Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   virus trojandropper.win32.vb.ct (https://www.trojaner-board.de/10227-virus-trojandropper-win32-vb-ct.html)

dimosci 29.11.2004 20:29

virus trojandropper.win32.vb.ct
 
Hi,
bin neu hier und habe folgendes Problem. Internet ist seit Neuestem langsam, deshalb habe ich mittels escan nach Viren gesucht.
Gefunden habe ich dabei

Mon Nov 29 17:11:48 2004 => File C:\System Volume Information\_restore{605873A5-8198-407E-9EC5-F4761FFE289D}\RP25\A0014127.exe infected by "TrojanDropper.Win32.VB.ct" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:50:14 2004 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

Der nächste Schritt wäre dann mit Hijackthis die Viren entfernen. Allerdings bin ich mir etwas unsicher. Bitte um Tipps zum logfile.

Logfile of HijackThis v1.98.2
Scan saved at 19:39:47, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\TrafficStatistic\bin\gui\TrafficStatisticGUI.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\TrafficStatistic\bin\http_server\HTTP_Srv.exe
C:\Programme\TrafficStatistic\bin\cpm\RunCPM.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Programme\winCommand\WINCMD32.EXE
C:\Dokumente und Einstellungen\dimosca\Lokale Einstellungen\Temp\$wc\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrafficStatisticGUI] "C:\Programme\TrafficStatistic\bin\gui\TrafficStatisticGUI.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

Bitte um Hilfe, weiß nicht weiter.

chaosman 29.11.2004 20:58

@dimosci
hier was zum nachlesen
gebe bitte HJT einen eigenen ordner
lade dir bei www.clearprog.de clearprog
programm starten, alle häkchen bei windows und IE setzen, danach löschen.
gehe in den abgesicherten modus http://www.trojaner-board.de/63335-w...s-starten.html

und lösche manuell
C:\System Volume Information\_restore{605873A5-8198-407E-9EC5-F4761FFE289D}\RP25\A0014127.exe
neu starten

im log sehe ich nichts auffälliges

chaosman

dimosci 29.11.2004 21:37

erst einmal danke,
ich habe aber das Problem, dass sich dieses Verzeichnis nicht löschen lässt.
Es ist schreibgeschützt.

Cidre 29.11.2004 21:39

Löse das Problem wie folgt:
Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren

dimosci 29.11.2004 22:10

das klappt einfach nicht,
habs schon mehrfach versucht, die datei ist und bleibt schreibgeschützt.
Die Systemwiederherstellung ist ausgeschaltet und trotzdem lässt sich auf diese Datei nicht zugreifen.
Das dauert nun echt schon wieder Stunden, so langsam kriegsch die Motten.

Cidre 29.11.2004 22:17

Wenn du das so ausführst, dann brauchst du die Datei nicht mehr manuell löschen.
Zitat:

Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren
Du musst nach der Deaktivierung das System rebooten, sonst funktioniert es nicht.

dimosci 29.11.2004 22:46

So das scheint geklappt zu haben. Wenn ich jetzt escan durchlaufen lasse ist der virus in der 'system volume information' weg. Im VErzeichnis c:/windows ist aber immernoch die autoload.exe zu finden. Escan findet also immer noch den virus.

Cidre 29.11.2004 23:02

Zitat:

Im VErzeichnis c:/windows ist aber immernoch die autoload.exe zu finden. Escan findet also immer noch den virus.
Das ist schon OK so, dabei handelt es sich nicht um Malware.

dimosci 29.11.2004 23:49

Ich befürchte, dass dieses Problem noch nicht ausgestanden ist.
Internet ist immer noch problematisch af diesem Rechner.
NAch dem öffnen des Browsers lassen sich zwei drei Seiten aufrufen dann ist die Verbindung unterbrochen und keine Seite trotz stehender VErbindung aufzurufen.
ich versuche grade wieder escan zu starten und dann einen neuen Scan zu starten. Hoffe das Beste.

dimosci 29.11.2004 23:54

Vor Morgen wird das hier eh nichts mehr, ich danke allen und poste wohl demnächst weiter.
by by
dimosca

Cidre 30.11.2004 00:02

Führe den eScan im abgesicherten Modus aus und verwende einen sicheren und komfortableren Browser wie z.B. Mozilla oder Firefox http://www.mozilla.org/ .
Beobachte ob dieses Problem auch beim Firefox besteht.

Shadowdance 30.11.2004 00:03

@ dimosci

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade bitte das aktuelle Service Pack runter: www.windowsupdate.com

Erstelle dann ein weiteres Hijack This Logfile und poste es.

Gute Nacht ;-)

SD

dimosci 30.11.2004 00:23

Als Browser verwende ich nur Opera. Sehr komfortabel wie ich finde. Den log gibts dann morgen abend an dieser Stelle.
Guts Nächtle


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131