Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: idA5.tem. exe Weiterer Virus?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.08.2006, 18:45   #1
Maste
 
idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



Hallo,

ich hoffe, dass mir jemand helfen kann.
Am Freitag hat mir Norten Antivirus folgende Viren gemeldet, konnte Sie aber nicht beseitigen:

ishost.exe
ismon.exe
downloader.exe

Nach einigen stöbern hier, habe ich den Tipp gelessen, die KillBox zu downloaden und die Viren damit entgültig zu löschen. Das hat prima funktioniert und ich war happy.

Seitdem habe ich aber noch ein weiteres Problem!

Alle 15 Minuten kommt folgender Hinweis von Norten, welchen ich immer ignorie bzw. blockiere:

folgendes programm versucht auf das Internet zu zugreifen:

idA5.temp.exe
(diese Buchstaben und Zahlenfolge variert dann immer alle 10-15 minuten)

Zu finden ist das Programm oder die Programme unter:
C:\windows\temp

Was ist das? Ist das ein überbleibsel der obigen Viren? Ich habe schon versucht im Forum was dazu zu finden, aber nichts gefunden.

Kann mir jemand helfen?

Beste Grüße,
Maste.

Alt 21.08.2006, 18:50   #2
Sunny
Administrator
> Competence Manager
 

idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



Hallo,

arbeite folgende Anleitung ab:

1.) Lade dir SmitfraudFix, und starte gleich mit Punkt 2. durch!
Poste anschliessend das erstellte Log von SmitfraudFix.

2.) Lade dir cccleaner und starte ihn, es ist alles schon eingestellt nur noch auf "Starte Cleaner" klicken!

3.) Erstell ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt.

Gruß
Sunny
__________________

__________________

Alt 21.08.2006, 18:59   #3
Maste
 
idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



Hi.

Danke für die schnelle antwort, aber ich scheitere schon bei Punkt 1.

Sobald ich

Doppelklick auf die smitfraudfix.cmd tätige

kommt sofort von Norton AntiVirus

Bösartiges Script entdeckt. Ihr Computer wurde angehalten.

Objekt FileSystem Objekt
Aktivität Create Text File

Datei: C:\Dokumente und Einstellungen\Stefan1\Desktop\GetPaths.vbs

???? Das ist doch nicht richtig, oder?

Gruß Maste.
__________________

Alt 21.08.2006, 19:01   #4
Sunny
Administrator
> Competence Manager
 

idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



Deaktiviere Norton mal für die Zeit des Scans mit SmitfraudFix...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 21.08.2006, 19:29   #5
Maste
 
idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



Hier schon mal zu Punkt 1.

SmitFraudFix v2.81

Scan done at 20:14:14,81, 21.08.2006
Run from C:\Dokumente und Einstellungen\Stefan1\Desktop\Neuer Ordner
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\cmd32.exe Deleted
C:\WINDOWS\system32\z11.exe Deleted
C:\WINDOWS\system32\z12.exe Deleted
C:\WINDOWS\system32\z13.exe Deleted
C:\WINDOWS\system32\z14.exe Deleted
C:\WINDOWS\system32\z16.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

starte den rechner jetzt einmal neu und mache dann mit punkt 2 weiter...


Alt 21.08.2006, 19:45   #6
Maste
 
idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



So und hier der Logfile of HijackThis v1.99.1

Scan saved at 20:45:06, on 21.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\{C4311A1E-0707-1031-0711-030407280031}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Stefan1\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5A3E97DD-2A08-48BC-8F43-C0DEABC90266} - C:\WINDOWS\system32\wvuurrs.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Was sagt das aus?? Ich verstehe davon nix...

Alt 21.08.2006, 19:51   #7
Sunny
Administrator
> Competence Manager
 

idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



Lass mal folgende Datei bei Virustotal überprüfen:

C:\WINDOWS\SYSTEM32\winbfi32.dll

Poste anschliessend das Ergebnis, markieren, kopieren, und in einen Beitrag einfügen!

Gruß
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 21.08.2006, 20:49   #8
Maste
 
idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



so.. hat etwas gedauert.. aber ich hoffe es gibt neue Erkenntnisse für mich....

