Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Heur/Malware

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.12.2006, 17:05   #1
Jazzyjazz
 
Heur/Malware - Standard

Heur/Malware



Vor kurzem hatte ich einen hartnäckigen Trojaner, aufgrunddessen setzte ich mein Betriebssystem Windows XP neu auf, der Trojaner war natürlich weg...
aber schon nach kurzem nun dies

Ich bekomme von Antivir ständig folgende Meldung:
Es handelt sich um einen heuristischen Treffer.
...enthält verdächtigen Code: Heur/Malware
zur Auswahl steht dann: in Quarantäne verschieben, Zugriff verweigern und Ignorieren...
in Quarantäne verschobene Melden sich ziemlich schnell wieder und häufen sich so in Unmengen!
Die Pfade sind entweder C:\Windows\System32\byxxxyy.dll
oder C:\Windows\System32\jkkhffe.dll
oder C:\Windows\System32\vtuspol.dll
wobei erstgenannter Pfad am häufigsten gemeldet wird.

Ich verwende nur Antivir und Spyware Doctor, die sich ja eigentlich nicht im Wege stehen dürften. Als Browser verwende ich Mozilla Firefox.

Ich bin weiblich, kein Computer-Profi aber auch kein Neuling...
ich wäre sehr dankbar, wenn mir jemand helfen könnte
vieleicht hat ja auch einer einen Tipp, was man nach Neuaufsetzen EINFACHES unternehmen kann, damit ich nicht ständig Probleme mit sowas habe...

Alt 29.12.2006, 17:39   #2
Surgeon99
 
Heur/Malware - Standard

Heur/Malware



Versuch doch mal, die erwähnten Dateien mit der "Killbox" zu löschen...das ist ein sehr machtvolles Tool, welches Du Dir aus dem Netz laden kannst...
__________________


Alt 29.12.2006, 17:41   #3
Jazzyjazz
 
Heur/Malware - Standard

Heur/Malware



Zitat:
Zitat von Surgeon99 Beitrag anzeigen
Versuch doch mal, die erwähnten Dateien mit der "Killbox" zu löschen...das ist ein sehr machtvolles Tool, welches Du Dir aus dem Netz laden kannst...

Danke für den ersten Hinweis, werde es versuchen...
__________________

Alt 29.12.2006, 18:06   #4
Jazzyjazz
 
Heur/Malware - Standard

Heur/Malware



Zitat:
Zitat von Jazzyjazz Beitrag anzeigen
Danke für den ersten Hinweis, werde es versuchen...
Habe mit Killbox über Standart File Kill versucht, einen betreffenden File zu löschen...aber es kommt die Meldung, dass dieser File nicht gelöscht werden kann.
Mache ich da was falsch?

Alt 29.12.2006, 18:26   #5
nochdigger
 
Heur/Malware - Standard

Heur/Malware



mOIn

lade die von dir genannten Dateien mal hier
Virustotal
oder hier
Jotti
hoch (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Du könntest bitte mal ein HijackThis log erstellen -->HijackThis
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge.

MFG


Alt 29.12.2006, 18:34   #6
mav1976
 
Heur/Malware - Standard

Heur/Malware



Moin,

wenn AntiVir einen heuristischen Treffer meldet, dann würde ich diesen doch zu allererst an Avira senden.

Sende die entsprechende(n) Datei(en) an heuristik2@avira.com. Gebe eine kurze Beschreibung der Situation und bitte um Rückantwort.
__________________
--> Heur/Malware

Alt 30.12.2006, 18:46   #7
Jazzyjazz
 
Heur/Malware - Standard

Heur/Malware



Zitat:
Zitat von nochdigger Beitrag anzeigen
mOIn

lade die von dir genannten Dateien mal hier
Virustotal
oder hier
Jotti
hoch (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Du könntest bitte mal ein HijackThis log erstellen -->HijackThis
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge.

MFG
Danke für deine Tipps.
Habe bei Virustotal die einzig auffindbare Datei (die auch am häufigsten von Antivir gemeldet wird) geladen...gefunden wurde nichts. (Leider habe ich den oberen Teil nicht festgehalten, wenn nötig kann ich nochmal laden)
heraus kam:
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

mit Hijack This log setze ich mich gleich mal auseinander....
Neuerdings sind 2 Dateien mit Endung .dll hinzu gekommen, aber am häufigsten meldet sich weiterhin die oben erwähnte.
Und nach einiger Zeit im Internet reagiert der Browser nicht mehr, nach Neustart vom Rechner wieder normal.

