|
Hallo, ich habe mir gestern im IRC irgendeinen Virus oder Wurm eingefangen...habe auf www.nad1ne.de.vu geklickt und schon wars geschehen...Der Windows Media PLayer funktioniert nicht mehr bzw. ist gelöscht worden.Immer wenn ich ihn starten wollte, wurde eine 1.exe und 2.exe im Temp-Ordner erstellt.Wenn ich nun in regedit gehen will, schließt sich das Fenster nach kurzer Zeit.Antivir hat nichts gefunden...und auch andere Programm haben versagt...Was kann ich tun? |
hallo Pomes, willkommen an Bord. Solltest Du nach all diesen Scans noch immer Probleme haben mit Viren, was ich mir eigentlich nicht vorstellen kann, koenntest Du Dir noch eine Testversion von KAV runterladen, sie online updaten und dann Deinen Computer mit dieser KAV-Testversion scannen. Sollte also noch die Spur eines Virus auf Deiner Festplatte verblieben sein, wird KAV sie finden. Wenn Du dann das Ergebnis hier postest, sehen wir weiter. Viel Erfolg! |
So Bit Defender hat etwas gefunden: Backdoor.Agobot.3.gen Ich bin total ratlos.Denn die rundll.exe und rundll.exe.poly sind von diesem Wurm befallen.Einfach so löschen geht nicht.In die Regedit komme ich auch nicht rein, da sich das Fenster immer wieder alleine scließt, was durch den Wurm bedingt ist...ich bin mit meinem Latein am Ende... |
Hallo Pomes, fuehre vielleicht nochmal einen Scan aus mit diesem tool Trend Micro und lass den Virus loeschen. Dann brauchst Du es nicht von Hand zu machen. Viel Erfolg |
@Pomes Habe auch mal die von Dir verlinkte Seite besucht und Kaspersky meckerte sofort: TrojanDownloader.VBS.Psyme-Based Wurde im IE Cache lokalisiert und war nach dem Löschen der Temporären Internet Files verbannt. Übrigens...die Blondine auf der Seite (Nadine) sieht eher billig aus :D :D :D Lies mal hier nach, wie du das Biest wieder los wirst. http://www.pestpatrol.com/PestInfo/t..._vbs_psyme.asp Gruß Schlumpfi |
Falls es interessiert, dieser Wurm der vom Schlumpf gepostet wurde, ist nicht mehr als ein Exlpoit für den IE, der eine Datei runter lädt. Und genau da liegt das Problem. Im QNet tauchen neuerdings immer wieder Links auf die eine Datei runter laden. Und die Malware, die das ist, wechselt auch immer... ;( Björn |
Guten Morgen, ich habe die Nacht Trend Micro scannen lassen.Er fand 43 infizierte Datein im Temporären Ordner des IE.Sie waren mit JS_Spawn_a infiziert.Er hat sie gelöscht.Aber die rundll.exe und rundll.exe.poly hat er nicht als Virus identifiziert.Den Trojaner habe ich schon entfernt.Vielen Dank nochmal für die Hilfe! |
Gabs hier schon 'nen Hinweis auf Browserwechsel? Nein? Dann jetzt: Wechsel den Browser. Der Internet Explorer ist unsicher. Mit Mozilla, Firebird oder Opera wär das nicht passiert. ;) Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Wie gesagt, der liebe Wurm ist noch bei mir...Trend Micro hat ihn nicht erkannt.Nur Bit Defender war in der Lage ihn zu identifizieren.Ich habe heute eine Seite gefunden wo beschrieben diesen Virus zu isolieren.Dazu muss man drei Windows-Updates installieren.Ich habe sie geladen, aber beim Öffnen haben sich wieder von alleine geschlossen, was auf den Wurm zurück zu führen ist.Die rundll.exe durch eine unverseuchte rundll.exe ersetzen??Ist das möglich? |
