Hallo,
ich habe mir - wahrscheinlich über eine Onlinepoker-Software - einen Trojaner eingefangen und dazu folgende Info gefunden:

Troj/Lineag-AEC ist ein Kennwort-stehlender Trojaner für die Windows-Plattform.

Troj/Lineag-AEC enthält Funktionalität, um Benachrichtigungen an remote Speicherorte zu senden.

Wenn er zum ersten Mal ausgeführt wird, kopiert sich Troj/Lineag-AEC nach <Windows-Ordner>\Config\svhost32.exe und erstellt die Datei <Windows-Systemordner>\dllf.dll. dllf.dll wird auch erkannt als Troj/Lineag-AEC.

Der folgende Registrierungseintrag wird erstellt, damit svhost32.exe beim Start ausgeführt wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
fzg
<Windows-Ordner>\Config\svhost32.exe



Aber wo finde ich diesen Reg.-Eintrag innerhalb der Registry und wie lösche ich ihn dann, einfach markieren und über re Maus?



Danke,

Hallo,

poste bitte ein Hijackthis-Logfile.

dartus

Hallo,
der Virenscanner hat die betroffenen Dateien bereits in Quarantäne geschickt. Macht das jetzt noch Sinn?

Aber was es ist und was zu tun ist, steht doch ohnehin bereits fest (der Auszug ist von Sophos).

In der Registry war nix.
Seltsamerweise hat der Scanner jetzt einen neuen Virus gefunden, zu dem selbst Google nichts findet:
Generic.PWStealer.B42C8873
Ein Mal in einer Volume/restore-Datei und ein Mal in einem Plugin zu IrvanView (? schon länger nichts mehr in der Richtung getan).

Logfile of HijackThis v1.99.1
Scan saved at 21:41:56, on 26.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Nhksrv.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxx://www.symantec.com/techsupp/oem
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - Global Startup: cleanup.lnk = C:\cleanup.cmd
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - hxxx://-Web.Washer-/ie_add
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxx://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095676347796
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Ist da was Verdächtiges dabei, kann das jemand interpretieren?

Hallo,

suche die Datei (bzw. den Trojaner!) im Quarantäne-Verzeichnis deines Virenscanners, und lass die Datei (egal wie sie heisst!) hier auswerten -> Virustotal
Poste anschliessend das Ergebnis, markieren, kopieren und in einen Beitrag einfügen.

Anschliessend einmal die Systemwiederherstellung deaktivieren -> so wirds gemacht
Rechner neu starten (STW kann wieder aktiviert werden.)

Zusätzlich solltest du dir das Service Pack 2 einspielen, sonst kriegst du eventuell noch mehr Probleme, zumal die Sicherheitsupdates viele Lücken schliessen!

Gruß
Sunny

Hallo,
leichter gesagt als getan, ich finde die Dateien(Virus) weder im Verzeichnis-Pfad des Scanners noch über die Windows-Suche.
Auch die Quarantäne-Datei finde ich nicht. Ich habe keinen Ordner gefunden, der es dem Namen nach sein könnte.

Die Hilfe des Scanners (AVK 12) sagt:
Die Quarantäne ist ein geschützter Bereich innerhalb des AVK, in dem infizierte Dateien verschlüsselt gespeichert werden und auf diese Weise den Virus nicht mehr an andere Dateien weitergeben können.

Offenbar schützt diese Verschlüsselung auch vor dem Auffinden.

Aber irgendwie muss das doch gehen!?

Das Protokoll hilft auch nichts:

Virenprüfung mit AntiVirenKit
Version 15.0.5
Virensignaturen vom 26.08.2006
Startzeit: 26.08.2006 16:29
Engine(s): KAV-Engine (AVK 16.9373), BD-Engine (BD 16.5562)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: EMail.dll
Pfad: C:\Programme\IrfanView\Plugins
Status: Datei in Quarantäne verschoben
Virus: DeepScan:Generic.PWStealer.B42C8873 (BD-Engine)
Objekt: A0015384.dll
Pfad: C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP43
Status: Datei in Quarantäne verschoben
Virus: DeepScan:Generic.PWStealer.B42C8873 (BD-Engine)
Analyse vollständig durchgeführt: 26.08.2006 17:52
52029 Dateien überprüft
2 infizierte Dateien gefunden
0 verdächtige Dateien gefunden

Hallo zusammen,

bin neu hier. Habe seit Samstag ebenfalls diesen Virus-PWSTEALER.3BB4D75.

Bei mir lief es so ab:

1. PC hochgefahren am Samstag 26.08.2006
2. System gescannt mit Virensignaturen von Freitag den 25.08.2006 - PC ist VIRENFREI

danach

keine surfen oder sonstige Aktivitäten im Internet, keine E-Mailabfrage:

unmittelbar nach dem o.g. Scan

3. Aktualisierung der Virendefinitionen am Samstag morgen ca. 7:00 Uhr

4. erneuter Systemscan mit den neuen Virensignaturen am 28.06.2009 ca. 7:30 Uhr
5. Virenfund in IrfanView/ Plugin

Was ist das nun?

Hallo, habe schon seit wochen mit folgenden Problem zu kämpfen...Vielleicht kann mir jemand helfen...Habe schon einige ähnliche Probleme gelesen, bin aber zu keiner Lösung gekommen....

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3349
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

12.12.2009 14:48:59
mbam-log-2009-12-12 (14-48-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98215
Laufzeit: 3 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Temp\xqvi.tmp\svchost.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Windows\System32\MSVolume.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.