Hi,
auch mich hat es jetzt erwischt.
Ich benutze AntiVir das ich auch fast jeden Tag aktualisiere.
Nun bekomme ich verschiedene Meldungen:

Worm/Bagle.AT (allerdings ist dieser in einem Cab-Archive meines Emailprogs, hab ich wohl vor dem löschen mit archiviert, ist wohl auch nicht aktiv)
TR/HideRun.A.2

Habe mal HijackThis2 laufen lassen mit diesem Ergebnis:

Logfile of HijackThis v1.98.2
Scan saved at 16:52:44, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\msdev.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\uline.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\logfile.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SpamPal\spampal.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Opera\opera.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Bandy-Script\Bandy-Script.exe
C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Downloads\Software\HiJackThis\hijackthis1982\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe
O4 - HKLM\..\Run: [nternet Explorer] iexplore.exe
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\logfile.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [nternet Explorer] iexplore.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKLM\..\RunOnce: [msdev] msdev.exe
O4 - HKLM\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msdev] msdev.exe
O4 - HKCU\..\Run: [nternet Explorer] iexplore.exe
O4 - HKCU\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - HKCU\..\RunOnce: [msdev] msdev.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{E706CCCD-822E-44CF-B5CA-04B7692E9ACF}: NameServer = 217.237.150.33 217.237.151.161

Msdev hab ich bereits gefixt.

Allerdings weiss ich nicht was es hiermit auf sich hat:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Ich denke aber mal das war es nicht alleine, der Hide steckt laut AntiVir-Scan auch in einer Cap-Datei von win.

C:\Dokumente und Einstellungen\Heinz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTEJ05YV
0006_regular[1].cab
ArchiveType: CAB (Microsoft)
--> istactivex.dll
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.2

Das temporäre Verzeichnis werde ich mal komplett löschen, mal sehen ob das was bringt.
Hat nix gebracht. Nachdem ich mich wieder ins Internet eingeloggt hab kam gleich wieder AntiVir-Meldung: TR/Dldr.Dyfuca.DB . Gleichzeitig hat auch wieder der IE geöffnet. Grundsätzlich arbeite ich allerdings mit Opera.


Ein erneuter Lauf von HiJack brachte folgendes Ergebnis:

Logfile of HijackThis v1.98.2
Scan saved at 17:55:02, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\msdev.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\uline.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\logfile.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Downloads\Software\HiJackThis\hijackthis1982\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe
O4 - HKLM\..\Run: [nternet Explorer] iexplore.exe
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\logfile.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [nternet Explorer] iexplore.exe
O4 - HKLM\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [nternet Explorer] iexplore.exe
O4 - HKCU\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...676fd4c28c535f
O17 - HKLM\System\CCS\Services\Tcpip\..\{E706CCCD-822E-44CF-B5CA-04B7692E9ACF}: NameServer = 217.237.150.33 217.237.151.161

Die Datei msdev.exe hab ich jetzt mal umbenannt. Mal schauen was jetzt passiert.

Ich werde auch wieder demnächst meine Firewall ZoneAlarm installieren.

Hat jemand weitere Infos?

Gruß

Heinz

@ HeinzR,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\uline.exe
C:\WINDOWS\logfile.exe

teile uns das Ergebnis der Überprüfung mit.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst für den eScan nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, die Namen der Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

SD

Hi,
hier schon mal die Ergebnisse des Onlinetests der beiden Dateien:

logfile.exe:

Service load:
0% 100%
File: logfile.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
UPX

AntiVir
No viruses found (0.15 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.42 seconds taken)
ClamAV
Trojan.Dropper.Purityscan.F (0.33 seconds taken)
Dr.Web
Trojan.LowZones (0.48 seconds taken)
F-Prot Antivirus
No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus
Trojan-Clicker.Win32.Agent.ah (0.60 seconds taken)
mks_vir
No viruses found (0.41 seconds taken)
NOD32
No viruses found (0.56 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* File length: 55808 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\TEMP\winlogon.exe.
* Deletes file C:\WINDOWS\TEMP\winlogon.exe.