Ich habe mal hiJack ausführen lassen: Logfile of HijackThis v1.97.7 Scan saved at 07:25:17, on 16.01.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Messenger Plus! 2\MsgPlus.exe C:\Programme\PestPatrol\PPControl.exe C:\PROGRA~1\PESTPA~1\PPMemCheck.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe C:\Programme\ICQ\ICQ.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\D-Link AirPlus\AirPlus.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe C:\WINDOWS\System32\rundll.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender Standard Edition\vsserv.exe C:\Programme\Internet Explorer\iexplore.exe C:\HijackThis.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.7\THGuard.exe" O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Standard Edition\\bdmcon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\RunServices: [rundll] rundll.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BackWeb LiteInstaller] C:\DOKUME~1\Carsten\LOKALE~1\Temp\ins3.tmp\LiteInst.exe /NoIntervention O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://p1x.de/jinstall-1_4_2-windows-i586.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab Ist da alles korrekt?Oder versteckt sich da was? |
C:\WINDOWS\System32\rundll.exe Backdoor.Agobot.3.gen ist noch aktiv ! "rundll.exe" und "rundll.exe.poly" müssen nach beenden des Prozesses gelöscht werden. Falls nötig, im abgesicherten Modus. Falls es Probleme gibt, würde ich empfehlen, den Trojanerscanner "ewido" zur Löschung anzusetzen. www.ewido.de Ungepatchtes System ! http://windowsupdate.microsoft.com Alles installieren, was unter "Wichtige Updates und Service Packs" gelistet ist. |
Hallo Pomes, ich bin mir nicht sicher, aber ich empfehle Dir mal, Dich analog den hier gegebenen Anweisungen: </font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk: 1. Ruhe bewahren! 2. Download des Tools cwsshredder Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.spywareinfo.com/~merijn/files/cwshredder.zip nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit! 3. cwsshredder ausführen Achtung: Alle Browserfenster müssen geschlossen sein! [...] 9. Windows und insbesondere den Internet-Explorer updaten. 10. SpybotSD und Adaware herunterladen, installieren, updaten, ausfuehren, reinigen lassen. 11. System neu starten 16. In der Zwischenzeit ernsthaft über einen Browserwechsel nachdenken!! In diesem Sinne, tschööö, DerBilk</font>[/QUOTE]aus diesem Thread kopiert. Zusaetzlich koenntest Du Dir eine Textversion des Testversion KAV downloaden, ihn online mit der update-Funktion updaten, Deine vorhandene Virenschutzware ausschalten und mit KAV scannen. Wenn KAV nichts findet, ist Deine Festplatte sauber. Lieben Gruss |
So... Habe nun 42 Updates installiert! [img]graemlins/lach.gif[/img] Den KAV konnte ich nicht downloaden, weil der Download irgendwie down war.Heißt das Programm von KAV Anti-Spam? Der ewido-Scanner konnte meine 3 infizierten Dateien nicht lesen. Ich muss aber sagen, dass durch die Installation der Updates der Windows Media Player wieder da ist.Wenn ich nun die 3 infizierten Systemdateien lösche, kopiert Windows die wieder alleine von der eingelegten XP-CD...oder muss ich das machen? |
Hallo Pommes KAV heisst Kaspersky Anti Virus und ist als Testversion gratis downloadbar. Anti-Spam-Programme sind Ad-Aware und Spybot. Links dazu findest Du in den vorausgehenden Postings. Da ich Dir keine helfende Antwort mehr geben kann, empfehle ich Dir zu warten, bis unsere Computerfachleute wieder an Board sind, und sich Deiner annehmen. Wie ich gerade gesehen habe, ist der Backdoor.Agobot.3.gen bei Kaspersky erfasst. Folglich kannst Du ihn mit KAV entfernen. Ich weiss nur nicht, ob die Testversion von KAV Malware entfernt. Hast Du denn einen onlinescan durchgefuehrt? Guck mal dazu in meiner Signatur nach. |
