Hilfe Virus Was Nun?
Von: max01218 * am 31.05.2007 Habe mir glaube ich nen Virus eingefangen! Seid 2-3 Tagen bekomme ich immer beim starten des Computers und beim starten von Mozilla eine Fehlermeldung von Antivir!   Heur/Malware in WiNNT/system32  A528c0A.DLL Ich denke sie haengt direkt mit dem Prozess Sched.exe zusammen. Habe sie versucht zu schreddern mit Magic Utilities 2007 Hatte aber keinen Effekt. Habe einen Pentium3 winn2000 aufSP4 mit 900mhz anbei meine hijack logfile Ich hoffe bald von einem von euch zu hören und DANKE schon mal herzlich im vorraus!! Logfile of HijackThis v1.99.1 Scan saved at 22:46:53, on 31.05.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\ati2evxx.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\Atiptaxx.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\MATTI-~1\LOKALE~1\Temp\Rar$EX00.829\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175955125217 O17 - HKLM\System\CCS\Services\Tcpip\..\{7CAAB728-6F33-47B5-9051-389603B50891}: NameServer = 213.191.74.18 213.191.92.86 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2evxx.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\svcntaux.exe (file missing) O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\swdsvc.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Antwort 1 von BigDaddy **** am 01.06.2007 Moin! Außer diesem BearShare-Zeug und der verbogenen Startseite R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb ist im Logfile nicht wirklich was Aufregendes zu sehen. Leider ist die angegebene DLL-Datei auch nicht gerade ein Quell der Erleuchtung. Die Information, die Dir AntiVir da gibt, bedeutet letztlich, daß es dieses "Etwas" per Heuristik gefunden hat. Es hat also diese Datei untersucht und ist per Raten und Schätzen zum Ergebnis gekommen, daß das böse ist. Das muß nicht zwangsläufig so sein. Du könntest Dein System z.B. mal im abgesicherten Modus und/oder mit verschiedenen Virenscannern untersuchen. Zur schnellen Info suche Dir die DLL-Datei raus und lade sie bei virusscan.jotti.org hoch. Die Seite prüft die Datei mit diversen Antivirenprogrammen und verrät Dir anschließend, was gefunden wurde. Probier das zuerst und poste bitte das Ergebnis, falls etwas gefunden werden sollte. DANKE!
Antwort 2 von Sir Reklov am 01.06.2007 Hallo, sollte Jotti oder Virustotal kein Ergebnis bringen,versuche folgendes :Suche per Google nach "Combofix" "Silent Runner" und "Blacklight",lade und installiere die Programme und starte sie nach den Anleitungen.Poste die Ergebnisse. Sir Reklov
Antwort 3 von Ssnatcher am 01.06.2007 Mach doch einfach mal einen Online Scan bei Kaspersky. Das ist absolut kostenlos und sehr zuverlässig. Dann haste eine fast 100%ige Gewissheit, ob es sich nun um ein Virus handelt oder nicht.
Antwort 4 von max01218 * am 01.06.2007 Habe das Gefühl das Problem hat sich gelöst! die .DLL Datei hing glaube ich direkt mit den Prozessen 3EE499E8.exe und 6B21204F.Exe zusammen. Die DLL Datei ging mit Jotti nicht zu Prüfen, aber die3...exe datei im Anhang die Auswertung. Als ich die beiden Prozesse noch mal geshreddert hatte, funktionierte die DLL datei nicht zu löschen. Aber nach nem Neustart waren alle verschwunden! THX Anyway Datei:    6B21204F.EXE Auslastung:     0%              100% Status:     INFIZIERT/MALWARE Entdeckte Packprogramme:     -   A-Squared     Keine Viren gefunden AntiVir     BDS/Agent.ahj.421 gefunden ArcaVir     Trojan.Agent.Ahj gefunden Avast     Win32:Agent-HFX gefunden AVG Antivirus     BackDoor.Agent.GVV gefunden BitDefender     Keine Viren gefunden ClamAV     Trojan.Agent-4232 gefunden Dr.Web     Trojan.Popwin gefunden F-Prot Antivirus     Possibly a new variant of W32/PWStealer1!Generic gefunden F-Secure Anti-Virus     Backdoor.Win32.Agent.ahj gefunden Fortinet     W32/Agent.AHJ!tr.bdr gefunden Kaspersky Anti-Virus     Backdoor.Win32.Agent.ahj gefunden NOD32     a variant of Win32/Agent.NEO gefunden Norman Virus Control     Hupigon.gen66 gefunden Panda Antivirus     Keine Viren gefunden Rising Antivirus     Keine Viren gefunden VirusBuster     Keine Viren gefunden VBA32     Keine Viren gefunden
« zurück	Antworten