Mein Antivir hat TR/Patched.BD.130 gefunden und kann nicht löschen
mit HiJackThis habe ich auch versucht


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FlashGet\FlashGet.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\calc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Flashget] "C:\Programme\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [POCO] "C:\Programme\Poco2007\poco_tools.exe" -p POCO
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.exe.lnk = C:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200760148157
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200760471264
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 8632 bytes

Hi,
poste bitte den genauen Pfad der bemängelten Datei!
Reicher außerdem die ersten 4 Zeilen des Hijackthislogs nach!

lg myrtille

Antivir Bericht


Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\sens.dll
[FUND] Ist das Trojanische Pferd TR/Patched.BD.130
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{F9ACADB1-7995-4919-9C48-AA9610A422B9}\RP43\A0005925.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Hi,

wie stehts mit dem Kopf von Hijackthis? Ich brauch die Version von HijackThis und welches Betriebssystem du nutzt

Lade bitte die Datei:

Zitat:

C:\WINDOWS\system32\sens.dll

bei virustotal hoch und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).
lg myrtille

Habe XP Home

Datei sens.dll empfangen 2008.05.18 21:59:54 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.18 -
AntiVir 7.8.0.19 2008.05.18 TR/Patched.BD.130
Authentium 5.1.0.4 2008.05.17 -
Avast 4.8.1195.0 2008.05.18 Win32:Patched-FF
AVG 7.5.0.516 2008.05.18 -
BitDefender 7.2 2008.05.18 Trojan.Patched.BD
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.18 -
DrWeb 4.44.0.09170 2008.05.17 -
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.18 -
Fortinet 3.14.0.0 2008.05.18 -
GData 2.0.7306.1023 2008.05.18 Win32:Patched-FF
Ikarus T3.1.1.26.0 2008.05.18 Trojan.Patched.BD
Kaspersky 7.0.0.125 2008.05.18 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3106 2008.05.16 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.18 -
Prevx1 V2 2008.05.18 -
Rising 20.44.62.00 2008.05.18 Trojan.Win32.Patch.d
Sophos 4.29.0 2008.05.18 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.18 -
TheHacker 6.2.92.312 2008.05.18 -
VBA32 3.12.6.6 2008.05.17 -
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.18 Trojan.Patched.BD.130
weitere Informationen
File size: 38912 bytes
MD5...: 08ed907d419b1587b6c830c42956bbe7
SHA1..: 23f190540e8fb6fee0a580c3bd009e1874cfcdb7
SHA256: 0084e1142d2b46fe5450d63c7f9c31d3fffddbb3e403d9b7817e83dd64712792
SHA512: 6fe15e35cca47252197df87ca1d04c43fd41242b52cd62557596afcf2e832334<br>ecaddf2cb381a06fed52d06a419a6ad2d05b9679ce7516816fc6754e6a3123fc
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x722612a3<br>timedatestamp.....: 0x41109696 (Wed Aug 04 07:56:06 2004)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x722d 0x7400 6.32 18635658d873132e78b15c15197f2f11<br>.data 0x9000 0x29c 0x200 1.62 5a0f2e57aa07bc30a10295a9dc8aa488<br>.rsrc 0xa000 0x1520 0x1600 3.95 1ef872deceab5ec81f62aa55fe58b402<br>.reloc 0xc000 0x6c4 0x800 6.15 5bb7fb37a59094ba5b7a00dc52b7ccb5<br><br>( 6 imports ) <br>&gt; ntdll.dll: wcscpy, wcscmp, _wcsnicmp, wcschr, wcscat, wcslen<br>&gt; RPCRT4.dll: RpcBindingSetAuthInfoExW, RpcBindingFromStringBindingW, NdrServerCall2, I_RpcBindingIsClientLocal, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcBindingFree, RpcStringBindingComposeW, NdrClientCall2, RpcStringFreeW<br>&gt; ole32.dll: StringFromIID, CoCreateInstance, CoRegisterClassObject, CoRevokeClassObject, CoInitializeEx, CoTaskMemFree, CoUninitialize<br>&gt; USER32.dll: wsprintfW<br>&gt; KERNEL32.dll: SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, LocalFree, FormatMessageW, SetEvent, GetSystemPowerStatus, OpenEventW, InitializeCriticalSection, GetProcessHeap, FreeLibrary, GetProcAddress, LoadLibraryW, DisableThreadLibraryCalls, DeleteCriticalSection, CloseHandle, GetTickCount, InterlockedIncrement, InterlockedDecrement, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, HeapFree, InterlockedExchange, DeleteTimerQueueTimer, Sleep, CreateTimerQueueTimer, GetLastError, QueueUserWorkItem, MapViewOfFile, CreateFileMappingW, UnmapViewOfFile, lstrlenW, DelayLoadFailureHook, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime<br>&gt; ADVAPI32.dll: RegEnumKeyExW, RegSetKeySecurity, RegDeleteValueW, OpenSCManagerW, OpenServiceW, QueryServiceStatus, CloseServiceHandle, WmiNotificationRegistrationW, RegOpenKeyExW, RegQueryValueExW, RegSetValueExW, RegCloseKey, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, AllocateAndInitializeSid, FreeSid, RegisterServiceCtrlHandlerExW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource<br><br>( 4 exports ) <br>SensNotifyNetconEvent, SensNotifyRasEvent, SensNotifyWinlogonEvent, ServiceMain<br>



Vielen dank

Schicke die Datei bitte mal mit Verdacht auf Fehlalarm bei Avira ein. Link

Gib bitte bei Email eine gültige Emailadresse an, an diese wird das Ergebnis der Analyse geschickt.
Wähle unter Typ "Verdacht auf Fehlalarm" aus.
Poste das erhaltenen Ergebnis dann hier.

Zitat:

Habe XP Home

SP1?Sp2?SP3?
Welche Version von HJT?

lg myrtille

Hallo myrtille

vieles davon ist für mich chinesisch

habe sp2

ist das jetzt kein trojaner ???


habe versucht manuell versucht zu löschen aber ging nicht.

danke

Heya,
TR/Patched ist ein Trojaner der bereits existierende Dateien patched, also verändert. (Das kann aber auch bei Programmupdates passieren, dadurch entstehen Fehlalarme)
Die Datei sens.dll scheint generell anfällig für Fehlerkennungen in der Hinsicht zu sein.
Bei der bisherigen Auswertung sprechen ein paar Sachen dafür und ein paar Sachen dagegen, dass es sich bei dir um die ursprüngliche (und damit also legitime) Windowsdatei sens.dll handelt.

Daher hätte ich gern eine nähere Analyse von Antivir.

Was du außerdem noch tun kannst, bzw was noch hilfreich wäre ist Folgendes:
Mach bitte einen Rechtsklick auf die Datei und schau dir an, was unter Eigenschaften steht, kopiere die Angaben (Datei Version, Beschreibung der Datei, Copyright, Firma) hier in denThread.

Benutze dann die Windowssuche und gib sens.dll ein. Gib die weiteren Fundorte bitte hier an.

lg myrtille

EDIT:

Zitat:

habe versucht manuell versucht zu löschen aber ging nicht.

Das ist normal. Windows lässt sich nicht seine Dateien unterm hintern weglöschen.