Geändert von Jazzyjazz (30.12.2006 um 19:02 Uhr)

Alt 30.12.2006, 19:03   #8
Jazzyjazz
 
Heur/Malware - Standard

Heur/Malware



Zitat:
Zitat von mav1976 Beitrag anzeigen
Moin,

wenn AntiVir einen heuristischen Treffer meldet, dann würde ich diesen doch zu allererst an Avira senden.

Sende die entsprechende(n) Datei(en) an heuristik2@avira.com. Gebe eine kurze Beschreibung der Situation und bitte um Rückantwort.
Danke für den Hinweis.
Bin ich natürlich auch schon drauf gekommen - aber unter Antivir klappt das senden dieser Dateien nicht...
wenn du noch einen Tipp hast, wie ich die als normale E-mail versenden kann...

Alt 30.12.2006, 19:28   #9
mav1976
 
Heur/Malware - Standard

Heur/Malware



Ähhh... ich habe Dir die Emailadresse gegeben. Bitte an diese die Files paßwortgeschützt hinsenden. Sorry mehr kann ich wirklich nicht tun.
__________________
Gruß mav

Alt 30.12.2006, 19:34   #10
Jazzyjazz
 
Heur/Malware - Standard

Heur/Malware



Zitat:
Zitat von nochdigger Beitrag anzeigen
mOIn

lade die von dir genannten Dateien mal hier
Virustotal
oder hier
Jotti
hoch (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Du könntest bitte mal ein HijackThis log erstellen -->HijackThis
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge.

MFG
Hier der HiJack This log

Logfile of HijackThis v1.99.1
Scan saved at 19:13:25, on 30.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\vcmon.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://glob**.ac**.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://glob**.ac**.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://glob**.ac**.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {499E2510-82A5-40A2-BF5E-4D375A4B48B1} - C:\WINDOWS\System32\byxxxyy.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D80B77B-6705-44E0-B761-0C8062426F2E}: NameServer = 213.191.92.86 213.191.74.18
O20 - Winlogon Notify: byxxxyy - C:\WINDOWS\SYSTEM32\byxxxyy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Remote Windows Services - Unknown owner - C:\WINDOWS\system32\vcmon.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Alt 30.12.2006, 19:40   #11
mav1976
 
Heur/Malware - Standard

Heur/Malware



Moin,

suche diese Datei hier im angegebenen Pfad --> C:\WINDOWS\System32\byxxxyy.dll <-- und packe diese in ein Archiv (WinZip, WinRar etc.). Versehe dies natürlich mit einem Paßwort und schicke es an --> heuristik2@avira.com <-- (einfach draufklicken) und warte ab.
__________________
Gruß mav

Alt 30.12.2006, 22:03   #12
Jazzyjazz
 
Heur/Malware - Standard

Heur/Malware



Zitat:
Zitat von mav1976 Beitrag anzeigen
Moin,

suche diese Datei hier im angegebenen Pfad --> C:\WINDOWS\System32\byxxxyy.dll <-- und packe diese in ein Archiv (WinZip, WinRar etc.). Versehe dies natürlich mit einem Paßwort und schicke es an --> heuristik2@avira.com <-- (einfach draufklicken) und warte ab.
Nochmals Danke.
Werde ich so wegschicken und abwarten...

Alt 30.12.2006, 22:16   #13
Surgeon99
 
Heur/Malware - Standard

Heur/Malware



Wenn Du das Problem gelöst hast, solltest Du Dein Betriebssystem auf den neuesten Stand bringen...(SP2)

Alt 31.12.2006, 07:11   #14
nochdigger
 
Heur/Malware - Standard

Heur/Malware



mOIn

@Jazzyjazz leider hast du neben Vundo (vmtl. da typische Einträge O2 und O20 im Log vorhanden) noch einen anderen sehr viel schlimmeren Gast im Haus und den wird man nicht einfach so los --> W32/Tilebot-HX
auch ist dein Betriebssystem nicht mehr aktuell
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
es fehlt dir das Servicepack 2 und ca. 140 Folgeupdates, so kann es auch nur eine Lösung geben folge dieser Anleitung zum Neuaufsetzen und anschließender Absicherung des Systems.
Nach der Neuinstallation des Rechners solltest du auch alle Passwörter ändern und bis dahin kein Ebay und Onlinebanking.

