Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: HEUR/VB.VBS Dropper Hilfe pls

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.08.2006, 16:42   #1
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



Hi liebe Trojanerbekämpfer xD
Ich brauch dringend eure Hilfe.
Ich mir nen bösen Trojaner besorgt.
Der war in einer gefakten Video Datei.
Also mit microjoiner gepacktes archiv und mit einem WinAmp symbol.
Bestens getarnt gewessen^^
Und zwar heißt der HEUR/VB.VBS Dropper
Wenn ich immer meinen pc starte verzerrt sich der Desktop dermaßen, dass Ich fast nichts mehr am PC machen kann.
Ich weiß leider nciht wie ich den Trojaner weg krieg.
Ich hoffe ihr könnt mir helfen.

Ich hab noch ein paar screens für euch :
1. So sieht mein Desktop aus wenn ich den PC starte.
h**p://img183.imageshack.us/my.php?image=desktopmt4.jpg
2. Virustotalscan vom Trojaner
h**p://img176.imageshack.us/my.php?image=virustotalscanqr4.jpg

mfg sunny

Alt 25.08.2006, 16:47   #2
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



Sry das wichtigste vergessen^^

Logfile of HijackThis v1.99.1
Scan saved at 16:45:55, on 25.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\phonostar\ps_timer.exe
C:\windows\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Real\RealOne Player\RealPlay.exe
C:\Programme\Opera\Opera.exe
C:\Programme\ICQ\ICQLite.exe
C:\Programme\Download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {6BC7A231-D0EB-4ED5-85FF-D2A345D5CBD3} - C:\WINDOWS\system32\rpcns432.dll
O2 - BHO: (no name) - {6F6D0431-D187-4F80-B683-F29E1D1A5B4D} - \
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [tune] C:\windows\tune.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [rzkw] C:\PROGRA~1\GEMEIN~1\rzkw\rzkwm.exe
O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120929407640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{326E0710-7B37-445B-BB12-C06F9D735268}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2luYSBIYW16YWx1ZmFyZA\command.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
__________________


Alt 25.08.2006, 17:08   #3
The Saint
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



Total verseucht!

O4 - HKCU\..\Run: [rzkw] C:\PROGRA~1\GEMEIN~1\rzkw\rzkwm.exe
O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe

Ziemlich böse rate zur Neuinstallation falls es zutrifft was ich vermute aber lass mal die obigen Dateien bei Jotti oder Virustotal prüfen.

poste uns bitte das Ergebniss
__________________

Alt 25.08.2006, 18:17   #4
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



hab ich mir schon gedacht.
ich werd die daten wie du schon sagtest mal prüfen
thx

Alt 25.08.2006, 18:27   #5
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



tja leider find ich die daten nicht
auch unter windows suche
irgentwie nciht da oder versteckt


Alt 25.08.2006, 18:34   #6
Yopie
Moderator, a.D.
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



Zitat:
Zitat von The Saint
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe
Laut Google Backdoor.Win32.Bifrose.d

Anleitung zum Entfernen siehe Signatur.

Gruß
Yopie

Alt 25.08.2006, 18:39   #7
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



thxxxxxxxxxxxxxxxxxxxx
wielange ich danach gesucht habe
was fürn ne erlösung

Alt 25.08.2006, 18:44   #8
Yopie
Moderator, a.D.
 
HEUR/VB.VBS Dropper Hilfe pls - Icon26

HEUR/VB.VBS Dropper Hilfe pls



Zitat:
Zitat von Sunnynew1
thxxxxxxxxxxxxxxxxxxxx
wielange ich danach gesucht habe
was fürn ne erlösung


Naja, ich glaube nicht, dass du dir die Anleitung schon angesehen hast. Es gibt aber keine andere sichere Möglichkeit.

Gruß
Yopie

Alt 25.08.2006, 18:49   #9
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



windoof neu drauf
das wollte ich eigentlich vermeiden aber wenns anders nicht geht^^
das wird wieder ein langes wochenende
erstmal direkt 100gb musik, video, programme sichern

Alt 25.08.2006, 18:54   #10
Yopie
Moderator, a.D.
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



Daten (Musik, Videos, Texte etc.) kannst du problemlos sichern, aber alles, was ausführbar ist (exe, com, etc....) ist potentiell kompromittiert. Aber die Programme dürften ja auch alle auf CD vorliegen.

Für die Zukunft empfiehlt es sich, mit ein Image der sauberen, frisch installierten und vollständig gepatchten Systempartition anzulegen. Dann ist das beim nächsten Fall nur ein Aufwand von wenigen Minuten...

