Hallo!

Mein Antivirusprogramm hat den Virus "Win32/Henky.Tanzen gefunden. Leider kann ich ihn nicht mit meinem Antivir-Programm entfernen, er ist nach jedem Löschversuch wieder da. Habe auch die Systemwiederherstellung deaktiviert und das Virusprogramm nochmal im abgesicherten Modus durchgezogen, doch gleich nach dem Neustart war er wieder da.

Was kann ich da machen?? Gibt es irgendeine Möglichkeit, das Ding endgültig loszuwerden, außer das System wieder neu zu installieren?

Guten Abend,

Tanzen ist ja eigentlich gar nicht so schlecht.
Aber mal zur Sache: Poste bitte die vollständige Meldung des AntiViren-Programmes sowie Informationen über das von Dir verwendete Betriebssystem.

Hallo,

also, mein Betriebssystem ist Windows XP Professional SP 2.

Mein Antivirusprogramm meldet: Auf Ihrem PC wurde gefunden:

C:\WINDOWS\rdrive\bku.exe enthält Signatur des Windows-Virus:

W32/Henky.Tanzen

Wenn ich dann Löschen anklicke, kommt eine Fehlermeldung:

C:\WINDOWS\rdrive\bku.exe konnte nicht gefunden werden.

Es scheint auch meinen PC ziemlich lahmzulegen, kann nicht mehr richtig surfen...

Zitat:

Zitat von Lilly123

Es scheint auch meinen PC ziemlich lahmzulegen, kann nicht mehr richtig surfen...

Das allerdings wäre jetzt meine geringste Sorge. Und zwar aufgrund der Eigenschaften dieses Schädlings:

TROJ_AGENT.EDR - Description and solution

Steht Dir ein Zweit-PC zur Verfügung, mit dem Du ins Internet gehen könntest?

Ich hab nur diesen PC.
Hab auch erst vor einer Woche den ganzen PC neu installieren müssen wegen einem anderen Virus. Trotz ZoneAlarm und Antivirusprogramm hab ich mir jetzt schon wieder sowas eingefangen...

Gibt es auch eine deutsche Anleitung, um diesen Virus wegzubekommen?

Vielen Dank für eure Hilfe!

Zitat:

Zitat von Lilly123

Ich hab nur diesen PC.
Hab auch erst vor einer Woche den ganzen PC neu installieren müssen wegen einem anderen Virus. Trotz ZoneAlarm und Antivirusprogramm hab ich mir jetzt schon wieder sowas eingefangen...

Ich dreh's mal um: Wegen des Sich-Verlassens auf Programme, die nicht hinreichend vor Malware zu schützen vermögen, ist es zu der Infektion gekommen. Daher gleich einmal deutlich: Es müssen andere Schutzmaßnahmen getroffen werden, die von Dir verwendeten sind völlig unzureichend. Ich sage es deswegen so deutlich, um Dir weitere zukünftige Infektionen und die damit verbundenen Umstände zu ersparen - ich denke, das ist auch in Deinem Interesse.

Mehr dazu ggf. gleich noch.

Zitat:

Gibt es auch eine deutsche Anleitung, um diesen Virus wegzubekommen?

Nur ein Versuch der Erstmaßnahme (bitte danach das System nicht als sauber oder das Problem als "gelöst" betrachten!):

Lade Dir HijackThis:
HijackThis - bebilderte Anleitung

Öffne HijackThis bzw. starte das Programm, doch anstatt einen Systemscan durchzuführen, klick auf "Opfen the Misc Tools section". Wähle sodann im Bereich "System tools" -> "Open process manager". Such in der Auflistung nach dem Prozess C:\WINDOWS\rdrive\bku.exe, markiere ihn durch einfachen Linksklick und wähle "Kill process". Bestätige die Abfrage mit "Ja".

Such anschließend die Seite http://www.virustotal.com/ auf und prüf dort die Datei C:\WINDOWS\rdrive\bku.exe. Warte das Scanende ab, und poste anschließend die vollständige Ergebnisliste.

Zitat:

Zitat von Lilly123

Trotz ZoneAlarm und Antivirusprogramm hab ich mir jetzt schon wieder sowas eingefangen...

Gibt es auch eine deutsche Anleitung, um diesen Virus wegzubekommen?

Vielen Dank für eure Hilfe!

jetzt hat es auch meinen Rechner erwischt,
kann mir bitte einer von euch helfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:43:41, on 01.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\svshost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe
c:\programme\gemeinsame dateien\vidicom\vcmserver.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Gemeinsame Dateien\AOL\1185903638\ee\aolsoftware.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\THOMAS~1.COM\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C887F20-946C-4B2C-9592-58AAACB0EF1F} - (no file)
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {733DD360-2CE2-4A97-88D1-E4EDC1A60767} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: H - {A5D506DF-EF88-44db-917C-E56FF9E2A4FD} - C:\WINDOWS\System32\sours.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\gilsoh.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1185903638\ee\AOLSoftware.exe
O4 - HKCU\..\Run: [xset] C:\WINDOWS\System32\xset\chdicg.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://vxiframe.biz//adverts//013//targ.chm::/win32.exe
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.212/counter/new/x.chm::/update.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-36.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {BBCACFA8-B901-451E-A606-0FE678814967} (control to view directory & upload images) - http://www.uboot.com/h/int/applet/photo_activex/PhotoUploader.CAB
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4861/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{667B9295-519B-4A03-A033-A485B15B49FF}: NameServer = 213.191.92.87 213.191.74.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D815EB7-B85B-4691-8105-0BC8C80D76D5}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{8066DDA4-E041-4615-A40B-E4395DFB3397}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{81CBFD9B-8CCA-40F4-BE60-3D9E7EC2AA94}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter hijack: text/html - {80333139-1185-4F6E-BE5C-D32ACE617348} - (no file)
O18 - Filter: text/plain - {80333139-1185-4F6E-BE5C-D32ACE617348} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: gbrftrdkr v0pwj9uywmm - Unknown owner - C:\WINDOWS\system32\svshost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: vidicom Server - vidicom GmbH - c:\programme\gemeinsame dateien\vidicom\vcmserver.exe

--
End of file - 9480 bytes