</font><blockquote>Zitat:</font><hr /> KAV heisst Kaspersky Anti Virus und ist als Testversion gratis downloadbar... </font>[/QUOTE]...ja,ja. hab mal auch versucht, mit dem DL hat's geklappt, weiter aber ist voll sch---: man kann das Programm ohne Key weder starten, noch updaten. |
Habe die rundll.exe online bei Kaspersky scannen lassen.Er hat nichts gefunden.Daraus schließe ich, dass ich den Wurm nicht mehr habe.Aber wieso zeigte Bit Defender das an?? |
@Shadowdance: schon mal probiert eine KAV-Version online zu updaten, die man unter dem von dir geposteten link runtergeladen hat? :eek: Geht nämlich nicht, da kein key dabei ist! [img]graemlins/daumenhoch.gif[/img] |
...alle gleichzeitig gepostet... also ladet es hier: http://kasperskylab.co.uk/files/homeuser/ dann ist auch ein key dabei! |
ich bin momentan ein bisschen ueberfragt. Bisher konnte man KAV gratis downloaden und bekam, soweit ich weiss, einen Schluessel fuer einen Monat. Aber @ Pomes, ich bin gerade dem Link gefolgt, den ich angegeben hatte und bin tatsaechlich bei Kaspersky Anti Spam angekommen. Da wollte ich nicht hin linken. Ich gebe Dir hier einen anderen Link Kapsersky-Service und werde mich eingehend erstmal selbst mit Kaspersky befassen, um heraus zu finden, wo man nun den KAV gratis runterladen kann ... |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadowdance: Ich gebe Dir hier einen anderen Link Kapsersky-Service und werde mich eingehend erstmal selbst mit Kaspersky befassen, um heraus zu finden, wo man nun den KAV gratis runterladen kann ... </font>[/QUOTE]Shadowdance, kannste lesen? Folge halt dem link, den ich gepostet habe! Und schon gibt es KAV gratis incl. key! :eek: |
Der zeigte mir bei der Installation von KAV an, dass er MS Outlook nicht finden konnte und somit KAV nicht installieren könne.Komischerweise wurde es installiert, aber beim Öffnen schließt es sich wieder von alleine... |
Falsch! Er zeigt zwar an, daß er MS Outlook nicht finden kann, wenn es nicht vorhanden ist und deshalb nicht den Mail Checker installiert. Es wird nur der Mail Checker nicht installiert, der Scanner und Monitor aber schon. |
Haste nach Installation den PC neu gestartet? |
Ja habe ich...aber das Problem besteht trotzdem... |
Hallo Wiwi, lesen kann ich, Deinem Link bin ich auch gefolgt, aber d a s kann's ja eigentlich nicht sein. Ich habe jede Menge URL's von KAV und finde nirgends mehr die Testversionen .. jetzt habe ich nach einger Sucherei eine Moeglichkeit entdeckt, wie man Beta-Tester werden kann: Beta-Testing .. aber das meinte ich eigentlich nicht. Na, vielleicht haben unsere Fachleute Links parat ... ich bin ueberfragt ;-( |
Wenn es "d a s",ein offizieller link von Kaspersky, es für dich "nicht sein kann" hast Du halt Pech gehabt. [img]graemlins/kloppen.gif[/img] Stellt sich nur die Frage, nach was für einen special-shadowdance-kaspersky-download-link du suchst. [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] |
Werde beta-Tester [img]graemlins/lach.gif[/img] Hat damit zwar nichts zu tun, aber wenns dich freut |
So...ich habe nun die angeblich infizierten Dateien mit dem Bitdefender-Online-Scan scannen lassen und er hat nichts gefunden und ein anderer Onlinescanner hat auch nichts gefunden...Der Wurm müsste nun weg sein...Danke für die Hilfe!Ihr habt mich vor dem Formatieren bewahrt... |