Gruß
Yopie

Alt 25.08.2006, 19:00   #11
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



werd ich machen meister xD

damit die party am wochenende doch nicht drunter leiden muss
kannste mir nur noch zum schluss ein gutes image programm empfehlen?

Alt 25.08.2006, 19:05   #12
Yopie
Moderator, a.D.
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



True Image, ca. 45 Schleifen.

Oder kostenlos: Partimage auf der Knoppix-CD.
Anleitung: http://www.x-fish.org/proj_partimage00.html (nicht durchgelesen und getestet!)

Gruß
Yopie

Alt 25.08.2006, 19:09   #13
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



thx
werd mal direkt runterladen
mfg sunny

Alt 25.08.2006, 19:11   #14
Yopie
Moderator, a.D.
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



Aber hoffentlich nicht mit dem verseuchten Rechner!

Gruß
Yopie

Alt 25.08.2006, 19:19   #15
Sunnynew1
 
HEUR/VB.VBS Dropper Hilfe pls - Standard

HEUR/VB.VBS Dropper Hilfe pls



zum glück hab ich ja noch nen laptop xD
altes 800 mhz teil
aber das reicht erstmal
mfg sunny

P.S
warum gibt es eigentlich so viele kiddies die kein real life haben und trojaner basteln müssen?

Antwort

Themen zu HEUR/VB.VBS Dropper Hilfe pls
archiv, brauch, desktop, dringend, dropper, getarnt, hoffe, liebe, nciht, nichts, screens, starte, sunny, troja, verzerrt, video, virus, winamp



Ähnliche Themen: HEUR/VB.VBS Dropper Hilfe pls


  1. TR/Dropper.Gen, TR/Crypt.XPACK.Gen, HEUR/HTML. und diverse Trojaner bei AntiVir/Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (19)
  2. Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT
    Plagegeister aller Art und deren Bekämpfung - 17.09.2009 (7)
  3. Hilfe 6 mal: Gen:Adware.Heur.XXXXXXXXXX
    Antiviren-, Firewall- und andere Schutzprogramme - 11.08.2009 (1)
  4. Hilfe! 'HEUR/HTML.Malware' gefunden, was nun?
    Plagegeister aller Art und deren Bekämpfung - 08.08.2009 (3)
  5. Gen:Trojan.Heur. VIRUS Bitte um Hilfe/Entfernungstips, etc.
    Plagegeister aller Art und deren Bekämpfung - 22.07.2009 (1)
  6. EXP/ASF.GetCodec.Gen,HEUR/HTML.Malware,TR/Dropper.Gen,HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 10.04.2009 (17)
  7. HILFE!TR/Dropper.Gen
    Mülltonne - 01.12.2008 (0)
  8. Brauche HILFE - Mein Kaspersky meldet nichts, Antivir HEUR/Crypted
    Log-Analyse und Auswertung - 21.10.2008 (0)
  9. HEUR/HTML.Malware' [heuristic] HILFE !!
    Plagegeister aller Art und deren Bekämpfung - 05.09.2008 (6)
  10. HILFE! TR/Dropper.gen
    Plagegeister aller Art und deren Bekämpfung - 03.09.2008 (1)
  11. HILFE! TR/Dropper.gen
    Mülltonne - 03.09.2008 (0)
  12. SN4359887082.vbn HEUR/heur.Malware
    Plagegeister aller Art und deren Bekämpfung - 03.07.2008 (7)
  13. HEUR-DBLEXT/Worm.Gen - Bitte um Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 27.08.2007 (2)
  14. HEUR/Crypted entdeckt Bug? Fehlermeldung?Virus Brauch dringend Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 28.03.2007 (9)
  15. Heuristischer Treffer(HEUR-DBLEXT/Worm.Gen)den ich nicht löschen kann.Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 10.03.2007 (8)
  16. Dialer / HEUR/Malware Hilfe Nötig!
    Plagegeister aller Art und deren Bekämpfung - 29.12.2006 (5)
  17. HEUR-DBLEXT/Crypted...Virus? Brauche Hilfe
    Log-Analyse und Auswertung - 07.09.2006 (3)

Zum Thema HEUR/VB.VBS Dropper Hilfe pls - Hi liebe Trojanerbekämpfer xD Ich brauch dringend eure Hilfe. Ich mir nen bösen Trojaner besorgt. Der war in einer gefakten Video Datei. Also mit microjoiner gepacktes archiv und mit einem - HEUR/VB.VBS Dropper Hilfe pls...
Archiv
Du betrachtest: HEUR/VB.VBS Dropper Hilfe pls auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.