[ Changes to registry ]
* Creates value "winlogin.exe"="c:\sample.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Modifies value "CurrentLevel"="
" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "Flags"="
" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1001"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1004"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1200"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1201"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1206"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1400"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1402"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1405"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1406"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1407"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1601"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1604"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3". (17.33 seconds taken)


uline.exe


Service load:
0% 100%
File: uline.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
FSG

AntiVir
No viruses found (0.15 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
Trojan.Clicker.Agent.AH (0.45 seconds taken)
ClamAV
Trojan.Dropper.Purityscan.F (0.34 seconds taken)
Dr.Web
Trojan.MulDrop.1177 (0.49 seconds taken)
F-Prot Antivirus
No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus
Trojan-Clicker.Win32.Agent.ah (0.70 seconds taken)
mks_vir
Trojan.Trojan-clicker.Agent.Ah (0.19 seconds taken)
NOD32
No viruses found (0.49 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* File might be compressed.
* File length: 55120 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\TEMP\installer.exe.
* Deletes file C:\WINDOWS\TEMP\installer.exe.

[ Changes to registry ]
* Creates value "msconfig.exe"="c:\sample.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Modifies value "CurrentLevel"="
" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "Flags"="
" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1001"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1004"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1200"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1201"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1206"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1400"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1402"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1405"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1406"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1407"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1601"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1604"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3". (12.84 seconds taken)

mwave poste ich nachher wenn ich durch bin.

Gruß Heinz

@ HeinzR

sende bitte die beiden Dateien

C:\WINDOWS\uline.exe
C:\WINDOWS\logfile.exe

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken.

SD

Hi,
habe gestern Abend gleich mal den escan gemacht.
Leider wurden während dieses Scans die beiden Dateien uline.exe und logfile.exe gelöscht . Kann sie deshalb nicht weiterschicken.
Hier mal den Auszug aus dem Log der sich auf die Veränderungen bezieht:

File C:\WINDOWS\uline.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\WINDOWS\logfile.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\iexplore.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\incredimail_install.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\WINDOWS\1cancel.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\WINDOWS\check32.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\WinAdCtlX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINDOWS\list.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\WINDOWS\logfiles.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\WINDOWS\praxis.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\WINDOWS\proxy.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\msdev.ixe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\incredimail_install.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\Dokumente und Einstellungen\Heinz\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{E8B4143F-3CD9-4A4F-8C8F-0D586A595033}\Message Store\Sent Items.imm infected by "Mail Bomb" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Heinz\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\incredimail_install.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\Dokumente und Einstellungen\Heinz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPABGP2B\bridge-c11[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0000483.COM.VIR infected by "I-Worm.Bagle.au" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\TFTP1000.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\Bandy-Script\Bandy-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\Bandy-Script\Spiele\Gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.
File C:\Programme\Bandy-Script2\Bandy-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\Bandy-Script2\Spiele\Gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.
File C:\Programme\Bandy-Script3\Bandy-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\Bandy-Script3\Spiele\Gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP12\A0000851.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP17\A0001282.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP24\A0003659.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003672.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003673.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003674.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003676.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003677.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003678.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003679.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003680.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{B04855C2-C42C-4890-945F-C5B59B9C60DA}\RP25\A0003681.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: File Deleted.
File F:\Incredi Skin und co\Data\Identities\{E8B4143F-3CD9-4A4F-8C8F-0D586A595033}\Message Store\Sent Items.imm infected by "Mail Bomb" Virus. Action Taken: File Renamed.
File F:\Sicherung Daten\Incredimail Einstellungen\IncrediMail Data2.cab infected by "I-Worm.Bagle.au" Virus. Action Taken: File Deleted.
File F:\Sicherung Daten\Stand 01.08.04\Downloads\Software\Style XP\Styles\Scuderia Ferrari\57193.exe tagged as not-a-virus:AdWare.SaveNow.v. No Action Taken.
File F:\Sicherung Daten\Stand 01.08.04\Incredimail Sicherung\Stand 01.08.04\Data\Identities\{E8B4143F-3CD9-4A4F-8C8F-0D586A595033}\Message Store\Sent Items.imm infected by "Mail Bomb" Virus. Action Taken: File Renamed.
File F:\Sicherung Daten\Stand 03.07.04\Downloads\Software\Style XP\Styles\Scuderia Ferrari\57193.exe tagged as not-a-virus:AdWare.SaveNow.v. No Action Taken.
File F:\Sicherung Daten\Stand 13.08.04\Downloads\Software\Style XP\Styles\Scuderia Ferrari\57193.exe tagged as not-a-virus:AdWare.SaveNow.v. No Action Taken.
File F:\Sicherung Daten\Stand 13.08.04\Incredimail Sicherung\Stand 01.08.04\Data\Identities\{E8B4143F-3CD9-4A4F-8C8F-0D586A595033}\Message Store\Sent Items.imm infected by "Mail Bomb" Virus. Action Taken: File Renamed.
File F:\Sicherung Daten\Stand 13.08.04\Programme\IncrediMail\Data\Identities\{E8B4143F-3CD9-4A4F-8C8F-0D586A595033}\Message Store\Sent Items.imm infected by "Mail Bomb" Virus. Action Taken: File Renamed.
File F:\Sicherung Daten\Stand 13.08.04\Programme\TuneXP\gendel32.ex_ tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.
File F:\Sicherung Daten\Stand 25.07.04\Downloads\Software\Style XP\Styles\Scuderia Ferrari\57193.exe tagged as not-a-virus:AdWare.SaveNow.v. No Action Taken.
File F:\Sicherung Daten\Stand19.09.04\Programme\IncrediMail\Data\Identities\{E8B4143F-3CD9-4A4F-8C8F-0D586A595033}\Message Store\Sent Items.imm infected by "Mail Bomb" Virus. Action Taken: File Renamed.
File F:\SIcherung von c vom 23.11.04\Bandy-Script\Bandy-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File F:\SIcherung von c vom 23.11.04\Bandy-Script\Spiele\Gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.
File F:\SIcherung von c vom 23.11.04\Bandy-Script2\Bandy-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File F:\SIcherung von c vom 23.11.04\Bandy-Script2\Spiele\Gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.
File F:\SIcherung von c vom 23.11.04\Bandy-Script3\Bandy-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File F:\SIcherung von c vom 23.11.04\Bandy-Script3\Spiele\Gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.