Nochmal zurück zu KAV. Den Link, den wiwi genannt hat ist zwar mit Key, aber nicht auf das Programm nicht auf Deutsch. Wenn ich mich nicht irre, gab's doch auch mal eine Testversion mit Key auf Deutsch, oder? |
</font><blockquote>Zitat:</font><hr /> Der Wurm müsste nun weg sein...</font>[/QUOTE]Sorry, aber das glaub ich nicht. Schickst du mir mal bitte die Datei "C:\WINDOWS\System32\rundll.exe" ? und suche mal nach einer "rundll.exe.poly" und schicke sie mir,falls vorhanden, bitte auch. mgoerlich@gmx.net Thanx. Eine updatefähige Testversion (also inkl. autom. tägl. Updates) gibt es afaik nicht, also würde ich zu F-Secure AV 2004 (benutzt die Kaspersky-Scanengine) raten. 30-Tage Testversion inkl. tägl. Updates: http://www.f-secure.com/download-purchase/list.shtml |
Also ich hab die Testversion doch schon mal gehabt ......... :confused: [img]graemlins/schmoll.gif[/img] |
Was ist daran so schwer zu verstehen. Die deutschen Versionen kann man hier: http://www.kaspersky.com/de/download.html?id=54 bzw. hier: http://www.kaspersky.com/de/download.html?id=53 herunterladen. Und die sind voll funktionsfähig mit dem in den hier: http://kasperskylab.co.uk/files/homeuser/ enthaltenen keys. Einfach diese Version (sprich: http://kasperskylab.co.uk/files/homeuser/ ) herunterladen, in ein temp. Verzeichnis extrahieren und den key aus diesem Verzeichnis behalten. Wenn bei der Installation der deutschen Version (s.o.) nach dem key gefragt wird, einfach den oben genannten (von http://kasperskylab.co.uk/files/homeuser/ ) nehmen. Funktioniert tadellos und die Version ist für 30 Tage voll funktions- und updatefähig. Noch genauer kann man es nicht beschreiben. |
</font><blockquote>Zitat:</font><hr /> Was ist daran so schwer zu verstehen. </font>[/QUOTE]Nichts. ;) Aber vielleicht ist es auch nicht so schwer zu verstehen, daß der eine oder die andere das Vorgehen, sich aus einer deutschssprachigen Testversion, die von Kaspersky Labs mit dem Vermerk "Anmerkung: das ist eine Demonstrationsversion, d. h. sie kann den Computer nur auf das Vorhandensein von Viren prüfen. Um Ihren Computer zu säubern brauchen Sie eine Lizenzversion!" angeboten wird, und einem Key, der für diese Version nicht gedacht ist, eine voll funktionsfähige Version zusammen zu zimmern, für ein bisschen zweifelhaft hält. |
Wenn einem nur daran gelegen ist, die Software zu testen, kann man dies auch mit der englischen Version, die es ganz hochoffiziell mit key gibt, erreichen. Wer eine Übersetzung für die Worte "update", "scan" o.ä. benötigt, muß halt ins Wörterbuch schauen, oder zusätzlich mal die deutsche Version installieren. Um einen ausreichenden Eindruck von der Software zu bekommen, müßte dies doch ausreichen. |
Klar, da hast du Recht. |
Wäre natürlich noch super, wenn es ein deutsches Handbuch zum Download geben würde ..... :D |
Moin Christian, ein deutschsprachiges Handbuch findest Du zum Beispiel hier: http://www.kaspersky.com/de/download...obj_id=2958779 tschööö, DerBilk ;) |
Danke Lutz! Na dann werd ich mich mal am Wochenende hinhocken und Kaspersky auf Herz und Nieren mit Hilfe des Handbuchs überprüfen. ;) |
Gern geschehen! Da fällt mir auch gerade ein, dass ich Deine letzte PM noch nicht beantwortet habe. Sorry - war ein bisschen viel los die letzten Tage und das Leben besteht nicht nur aus Internet... ;) tschööö, Der(Lutz)Bilk |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board