Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Worm Virkel.a

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.05.2006, 17:27   #1
millers
 
Worm Virkel.a - Standard

Worm Virkel.a



Hallo zusammen,

nachdem mir google bei meinem Problem nicht weiterhelfen konnte hoffe ich dass mir hier jemand helfen kann.

Vor ca. 1 Woche hatte ich ein paar Probleme mit meinem PC. Manche Programme wurden einfach geschlossen oder mein PC ist komplett ausgegangen.

Als ich meinen Virenscanner AntiVir den PC überprüfen lies ist der PC nach einer gewissen Zeit einfach ausgegangen.
Dann habe ich es mit einem Online Virenscan (TrendMicro HouseCall) probiert. Dieser hat dann HKTL_EVID.A gefunden was ein Teil des Wurms VIRKEL.A (Alias: Backdoor.Win32.Virkel.A, Trojan.Win32.VB.aem, W32/Virkel.A) ist. Einen Pfad hat der Virenscanner leider nicht angegeben.

Auf dieser Seite wird der Wurm ausführlich beschrieben, leider geben sie dort aber keine Hinweise wie man ihn los wird bzw. ich weiß nichts damit anzufangen: http://www.avira.com/de/threats/section/fulldetails/id_vir/1410/bds_virkel.a.html

Ich habe ihn natürlich gelöscht und die nächsten Tage regelmäßig Antiv und HouseCall meinen PC überprüfen lassen.
Seit gestern schaltet sich der PC wieder automatisch aus nachdem AntiVir eine Zeit lang läuft, bei dem Onlinescan HouseCall habe ich das gleiche Problem.
Da es sich um die gleichen Probleme wie vor einer Woche handelt, denke ich es wird sich wieder um den gleichen Wurm handeln.

Leider habe ich nicht die geringste Ahnung wie ich weiter verfahren soll und auch auf eurer Seite habe ich nichts zu dem Wurm gefunden.

Ich habe mal HijackThis laufen lassen (auch wenn ich mir nicht sicher bin ob es in diesem Fall sinnvoll ist).
Hier das Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 17:36:05, on 12.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121512839437
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.kochmesser.de/scan/Msie/bitdefender.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe



Es wäre sehr nett wenn mir jemand helfen kann.

Vielen Dank.

millers

Alt 12.05.2006, 17:32   #2
Sunny
Administrator
> Competence Manager
 

Worm Virkel.a - Standard

Worm Virkel.a



Zitat:
Zitat von millers
..Auf dieser Seite wird der Wurm ausführlich beschrieben, leider geben sie dort aber keine Hinweise wie man ihn los wird..
Du wirst auf der Seite deshalb nichts gefunden haben da es sich bei dem Fund um einen Backdoor Trojaner handelt. Um den Trojaner mit Sicherheit entfernen zu können lege ich dir in diesem Fall nur eine Neuinstallation ans Herz..zumal dir auch noch das Service Pack2 fehlt!
Dein Log zeigt imho zwar keinen "momentanen" Befall dennoch würde ich das System neu aufspielen. Alles andere wäre nur "rumfrickelei".. (zumal TrendMicro recht zuverlässig ist!)


Gruß
Daniel
__________________

__________________

Geändert von [Gc]Sunny (12.05.2006 um 17:40 Uhr)

Alt 12.05.2006, 17:45   #3
millers
 
Worm Virkel.a - Standard

Worm Virkel.a



Och nööö...

Kann ich denn vorher eine Datensicherung machen?
Oder speicher ich dann den Wurm mit und wenn ich nachher die Daten wieder auf den PC spiele ist der Trojaner wieder drauf?

Ich weiß nicht wo der Trojaner gespeichert ist.
Kann man das irgendwie herausfinden?

Was bedeutet denn "rumfrickelei"?
Meinst du dass es viel Arbeit ist oder dass ich ihn so nicht wirklich los bekomme?

