ein freundliches hallo.
ich habe eine frage und zwar hat a-squared Free den Trojan.Win32.Patched.ad gefunden. bei google fange ich nix.und jotti.org hat auch nix gefunden also fehl alarm?
oder gibts den wirklich?
der pfand bei den virus handelt sich um

C:/WINDOWS\Servicepackfiles\i386\tcpip.sys / Trojan.Win32.Patched.ad

und

C:\WINDOWS\$NtUninstallkb913446$\tcpip.sys / Trojan.Win32.Patched.ad

was soll ich jetzt tun ?

habe sie in der Quarantäne

Hallo


Ich würde dir empfehlen, erst einmal ein HJT - Logfile zu erstellen und hierhin zu posten


[ Anleitung siehe Signatur ]

ok ich hoffe es ist richtig.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:39, on 30.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\****\ Ordner\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe


--
bin jetzt mehrmals durchgegangen ich hoffe ich habe nix falsches gemacht.
danke für deine antwort und hilfe ;- )
End of file - 2805 bytes

Hm....

Willst du mal einen E - Scan machen? E - Scan - Anleitung Evtl. kann es sein das du einen Trojaner auf deinem System hast, ob es nun dieser von dir genannte ist, weiß ich nicht aber wenn du die Anleitung wie in dem Link angegeben befolgst und eben auch wie angegeben das Ergebniss des Reports postest, dann kann ich dir das alles genau sagen



LG, Terayaki

habe ich mal gemacht der hat angeblich moveex.exe gefunden und den myweb so. so langsam wird mein windows immer weniger bei manchen seiten wird das service pack 2 gar nicht angezeigt.
kann man das einfach drüber insterlieren? das service pack 2?
oder geht das schief?
ich mache nacher gegen abend nochmal ein escan und poste den hier das ergibniss ok? ich hoffe du bist noch online

Wie meinst du, dass bei manchen Seiten das SP2 nicht mehr angezeigt wird?

Nun, ob ich da noch online bin, weiß ich nicht aber hier sind noch genug andere, die, wenn du den Report gepostet hast, dir helfen können



LG

sory ich und meine rätsels.
also bei manchen seiten wie microsoft zeigt er nicht an das ich service pack 2 habe.
naja ich habe rausgefunden das ich ein remote loch habe toll das kamm von trend micro der hat einfach eine service pack 2 datei gelöscht und es stellte sich raus es war ein fehl alarm war und das ohne backup super und darum frage ich ob ich das service pack 2 einfach drüber insterlieren kann.
den ich hatte schon seit jahren keine viren.
das wärste das erstemal.
so nacher ein escan das bin ich wohl schuldig.

So hier ist der E-scan log

find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
H:\*****\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27034-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702e-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27031-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27033-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702d-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (%systemdir%\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (%windir%\icons)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (%systemdir%\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\WINDOWS\icons
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 43638
Gefundene Viren: 10
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 86
Dauer des Scans bisher: 00:30:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Ich hoffe es ist so richtig.

vielen dank der mir hier hilft.

Hallo nochmal,

So also du hast da ein wenig Adware und ggf. Malware drauf. Nun, lasse doch bitte mal die Drei Dateien bei Virustotal auswerten und poste das gesammte Ergebniss:

Zitat:

C:\WINDOWS\system32\Swsc.exe
C:\WINDOWS\system32\Swreg.exe
C:\WINDOWS\system32\Unrar.dll

Dann kannst du einmal versuchen die Datei:

Zitat:

C:\WINDOWS\system32\gdiplus

über die Killbox zu löschen.

Und letztendlich dann noch mit diesem tool hier; Blacklight einen Scan durchführen und evtl. Funde löschen.

Wie gesagt die obig genannten Dateien bei Virustotal auswerten lassen und das gesammte Ergebniss aller Drei hierher posten.



LG

Hi,
die tcpip.sys ist ein Windowsprozess. Zu sehen zb hier: Windows XP file forum

Die Orte an denen sie bei dir gefundenen werden, ist 1) der Ordner in dem Windows Sicherungen seiner Updates einspielt und 2) Ordner in dem Deinstallationsinformationenen aufbewahrt.
Die tcpip.sys hat nach dem SP2 zu Problemen geführt und wurde in einem der nachfolgenden Patches erneuert. Deswegen gibt es die beiden Einträge.

Ich würde dich allerdings bitten, die Datei gdiplus.dll nicht einfach zu löschen, sondern auch erstmal bei virustotal auswerten zu lassen. Es handelt sich wahrscheinlich um einen Fehlalarm, die Datei dürfte zu Framwork.net gehören.

lg myrtille

erstmal wieder hallo.
Hier mein Bericht:

ich habe im abgesicherten modus gescannt und eine nullbyte spywer gefunden all die wie zum beispiel mybugfreepc habe ich in der regestrierungts daten bank entfernt (mit backup ) .

die dateien

C:\WINDOWS\system32\Swsc.exe
C:\WINDOWS\system32\Swreg.exe
C:\WINDOWS\system32\Unrar.dll

Habe ich Auswerten Lassen Bei virusscan.jotti.

er hat gesagt eventuell malwer weil das angebliche Programm Gepackt ist.
Seien sie Vorsichtig!!!

Ich habe diesse Dateien in eine Natürlich in einer Quarantäne.
bevor ich diesse lösche den mein service pack 2 ist ja auch schon zerschossen. wegen trendmicro.

also ich habe ein erneueren scan gemacht und auser diessen Nullbyte spywe findet er nix.

was mir auch wundert auf einmal findet a-squared Free Diesen trojaner obwohl in den letzen tagen das nicht getan hat.
und ich mache so gut immer ein regelmässigen scan und da fand er nix. nur seit den update ich schätze es ist ein fehl alarm.
und mein windows wird immer weniger....
also soll ich die datei zurück legen? windows hat noch nicht gemeckert deswegen?
und wie kriege ich die Nullbyt spywer weg?
danke

Ja klar, gdiplus löschen, neiin Mein Fehler sry. ich habe etwas verwechselt. Sowas Nun aber sonst stimmts soweit

also die kannsen lasse ich jetzt löschen ?!?
und was ist mit der Nulbyte spywer?
und service pack 2 nochmal neu und drüber insterlieren?

Die Dateien brauchst du nicht löschen, das sind "normale" Dateien, gehören wie gesagt unter Anderem zu Smitfraudfix.

Wie sollen wir dir denn bei deiner nullbytesache helfen, wenn wir noch nicht mal mehr wissen, wo die gefunden worden ist?

Wieso hat Trendmicro dir SP2 zerschoßen? Wie hat es das getan?

Aber wenn du den Rechner Neuaufsetzen willst, dann kannst du auch gerne Systemdateien löschen, bis der Rechner nur noch abstürzt...

Moment !!

Wir Müssen wohl erstmal sammeln ^.^

Also ich hatte mal früher mal trend micro aus probiert , der hat angeblich ein trojaner in der services pack files gefunden , das war aber ein fehl alarm wie sich das im forum raus stellte troztem war die datei weg den sie wurde als extrem gefährlich be-urteilt.
super die datei ist weg naja.
und darum würde es mir intresieren ob man das service pack 2 einfach drüber insterlieren kann den ich habe ein remote loch deswegen.
und die reparatur gibts nicht.
bei deiner nullbytesache helfen, wenn wir noch nicht mal mehr wissen,/ ja sory ich habe selbts den pfand nicht gefunden.

ich behalte den die dateien erstmal da wo die sind im moment ist ja die lage ruhig