|
Beagle-KB2 und Virus in edlm2.exe - zu Hülfäää Hallo Ihr da draussen, heute morgen hat Window ein update gemacht und das hab ich dann installiert. Ob es was damit zu tun hat oder reiner Zufall ist, auf jeden Fall wenn ich den IE, Firefox oder Outlook Express öffne bekomme ich von meinem Avast-Virenprogramm folgende Warn-Meldung: Datei-Name: http://benininfo.com/444.jpg Malware Name: Win32:Beagle-KB2 [Wrm] Malware Typ: Virus/Wurm VPS Version: 0615-3, 14.04.2006 Kann dann nur auf x Schliessen drücken oder auf "Verbindung trennen". Egal was ich anklicke, nach kurzer Zeit schliessen sich IE, Firefox oder OE von ganz alleine. Vorher hatte ich noch eine Virenmeldung mit Virus : Windows\System32\edlm2.exe hab ich in Container geschoben, kam aber immer wieder bei Windows Neustart. Zum Glück hab ich noch ein zweites Windows auf dem PC, mit dem kann ich ohne Probleme arbeiten,.... wie man hier sehen kann ;-)... Also.... hat Jemand schon mal was von beagle-KB2 gehört oder was ist edlm2.exe und wie krieg ich das wieder loooooossss????:( :( :( hab schon gegoogelt aber nix gefunden.:koch: |
Poste doch bitte mal ein komplettes HJT Logfile vom "unsauberen" Windows. |
für Blonde, wie soll das gehen? Kiste runterfahren, Drecks-Windows starten, hijacken, speichern, sauberes Win hochfahren und hier posten??? Oder wie??? |
Logfile of HijackThis v1.99.1 Scan saved at 18:18:07, on 14.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\_AASicherheit\Sygate\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\_AASicherheit\ANTISPY\Pest Patrol2005\PPActiveDetection.exe C:\Programme\Alwil Software\Avast4\ashDisp.exe C:\Programme\_AASicherheit\AntiSpamWare\Spamfighter 4.0.4\SFAgent.exe I:\Programme\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe D:\Tools\Ashampoo Magic Defrag\bin\aDefragCtrl.exe D:\Tools\Ashampoo Magic Defrag\bin\aDefragService.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\CPUCooL\CooLSrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe I:\download-exe\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\_AASicherheit\WinSweep\ws.js R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.35.127.146:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local> O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - I:\Programme\Preispiraten\Preispiraten3\IEButtonPPInterface.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\_AASIC~1\Sygate\smc.exe -startgui O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [DataLayer] REM C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\_AASicherheit\ANTISPY\Pest Patrol2005\PPActiveDetection.exe" O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\_AASicherheit\AntiSpamWare\Spamfighter 4.0.4\SFAgent.exe" update delay 60 O4 - HKCU\..\Run: [UIWatcher] I:\Programme\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Ashampoo Magic Defrag.lnk = D:\Tools\Ashampoo Magic Defrag\bin\aDefragCtrl.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - I:\\Programme\\Preispiraten\\Preispiraten3\\preispiraten.html O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - I:\Programme\Preispiraten\Preispiraten3\preispiraten3ie.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de O16 - DPF: RaptisoftGameLoader - http://real.gamehouse.com/real/games/raptisoft/raptisoftgameloader.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Unknown owner - C:\Programme\A***.exe (file missing) O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - D:\Tools\Ashampoo Magic Defrag\bin\aDefragService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\_AASicherheit\Sygate\smc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - I:\Programme\*** 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\_AASicherheit\TuneUp Utilities2006\WinStylerThemeSvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - Unknown owner - C:\WINDOWS\wanmpsvc.exe (file missing) Bin jetzt grad mit verseuchten *g* Win hier drinne und nix passiert. Ich weiss ja auch nicht, alles sehr merkwürdig... Vielleicht findet ja doch Jemand was in meinem HjT-Logfile...??!!?? :headbang: |
Mich hat die edlm2.exe auch wahnsinnig genervt... In einem französischen Board, (http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/virus_spyware_ou_trojan-398615/messages-1.html), wird das Problem folgendermaßen gelöst: registry keys to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 Files to Delete: C:\WINDOWS\SYSTEM32\ldr64.dll C:\WINDOWS\system32\edlm2.exe Bei mir hats funktioniert, ich hoffe, bei den anderen Betroffenen auch |
Hallo Ich habe noch eine 3. Datei gefunden die auch gelöscht werden solte: EDLM2.EXE-2561CA28.pf --> C:\WINDOWS\Prefetch :daumenhoc |
Uff das war wohl ein Sonntag ... völlig verschlampt :D Alle Beagle/Bagle Varianten haben eins gemeinsam: Zitat:
"Läd Code aus dem Internet herunter" ... sicherlich kein abc und alles wird gut - code ... In diesem Sinne kann ich nur zur Anleitung zum Neuaufsetzen weiterleiten. Alles andere wäre keine wirkliche Lösung ... mfg, Markus |
Hallo! Ich hab erst die C:\WINDOWS\system32\edlm2.exe und C:\WINDOWS\system32\edlm.exe gelöscht und aus dem Papierkorb entfernt. Dann in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 die ldr64 gelöscht. Am Ende bin ich dann in den abgesicherten Modus gegangen und hab C:\WINDOWS\SYSTEM32\ldr64.dll gelöscht. Das war vor 4 Stunden. Seitdem meldet Norton Antivirus keinen Virus mehr. Gruß Buli |
Fein, Norton meldet auch keine umgeschriebenen Systemdateien oder veränderte Registrierungseinträge. mfg, Markus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board