|
Plagegeister aller Art und deren Bekämpfung: ...bin neu hier, habe wenig Ahnung und gleich eine FrageWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.10.2004, 10:23 | #1 |
| ...bin neu hier, habe wenig Ahnung und gleich eine Frage Hallo zusammen, zuerst muß ich mal sagen, das ich es echt super finde das es euer Hilfeforum gibt. Ich habe euch "ergoogelt" und hoffe das ihr mir weiterhelfen könnt. Ich nutze den Virenscanner Avast, welcher seit Wochen folgenden Virus findet: Virus name: Win32:Trojan-gen. {VB} File name: C:\System Volume Information\_restore{6DB9B88C-097F-4DEC-8AC6-DE8884E9EAC2}\RP197\A0058416.exe Leider bekomme ich dieses Mistding nicht von meinem Rechner runter, geschweige denn irgend eine weitere Information zu dem Ding. Könnt Ihr mir vieleicht weiterhelfen? Markus (DPU) |
28.10.2004, 10:42 | #2 |
| ...bin neu hier, habe wenig Ahnung und gleich eine Frage Hallo seamoon,
__________________willkommen im Forum. Wenn Du das Forum "ergoogelt" hast kann Dir das doch nicht entgangen sein? Aber OK, erstelle einen HijackThis Log http://www.trojaner-board.de/51130-a...ijackthis.html (Lowspeed Download wählen) und poste es hier ins Forum. Dannach wird Dir sicher geholfen werden. Organic
__________________ |
28.10.2004, 11:09 | #3 |
| ...bin neu hier, habe wenig Ahnung und gleich eine Frage Hallo Organic,
__________________danke für Deine Antwort. Das Google-ergebniss habe ich auch bekommen, allerdings steht das fast immer in Klammern VC hinter und nicht VB wie bei mir. Die wenigen Matches mit VB sind leider in russisch (oder sowas in der Art). Aber hier nun der Logfile: Logfile of HijackThis v1.98.2 Scan saved at 11:08:04, on 28.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Alwil Software\Avast4\ashserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\atiptaxx.exe C:\Programme\Alwil Software\Avast4\ashDisp.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\PVSW\Bin\W3DBSMGR.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Maximizer\Maxwin.exe C:\Programme\Maximizer\MaData6\MaData6.dat C:\Programme\Microsoft Office\Office10\EXCEL.EXE C:\Dokumente und Einstellungen\Markus.CS\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [avast!] C:\Programme\Alwil Software\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q O4 - Global Startup: Pervasive.SQL Workgroup Engine.lnk = C:\PVSW\Bin\W3DBSMGR.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093868428801 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.de O17 - HKLM\Software\..\Telephony: DomainName = domain.de O17 - HKLM\System\CCS\Services\Tcpip\..\{FCAB0D1A-B011-455D-B8C9-22E8A59EA9FA}: NameServer = 111.111.111.111,111.111.111.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domain.de Ich hoffe das ihr hieraus mehr erkennen könnt als ich Markus (DPU) Geändert von seamoon (02.11.2004 um 09:12 Uhr) |
28.10.2004, 12:02 | #4 |
Gast | ...bin neu hier, habe wenig Ahnung und gleich eine Frage Fixe dies: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1093868428801 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html |
28.10.2004, 14:00 | #5 |
| ...bin neu hier, habe wenig Ahnung und gleich eine Frage Hallo Christian, habe nun nach Deinen Anweisungen gehandelt; HijackThis hat die von Dir beschriebenen Einträge gefixed und ich habe mit escan im abgesicherten Modus folgendes erhalten: File C:\WINDOWS\system32\IEHost.EXE infected by "TrojanDownloader.Win32.Turown.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\terrabyte.exe infected by "TrojanDownloader.Win32.Turown.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\unwise.exe infected by "TrojanDownloader.Win32.Turown.i" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Markus.CS\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\incredimail_install.