiges auf dem PC was den interessieren könnte...
Oder doch?
Ah,
erklärt mal bitte wie ich über CD Format C mache

Alt 21.10.2004, 23:31   #7
n_dot_force
Gast
 
Die "Legendäre" 5.exe - Standard

Die "Legendäre" 5.exe



Zitat:
Zitat von Marc-R
Ich habe das mit dem Formatieren bereits versucht:
Rechtsklick auf die Festplatte->Formatieren
geht aber nicht, dann kommt immer ein Fehler
*LOL*

sorry... aber das musste sein...

um diesen fehler - mit einfachen worten - zu erklären: mit dieser aktion versuchst du, den ast auf dem du selbst sitzt, abzusägen.

und windows ist intelligent genug, das nicht zu erlauben (ergo: fehler).

um dein system richtig neu zu installieren, musst du mittels windows-cd booten, alles löschen, und hier formatieren und neu aufsetzen.

sei dir aber im klaren darüber, dass du alle daten bei der aktion verlierst, und natürlich alle treiber, progamme udgl. neu aufsetzen musst.


Alt 21.10.2004, 23:41   #8
Marc-R
 
Die "Legendäre" 5.exe - Standard

Die "Legendäre" 5.exe



Außer ein paar Spiele (CS und HL sowie Steam) hab ich eh nix wichtiges drauf.
Und hauptsache der behinderte Wurm ist weg!
Nunja jetzt habe ich wenigstens eine erklärung dafür warum mein Ping in CS von heut auf morgen von 89 auf 455 gegangen ist .

Alt 22.10.2004, 11:43   #9
Marc-R
 
Die "Legendäre" 5.exe - Standard

Die "Legendäre" 5.exe



Ich habe jetzt Formatiert und alles neu installiert.
Aber als ich ins Inet gegangen war und danach neu gestartet habe erklärte mir AntiVir das ich den Rbot drauf habe.
Wie kann ich sowas direkt umgehen?
Ich habe AntiVirXP im Hintergrund laufen und die XP Virewall angemacht...

Antwort

Themen zu Die "Legendäre" 5.exe
.exe, antivir, anwendung, autostart, browser, c:\windows, control, dll, drivers, einstellungen, error, escan, fehler, helper, klicke, log, mc afee, microsoft, programme, registry, rundll, schließen, software, spiele, system32, temp, total, windows, windows fehler




Ähnliche Themen: Die "Legendäre" 5.exe


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  4. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  5. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  6. AVIRA meldet "W32/Patched.ZA", "TR/ATRAPS.Gen2", "TR/ATRAPS.Gen", "ZR/sirefe.P.487"
    Log-Analyse und Auswertung - 30.07.2012 (9)
  7. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  8. "Stutter.X,"Windows XP recovery"-Aufforderung, "Festplatte beschädigt"-Meldung, Bildschrim schwarz,
    Log-Analyse und Auswertung - 28.05.2011 (20)
  9. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  10. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  11. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  12. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  13. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  14. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  15. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  16. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema Die "Legendäre" 5.exe - Hi @ all, neuerdings habe ich immer einen Fehler wenn ich ganz normal am PC sitze. Alle 2 Minuten kommt immer: 16 Bit-Dos-Teilsystem Die NTVDM-CPU hat einen ungültigen Befehl entdeckt. - Die "Legendäre" 5.exe...
Archiv
Du betrachtest: Die "Legendäre" 5.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.