Hallo ich bin neu hier,
wg. einer Meldung vom IE "Runtime error" habe ich einen kompletten virenscan laufen lassen. Norton hat nichts gefunden, aber ad aware. Was gefunden wurde habe ich gelöscht. Danach habe ich kaspersky online scan laufen lassen - es wurde dann nur noch eine datei unter C:\winnt\update.exe als Virus gemeldet mit den Namen: Trojan-Spy.Win32.BZub.if
Kann ich diese Datei einfach löschen? Wie kann ich mir sicher sein, dass dann mein System clean ist?
Betriebsssystem ist windows 2000 professional auf NT Basis SP 4. Habe immer alle Windows Updates installiert.
Da ich kein pc-freak bin, hoffe ich, dass ich ohne das System neu aufsetzen zu müssen, hier eine Lösung finde.

Hallo,
wenn ich dich richtig verstehe, existiert die Datei update.exe noch?

Wenn ja, mach folgendes:
Geh zu Virustotal, gib in das Eingabefeld oben rechts auf der Seite exakt den folgenden Pfad ein:

Code: Alles auswählenAufklappen

ATTFilter

C:\winnt\update.exe
         

und lasse die Datei prüfen. Poste im Anschluss hier das komplette Scan-Ergebnis.
Außerdem erstelle ein HijackThis-Logfile und poste es hier. Eine Anleitung dazu gibt es hier in den Foren-FAQ. Benenne aber die Datei hijackthis.exe um in irgendwas.com, bevor du das Programm startest.

Hallo Franz,
hier das Scan-Ergebnis mit Virustotal:
STATUS: FINISHEDComplete scanning result of "update.exe", received in VirusTotal at 06.04.2007, 23:07:09 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.04.2007 no virus found
AntiVir 7.4.0.29 06.04.2007 HEUR/Malware
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.04.2007 no virus found
AVG 7.5.0.467 06.04.2007 PSW.Generic4.MQQ
BitDefender 7.2 06.04.2007 no virus found
CAT-QuickHeal 9.00 06.04.2007 no virus found
ClamAV devel-20070416 06.04.2007 no virus found
DrWeb 4.33 06.04.2007 no virus found
eSafe 7.0.15.0 06.04.2007 no virus found
eTrust-Vet 30.7.3690 06.04.2007 no virus found
Ewido 4.0 06.04.2007 Logger.BZub.if
FileAdvisor 1 06.04.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.04.2007 no virus found
F-Secure 6.70.13030.0 06.04.2007 Trojan-Spy.Win32.BZub.if
Ikarus T3.1.1.8 06.04.2007 Trojan-Spy.Win32.Goldun.lw
Kaspersky 4.0.2.24 06.04.2007 Trojan-Spy.Win32.BZub.if
McAfee 5045 06.04.2007 no virus found
Microsoft 1.2503 06.04.2007 no virus found
NOD32v2 2308 06.04.2007 no virus found
Norman 5.80.02 06.04.2007 W32/Malware
Panda 9.0.0.4 06.04.2007 no virus found
Prevx1 V2 06.04.2007 no virus found
Sophos 4.18.0 06.01.2007 Mal/Binder-C
Sunbelt 2.2.907.0 06.04.2007 no virus found
Symantec 10 06.04.2007 no virus found
TheHacker 6.1.6.129 06.04.2007 no virus found
VBA32 3.12.0 06.04.2007 no virus found
VirusBuster 4.3.23:9 06.04.2007 no virus found
Webwasher-Gateway 6.0.1 06.04.2007 Heuristic.Malware


Aditional Information
File size: 116440 bytes
MD5: ffeca53f4e3011f4d6641228a7558138
SHA1: 59f102e2d50590f272c0e0185fdc4cb06eeedfb9
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO- REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 116440 bytes.

[ Process/window information ]
* Modifies other process memory.
* Modifies execution flow of a remote process.


und hier der HiJackThis-Logfile:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Zitat:

Zitat von GUA:
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Also nochmal bitte.

Da es sich offenbar um Malware handelt, die Zugangsdaten stiehlt, solltest du bis auf Weiteres kein Online-Banking oder ähnlich sensible Anwendungen betreiben. Wenn du die Möglichkeit dazu hast, ändere diese Zugangsdaten schon jetzt von einem sauberen System aus.

Hallo Franz,
sorry, habe jetzt m.E. alles editiert.
Hier der HiJackThis-Logfile:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:57:04, on 04.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000301\aida\aida.exe
C:\DATEV\PROGRAMM\B0000301\MP\MP.exe
C:\DATEV\PROGRAMM\B0000301\NF\NF.exe
C:\DATEV\PROGRAMM\B0000000\RZNRDAEM\rznrdaem.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\WINNT\system32\lexpps.exe
C:\WINNT\system32\internat.exe
C:\WINNT\SYSTEM32\RZPJWTCH.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [DATEV Updateservice] "C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [LexPPS.exe] C:\WINNT\system32\lexpps.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RZPJWTCH.LNK = C:\WINNT\SYSTEM32\RZPJWTCH.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://w*w.freenet.de/
O18 - Protocol: haufereader - (no CLSID) - (no file)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: DATEV DFÜ-System Dienst (Dcmanag) - DATEV eG - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Unknown owner - C:\Programme\HP\e-DiagTools\Service.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 6617 bytes

Ich hoffe ich habe alles richtig gemacht. Werde vom anderen System meine Zugangsdaten ändern.
Viele Grüße Jessi

Geht es hier um einen Firmen-Rechner?
Wenn ja, muss ich dich an deinen Administrator verweisen.

Hallo Franz,

es handelt sich hier nicht um einen Firmenrechner. Ich schreibe hier als Privatperson. Ich bin selbständig und benutze den Rechner natürlich zuhause auch für meinen Schriftverkehr o.ä.
Viele Grüße Jessi

Hast du HijackThis im abgesicherten Modus ausgeführt?
Im Logfile heißt es zwar:

Zitat:

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

aber ich verstehe nicht, warum so wenige Systemprozesse zu laufen scheinen.

Noch etwas: Das

Zitat:

IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO- REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)

solltest du meiner Ansicht nach befolgen.

Ansonsten muss ich erst mal überlegen; denn in deinem Logfile fehlen Einträge, die ich erwartet hatte.

Bis dahin lade dir schon einmal Silentrunners, starte es und poste das Logfile.

Hallo,
es ist weniger, ob du uns privat schreibst oder geschäftlich ,das Problem...
Das hier :

Zitat:

C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000301\aida\aida.exe
C:\DATEV\PROGRAMM\B0000301\MP\MP.exe
C:\DATEV\PROGRAMM\B0000301\NF\NF.exe
C:\DATEV\PROGRAMM\B0000000\RZNRDAEM\rznrdaem.exe

ist professionelle Software,die es nicht mal eben so gibt....
Hier ist es so : private User helfen privaten Usern

Da du mit deiner Kiste Geld verdienst,fällst du aus dem privaten Raster....
Wende dich an jemand ,der mit der Reperatur von Computern ebenfalls Geld verdient......
Irrlicht

Hallo,

der Lizenzvertrag mit Datev besteht seit 2006 nicht mehr - aber anyway. Ich versuche dann an anderer Stelle Hilfe zu bekommen.
Vielen Dank
Gruß Jessi