STATUS: FINISHEDComplete scanning result of "winbfi32.dll", received in VirusTotal at 08.21.2006, 20:56:22 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.3 08.21.2006 HEUR/Backdoor.Generic
Authentium 4.93.8 08.21.2006 no virus found
Avast 4.7.844.0 08.21.2006 Win32:Klone-N
AVG 386 08.21.2006 no virus found
BitDefender 7.2 08.21.2006 no virus found
CAT-QuickHeal 8.00 08.21.2006 no virus found
ClamAV devel-20060426 08.21.2006 no virus found
DrWeb 4.33 08.21.2006 no virus found
eTrust-InoculateIT 23.72.102 08.20.2006 no virus found
eTrust-Vet 30.3.3032 08.21.2006 no virus found
Ewido 4.0 08.21.2006 no virus found
Fortinet 2.77.0.0 08.20.2006 no virus found
F-Prot 3.16f 08.21.2006 no virus found
F-Prot4 4.2.1.29 08.21.2006 no virus found
Ikarus 0.2.65.0 08.21.2006 no virus found
Kaspersky 4.0.2.24 08.21.2006 Packed.Win32.Klone.g
McAfee 4833 08.21.2006 BackDoor-CVT
Microsoft 1.1560 08.17.2006 no virus found
NOD32v2 1.1718 08.21.2006 no virus found
Norman 5.90.23 08.21.2006 no virus found
Panda 9.0.0.4 08.21.2006 Suspicious file
Sophos 4.08.0 08.21.2006 no virus found
Symantec 8.0 08.21.2006 no virus found
TheHacker 5.9.8.196 08.21.2006 no virus found
UNA 1.83 08.21.2006 no virus found
VBA32 3.11.0 08.20.2006 no virus found
VirusBuster 4.3.7:9 08.21.2006 no virus found


Aditional Information
File size: 15872 bytes
MD5: bc82fcef295273ff10153790c1c0c561
SHA1: 9e8fa8a6284ad1099847008bb7a2233fb7e783fc
packers: PecBundle, PECompact

Gruß,
Maste

Alt 22.08.2006, 12:49   #9
Maste
 
idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



Hallo Sunny,

kannst Du mir bitte noch Dein abschliedendes Urteil geben.

Gruß,
Maste.

Alt 22.08.2006, 16:53   #10
Maste
 
idA5.tem. exe Weiterer Virus? - Standard

idA5.tem. exe Weiterer Virus?



Hallo zusammen,

habe das Problem immer noch! Wer kann mir helfen?

Please help me!

Danke.

Gruß.........

Antwort

Themen zu idA5.tem. exe Weiterer Virus?
5 minuten, antivirus, beseitigen, downloaden, exe, folge, folgende, forum, freitag, funktioniert, helfen, hinweis, interne, internet, killbox, minute, minuten, nichts, prima, problem, programm, programme, viren, viren?, virus, virus?, windows



Ähnliche Themen: idA5.tem. exe Weiterer Virus?


  1. ein weiterer GVU Trojaner! :( plz help
    Log-Analyse und Auswertung - 24.12.2012 (23)
  2. Weiterer Bunderspolizei-Trojaner-Fall
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (12)
  3. Ein weiterer Fall: 50 € Virus - Windows gesperrt
    Log-Analyse und Auswertung - 11.04.2012 (22)
  4. Weiterer 50€ Trojaner...
    Log-Analyse und Auswertung - 27.02.2012 (2)
  5. Ein weiterer 50 € Virus
    Plagegeister aller Art und deren Bekämpfung - 10.02.2012 (5)
  6. Sparkassen Onlinebanking-Virus (TAN-Nummer-Abfrage) und weiterer Systemcheck
    Log-Analyse und Auswertung - 18.10.2011 (55)
  7. Ein weiterer BKA-Trojaner
    Log-Analyse und Auswertung - 02.05.2011 (18)
  8. Ein weiterer TR/kazy.mekml.1
    Log-Analyse und Auswertung - 25.04.2011 (21)
  9. Weiterer TR/Kazy.merml.1
    Log-Analyse und Auswertung - 21.04.2011 (15)
  10. Weiterer Zero-Day-Exploit für SCADA-System
    Nachrichten - 25.03.2011 (0)
  11. Weiterer Release Candidate von Firefox 4
    Nachrichten - 20.03.2011 (0)
  12. ein weiterer msn virus
    Plagegeister aller Art und deren Bekämpfung - 24.06.2010 (4)
  13. Weiterer Fall von TR/Fakealert.QE
    Log-Analyse und Auswertung - 19.10.2008 (0)
  14. Antivirus XP2008 - ein weiterer betroffener :)
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (16)
  15. Antivirus XP2008 - ein weiterer betroffener :)
    Mülltonne - 17.09.2008 (2)
  16. ein weiterer DAU ersucht um Hiiiilfe, LogFile vorhanden,
    Log-Analyse und Auswertung - 18.01.2005 (7)
  17. Ein weiterer gefraggter PC
    Log-Analyse und Auswertung - 18.12.2004 (1)

Zum Thema idA5.tem. exe Weiterer Virus? - Hallo, ich hoffe, dass mir jemand helfen kann. Am Freitag hat mir Norten Antivirus folgende Viren gemeldet, konnte Sie aber nicht beseitigen: ishost.exe ismon.exe downloader.exe Nach einigen stöbern hier, habe - idA5.tem. exe Weiterer Virus?...
Archiv
Du betrachtest: idA5.tem. exe Weiterer Virus? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.