P.S. Vielen Dank für die schnelle Antwort!
__________________

Alt 12.05.2006, 17:55   #4
Sunny
Administrator
> Competence Manager
 

Worm Virkel.a - Standard

Worm Virkel.a



rumfrickelei = zuviel daran rum-spielen/experimentieren!
Wo der Trojaner nun wirklich sitzt weiß einzig und alleine nur der Coder(Programierer)! Du kannst natürlich deine "privaten" Sachen mitnehmen! Wie Briefdokumente, Bilder, Filme, Musik etc. , alles nur keine ausführbaren Datein! Man weiß nie genau wo und was der Trojaner alles schon angestellt hat!
Hier der LINK zum sicheren Neuaufsetzen..
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 12.05.2006, 18:22   #5
millers
 
Worm Virkel.a - Standard

Worm Virkel.a



Alles klar.
Vielen Dank!!!

Zwei Fragen hätte ich noch.

Kann ich davon ausgehen das der Hacker schon auf meinem System ist und meine Daten ausgelesen hat?
Wenn der PC einfach ausgeht, ist das ein Zeichen dafür das der Hacker am Werk ist (hat er grade den Befehl gegeben?) oder macht das der Wurm von alleine?

In der Beschreibung des Wurms habe ich gelesen dass er sich über Massenger verbreitet. Sind damit alle Massenger Programme gemeint?
Ich nutze Skype. Kann er daher kommen?
Könnte ich meine Freunde, mit denen ich über Skype kommuniziere, von mir infiziert worden sein?
Was muss ich beachten damit ich den Wurm nicht wieder bekomme? Bin eigentlich ein vorsichtiger Surfer und auch meine Programme sind nach "gutem Gewissen" gesichert (die Sicherheitseinstellungen die ich kenne aktiviere ich auch).


O.K., sind mehr als zwei Fragen. Würde mich aber über eine Antwort trotzdem sehr freuen.

Ich lese mich jetzt mal durch deinen Link.


Antwort

Themen zu Worm Virkel.a
antivir, avg, bho, computer, defender, escan, excel, explorer, f-secure, firefox, google, handel, helper, hijack, hijackthis, internet, internet explorer, microsoft, mozilla, mozilla firefox, nicht sicher, nvidia, problem, programme, scan, software, system, windows, windows xp



Ähnliche Themen: Worm Virkel.a


  1. AVG AV 2013 meldet Worm/VB.DYC, Worm/VB.DYA, Trojaner: Dropper.Generic.TEL im Verzeichniss \\WUALA_BY_LACIE\...\RECYCLED\...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  2. WORM/Kido.IX und WORM/Confick.164228 auf externer Festplatte
    Log-Analyse und Auswertung - 03.06.2012 (16)
  3. Virusbefall Worm/Downadup, Worm/Generic_c.ZS, Verbeitung mit autorun.inf auf Wechselmedien
    Log-Analyse und Auswertung - 28.06.2011 (44)
  4. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  5. Worm/VB.GD.9
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (1)
  6. Worm.Zimuse.A / Worm.Zimuse.Gen entfernen
    Anleitungen, FAQs & Links - 06.02.2010 (2)
  7. WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (16)
  8. Worm/TRL.A
    Antiviren-, Firewall- und andere Schutzprogramme - 04.02.2009 (7)
  9. WORM/Autorun.tca und WORM/TRL.A
    Log-Analyse und Auswertung - 04.12.2008 (0)
  10. Wurmbefall Worm ICRBot 54784.12 oder W32/WHIPSER-B WORM
    Log-Analyse und Auswertung - 22.06.2008 (7)
  11. worm vs. worm beschimpfungen
    Diskussionsforum - 26.03.2008 (2)
  12. netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  13. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  14. Worm/Rbot-AEu & Worm/Rbot-AFC Hilfe
    Mülltonne - 12.10.2005 (1)
  15. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  16. Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (12)
  17. W32/Slanper.worm und W32/Warpi.worm.gen
    Plagegeister aller Art und deren Bekämpfung - 27.07.2003 (6)

Zum Thema Worm Virkel.a - Hallo zusammen, nachdem mir google bei meinem Problem nicht weiterhelfen konnte hoffe ich dass mir hier jemand helfen kann. Vor ca. 1 Woche hatte ich ein paar Probleme mit meinem - Worm Virkel.a...
Archiv
Du betrachtest: Worm Virkel.a auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.