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken. File C:\Programme\Alwil Software\Avast4\DATA\chest\00000012 infected by "TrojanDownloader.Win32.VB.cw" Virus. Action Taken: No Action Taken. File C:\Programme\Alwil Software\Avast4\DATA\chest\00000013 infected by "TrojanDownloader.Win32.VB.cw" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\pcs\pcsvcAccess.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. Hmm, habe langsam den Eindruck das meine Büchse "leicht" verseucht ist. Allerdings wäre es wirklich klasse, wenn ich um eine Neuinstalation herum kommen könnte. Markus (DPU) |
28.10.2004, 14:11 | #6 |
| ...bin neu hier, habe wenig Ahnung und gleich eine Frage @seamoon der turown http://www.pestpatrol.com/PestInfo/t...2_turown_b.asp der downloader http://www.pestpatrol.com/pestinfo/t...r_win32_vb.asp ich würde die von escan angegebene dateien in den abgesicherten modus und deaktivierten Systemwiederherstellung manuell löschen. hast du kein virenscanner installiert? würde ich nachholen. neu starten, systemwiederherstellung aktivieren lade dir folgendes:Clearprog www.clearprog.de adaware www.lavasoft.de spybot http://www.spybot.info/de/index.html update diese programme und laufen lassen. anschließend ein neues Hijackthislogfile posten chaosman
__________________ --> ...bin neu hier, habe wenig Ahnung und gleich eine Frage |
28.10.2004, 17:35 | #7 |
| ...bin neu hier, habe wenig Ahnung und gleich eine Frage ...so, alle Anweisungen befolgt und das System ist fast sauber :aplaus: Habe noch das Tool Spyware Doctor im Einsatz, welches folgendes findet: WhenU HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\1\3##MRUListEx Nur leider finde ich diesen Eintrag nicht in meiner Registrierung (3##MRUListEx) Da bräuchte ich nochmals eure Hilfe @chaosman: Selbstverständlich habe ich einen Virenscanner im Einsatz (Avast 4.0) und sitze meist sogar hinter zwei Firewalls... Irgendwie hat das Netz früher mehr Spaß gemacht Markus (DPU) |
28.10.2004, 17:37 | #8 |
| ...bin neu hier, habe wenig Ahnung und gleich eine Frage ...achso, hier nochmals mein Hijack-Log: Logfile of HijackThis v1.98.2 Scan saved at 18:26:36, on 28.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Alwil Software\Avast4\ashserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\atiptaxx.exe C:\Programme\Alwil Software\Avast4\ashDisp.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spyware Doctor\spydoctor.exe C:\PVSW\Bin\W3DBSMGR.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\user\Desktop\AntiVir\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [avast!] C:\Programme\Alwil Software\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q O4 - Global Startup: Pervasive.SQL Workgroup Engine.lnk = C:\PVSW\Bin\W3DBSMGR.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.de O17 - HKLM\Software\..\Telephony: DomainName = domain.de O17 - HKLM\System\CCS\Services\Tcpip\..\{FCAB0D1A-B011-455D-B8C9-22E8A59EA9FA}: NameServer = 111.111.111.111,111.111.111.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domain.de sieht für mich ganz passabel aus, oder? Markus (DPU) Geändert von seamoon (02.11.2004 um 09:10 Uhr) |
28.10.2004, 18:55 | #9 |
Gast | ...bin neu hier, habe wenig Ahnung und gleich eine Frage Sieht sauber aus - ja. |
29.10.2004, 08:14 | #10 | |
| ...bin neu hier, habe wenig Ahnung und gleich eine Frage Als erstes möchte ich euch allen Danken für eure schnelle und kompetente Hilfe. DANKE Allerdings ist da noch eine Sache, Zitat:
Markus |
Themen zu ...bin neu hier, habe wenig Ahnung und gleich eine Frage |
ahnung, avast, folge, folgende, frage, hallo zusammen, information, meinem, neu, rechner, runter, scan, scanner, super, system, system volume information, virenscan, virenscanner, virus, volume, wenig ahnung, win, win32, woche, wochen, zusammen, _restore |