Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: FileSubmit

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.02.2005, 12:02   #16
Stefano
 
FileSubmit - Standard

FileSubmit



[QUOTE=Haui45]Unsere Diskussion musst du gar nicht beachten



Die bekommst du so weg:
Systemwiederherstellung deaktivieren-> Neustart-> Systemwiederherstellung aktivieren

Den Rest manuell im abgesicherten Modus löschen.


Nochmals Sypybot Ad-Aware und eScan laufen lassen. Ergebnis (von eScan)?


So habe das mit der Systemwiedeherstellung so gemacht.
Wollte dann im abgesicherten Modus manuell löschen, aber 1. habe ich keine Zugriff auf den Ordner d.h. ich kann diesen nicht mal öffnen,
2. löschen kann ich den auch nicht (Schreibschutz) den ich nicht deaktiviren kann 3. der Ordner ist leer!


Alt 26.02.2005, 12:07   #17
Haui45
 
FileSubmit - Standard

FileSubmit



Welchen Ordner?
Wenn du den C:\System Volume Information meinst, das ist normal, die Dateien die sich darin befinden sind nach dem Neustart weg. Vielleicht noch als Erklärung: Das ist der "Ordner der Systemwiederherstellung von Windows". Wenn man die Systemwiederherstellung deaktiviert und einen Neustart durchführt, werden die Wiederherstellungspunkte und somit auch die infizierten Dateien gelöscht.

Die anderen Dateien (z.B. C:\Programme\FileSubmit\I Love 69 Babes\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet) sollst du manuell löschen
__________________


Alt 26.02.2005, 12:30   #18
Stefano
 
FileSubmit - Standard

FileSubmit



So habe eScan jetzt nochmals durchlaufen lassen,
er zeigt mir aber wieder wenn ich mit "infected" durchschaue an die 40 Dateien aber immer dateien von C:\System Volume Information.....bla...bla....bla an!

Sypybot zeigt lediglich 4 probleme an das sind aber nur registry change!

Logfile of HijackThis v1.99.1
Scan saved at 13:27:33, on 26.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\StefanG\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094036522843
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDA63990-2595-4D01-B0EB-A7511C599536}: NameServer = 141.1.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

__________________

Alt 26.02.2005, 12:39   #19
Haui45
 
FileSubmit - Standard

FileSubmit



Zitat:
So habe eScan jetzt nochmals durchlaufen lassen,
er zeigt mir aber wieder wenn ich mit "infected" durchschaue an die 40 Dateien aber immer dateien von C:\System Volume Information.....bla...bla....bla an!
Hast du in der mwav.log nach "infected" gesucht? Wenn ja, sind das wahrscheinlich die Funde vom letzten Scan. Du kannst die mwav.log ruhig löschen und dann erneut scannen
Bist du sicher, dass du eScan korrekt ausgeführt hast (Zeit nur ~20 Minuten )?
Wurden während des Scans irgendwelche Funde im "Virus Log Information" Fenster angezeigt?

Alt 26.02.2005, 12:46   #20
Stefano
 
FileSubmit - Standard

FileSubmit



mwav.log habe ich gelöscht.

Muss ich bei eScan "Program Files" oder Scan all Files das Häckchen machen!?

Und nein es wurden keine Funde im "Virus Log Information" Fenster angezeigt


Alt 26.02.2005, 12:48   #21
Haui45
 
FileSubmit - Standard

FileSubmit



Die Haken so setzen, wie auf dem Bild dargestellt:

Alt 26.02.2005, 13:33   #22
Stefano
 
FileSubmit - Standard

FileSubmit



File C:\Programme\ArtMoney\Temp\adware.exe infected by "not-a-virus:AdWare.F1Organizer.h" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\*.*

File C:\WINDOWS\inst\3p_1.exe infected by "Trojan-Downloader.Win32.Agent.hw" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Und 44 weiter mit „Infected“ von dem Ordner File C:\System Volume Information

Alt 26.02.2005, 14:29   #23
Haui45
 
FileSubmit - Standard

FileSubmit



Zitat:
File C:\Programme\ArtMoney\Temp\adware.exe infected by "not-a-virus:AdWare.F1Organizer.h" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\inst\3p_1.exe infected by "Trojan-Downloader.Win32.Agent.hw" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
Manuell im abgesicherten Modus bei deaktivierter Systemwiederherstellung löschen!
Lies dazu auch mal das.

Alt 26.02.2005, 15:31   #24
Stefano
 
FileSubmit - Standard

FileSubmit



So habe das jetzt so gemach

File C:\Programme\ArtMoney\Temp\adware.exe infected by "not-a-virus:AdWare.F1Organizer.h" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\inst\3p_1.exe infected by "Trojan-Downloader.Win32.Agent.hw" Virus. Action Taken: No Action Taken.

die zwei habe ich gelöscht!

File C:\Programme\FileSubmit\I Love 69 Babes\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

die zwei konnte ich nicht mehr finden!
Aber ich bin mir sicher, das ich diesen Ordner gestern schon gelöscht habe, aber mich wundert es das diese immer noch angezeigt werden!

Antwort

Themen zu FileSubmit
antivirus, antwort, beste, besten, check, control, defender, detected, malicious, manuell, ordner, possible, programme, results, server.exe, service, software, taken, viruses, win, win32/beastdoor.207




Zum Thema FileSubmit - [QUOTE=Haui45]Unsere Diskussion musst du gar nicht beachten Die bekommst du so weg: Systemwiederherstellung deaktivieren-> Neustart-> Systemwiederherstellung aktivieren Den Rest manuell im abgesicherten Modus löschen. Nochmals Sypybot Ad-Aware und eScan laufen - FileSubmit...
Archiv
Du betrachtest: FileSubmit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.