MFG

Alt 31.12.2006, 09:25   #15
Rodnox
 
Heur/Malware - Standard

Heur/Malware



Hallo Jazzy,

Zitat:
Ich bin weiblich...
Das sollte anundfürsich kein Problem darstellen *scnr*

Du schreibst, du hast dein System neu aufgesetzt und kurz danach bekamst du wieder eine Virenwarnung. Dazu habe ich drei Punkte:

* Viren benötigen Systemzugriff, daher ist es ein hoher Risikofaktor mit Administratorenrechten zum Internet zu verbinden. Das anlegen eines BEnutzerkontos nach Windowsstandart hilft hier schon. Unter diesem kann man auch im Netz "surfen" und eigentlich fast alles mit dem geliebten Rechengerät anstellen, was man als Vollbenutzer kann, außer eben installieren.
https://www.sicher-im-netz.de/partne...iches/fokus/18

* Desweiteren hat Microsoft eine recht eigenwillige Vorstellung von Service. Man behauptet, das wenn einem User alle möglichen Systemservice zur verfügung stehen, dies dem Benutzer die Handhabung leichter mache. Stimmt schon, dummerweise macht es auch den Zugriff zum System leichter. Daher gilt nach jedem System neuinstall, Dienste und Service abstellen, die nicht benötigt werden.
Dazu gibts ganz nette Programme wie Xpy oder NTSVCFG

* Wenn du diese beiden Regeln befolgst und dein SP2 noch aufspielst, dann kannst du deine Anti-Virus Programme allesmt löschen, denn tatsächlich sind diese häufiger der Grund für Malewarebefall, als das sie etwas verhindern oder bereinigen könnten. Es gibt keine Software, die Viren zuverlässig entfernen kann.

Antwort

Themen zu Heur/Malware
antivir, betriebssystem, browser, c:\windows, code, folge, folgende, handel, hartnäckigen, heur/malware, melden, meldung, mozilla, natürlich, neu, probleme, quara, quarantäne, schnell, spyware, spyware doctor, system32, trojaner, verdächtige, verschieben, windows, windows xp, zugriff



Ähnliche Themen: Heur/Malware


  1. email link Malware Funde Heur.PE@4294967295, Malware@#nwdk01o66rpro, Malware@#2x6qrvr63cjrw
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (10)
  2. AntiVir hat Malware gefunden; HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (3)
  3. Malware Trace, HEUR/HTML.Malware
    Log-Analyse und Auswertung - 02.12.2011 (30)
  4. werde Malware nicht los z.B. HEUR/HTML.Malware [heuristic
    Log-Analyse und Auswertung - 31.03.2010 (10)
  5. Malware Problem HEUR/HTML.Malware
    Log-Analyse und Auswertung - 29.03.2010 (1)
  6. HEUR/Malware?
    Plagegeister aller Art und deren Bekämpfung - 01.09.2009 (6)
  7. EXP/ASF.GetCodec.Gen,HEUR/HTML.Malware,TR/Dropper.Gen,HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 10.04.2009 (17)
  8. HEUR/Malware
    Plagegeister aller Art und deren Bekämpfung - 22.03.2009 (13)
  9. HEUR/malware
    Mülltonne - 10.11.2008 (0)
  10. heur/malware
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (3)
  11. heur/malware
    Mülltonne - 08.11.2008 (0)
  12. Spy Eraser findet Adware.CWS, Malware - Avira findet HEUR/HTML.Malware
    Log-Analyse und Auswertung - 20.10.2008 (1)
  13. SN4359887082.vbn HEUR/heur.Malware
    Plagegeister aller Art und deren Bekämpfung - 03.07.2008 (7)
  14. HEUR/Malware
    Log-Analyse und Auswertung - 18.04.2008 (10)
  15. HEUR/Malware
    Plagegeister aller Art und deren Bekämpfung - 15.01.2007 (3)
  16. HEUR/Malware
    Plagegeister aller Art und deren Bekämpfung - 13.12.2006 (2)
  17. Heur/Malware - was ist das?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2006 (8)

Zum Thema Heur/Malware - Vor kurzem hatte ich einen hartnäckigen Trojaner, aufgrunddessen setzte ich mein Betriebssystem Windows XP neu auf, der Trojaner war natürlich weg... aber schon nach kurzem nun dies Ich bekomme von - Heur/Malware...
Archiv
Du betrachtest: Heur/Malware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.