Ich habe den scan i abgesicherten modus durchlaufen lassen. Danach ausgeschaltet, noch mal in den abgesicherten und nochmal durchlaufen lassen. Dabei wurden nur die Programme gemeldet welche vorher schon mit "No Action Taken" gemeldet wurden.
Heute habe ich den Rechner normal gebootet, Zonealarm installiert und keine Meldung mehr bekommen nach dem öffnen des Internetzugangs und starten des Browsers.
Scheint so als wenn alles sauber wäre.

Gruß
Heinz

@HeinzR
at wootbot
http://uk.trendmicro-europe.com/ente...BOT.AS&VSect=T
"Scheint so als wenn alles sauber wäre."
ich würde an deiner stelle schleunigst alle passwörter änder.
chaosman

Hi,

das hoffe ich jetzt mal. Hab auch gleich die Firewall installiert.
PW's habe ich natürlich zumindest alle wichtigen sofort geändert, schon bevor ich weiter irgentwas am Rechner machen konnte (von anderem Rechner aus).

Gruß
Heinz

Hallo HeinzR,

Zitat:

Zitat von HeinzR

File C:\WINDOWS\system32\iexplore.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: File Renamed. [..]

Scheint so als wenn alles sauber wäre.

Information zu
Backdoor.Win32.Wootbot.am (zitiert):
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit" ->"Erläutert" und "Erweitert" beachten.

Es recht leider nicht, Backdoors vom System zu löschen. Es verschafft eine Scheinsicherheit. Die Einträge in der Registry, der Code auf dem System ist weiterhin vorhanden. Wenn Du Sicherheit haben willst, dass Dein System sauber und nicht in der Hand Dritter ist, dass alle Schutzprogramme, die Du installiert hast, auch wirklich funktionieren (->siehe "erweitert"), bleibt Dir nichts anderes übrig, als Dein System zu formatieren. Dabei solltest Du Lutz Rat zur Datensicherung beachten und Cidre's Rat lesen.

Diese Lektüre ist ebenfalls sehr aufschlussreich: Entfernung von Schädlingen und Kompromittierung unvermeidbar?.

Ich kann Dir keinen anderen Rat geben als formatieren.

SD