Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.10.2008, 17:31   #1
Kill_Bill
 
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Hallo,
ich habe Windows Vista Home Premium mit Mc Afee und Avira Antivir Personal.
Ich habe ein Programm, bestätigt, von dem ich dachte, dass es nicht bösartig sei, doch ich habe mich geirrt. Denn sofort nach dem ich es öffnete, sagte mit McAfee, dass es ein Trojaner mit dem Erkennungsnamen "Generic!atr" entfernt habe, doch nach kurzer Zeit kam diese Meldung erneut und erneut.
Avira hat mir das gezeigt: In der Datei 'C:\Users\*\AppData\Local\Temp\tmpBF3B.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Passcrack.B' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Dann hab ich versucht dies zu löschen, doch es ging nicht.
Danach hab ich in den Bericht von McAffe geschaut und der hat mt gesagt, das es die bösartige Datei in dem Folgendem gefunden habe: C:\Users\*\AppData\Local\Temp\Rar$EX02.695

Diese Datei hab ich dann sowohl so, als auch aus dem Papierkorb gelöscht, doch die Meldungen von McAfee kommen immer noch regelmäßig.

Ich hoffe, dass ihr mir vielleicht helfen könnt, damit ich das formatieren der Festplatte vermeiden kann.
Danke schon mal
Kill_Bill

Alt 30.10.2008, 17:32   #2
Silent sharK
 

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Hallo,

es ist nie gut, zwei AVP's am Laufen zu haben. Entscheide dich für eins.
Erstelle zudem noch ein regelkonformes HijackThis Logfile und poste es hier.

mfg
__________________

__________________

Alt 30.10.2008, 17:48   #3
Kill_Bill
 
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Danke schonmal.
Hier ist mein Logfile

#Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:47, on 30.10.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\McAfee.com\Agent\mcagent.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
D:\Programme\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
D:\Programme\ICQ 6\ICQ6\ICQ.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\*\Desktop\mouse.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\MSC\mcshell.exe
D:\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: adzgalore - {8f3ea2de-973c-e317-28e9-348fadb6267d} - C:\Windows\system32\nso18F2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [tsnpstd3] C:\Windows\tsnpstd3.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ 6\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: mouse - Verknüpfung.lnk = C:\Users\*\Desktop\mouse.exe
O4 - Startup: Mozilla Firefox.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Suche - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ 6\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\McShield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - D:\Programme\TeamViewer3\TeamViewer_Service.exe

--
End of file - 8717 bytes
#
__________________

Alt 30.10.2008, 17:53   #4
Silent sharK
 

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Hi,
Zitat:
R3 - URLSearchHook: (no name) - - (no file)
Wenn man paranoid sein will => Evtl. ein Rest von Gromozon
Zitat:
O2 - BHO: adzgalore - {8f3ea2de-973c-e317-28e9-348fadb6267d} - C:\Windows\system32\nso18F2.dll (file missing)
Verwaister Eintrag von Adware, vermutlich
Zitat:
O4 - Startup: mouse - Verknüpfung.lnk = C:\Users\*\Desktop\mouse.exe
Sieht böse aus, ich tippe auf einen Bot.

Bitte gehe die folgenden Punkte zwecks weiteren Analyse durch:

1.)

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Users\*\Desktop\mouse.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

2.)
SDFix anwenden:
  • Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 30.10.2008, 18:06   #5
Kill_Bill
 
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Hich hab die datei
#mouse.exe#
bei V*rustotal hochgeladen und überprüfen lassen und schicke hier das ERgebins, doch ich glaube nicht das dies der Grund ist, da dieses Programm ein Mousometer ist umd z.B. die Klicks zu zählen und es immer funktioniert hat.
Ich weiß welches Programm schuld sein könnte, da ich es ja heruntergeladen hab, doch ich glaube, dass ich das bereits gelöscht habe. Hier das Ergebnis:


# Datei mouseometer2.exe empfangen 2008.09.03 20:23:10 (CET)
Status: Beendet
Ergebnis: 0/36 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.3.0 2008.09.03 -
AntiVir 7.8.1.23 2008.09.03 -
Authentium 5.1.0.4 2008.09.03 -
Avast 4.8.1195.0 2008.09.03 -
AVG 8.0.0.161 2008.09.03 -
BitDefender 7.2 2008.09.03 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.03 -
DrWeb 4.44.0.09170 2008.09.03 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6066 2008.09.03 -
Ewido 4.0 2008.09.03 -
F-Prot 4.4.4.56 2008.09.03 -
F-Secure 8.0.14332.0 2008.09.03 -
Fortinet 3.14.0.0 2008.09.03 -
GData 19 2008.09.03 -
Ikarus T3.1.1.34.0 2008.09.03 -
K7AntiVirus 7.10.439 2008.09.03 -
Kaspersky 7.0.0.125 2008.09.03 -
McAfee 5376 2008.09.03 -
Microsoft 1.3903 2008.09.03 -
NOD32v2 3412 2008.09.03 -
Norman 5.80.02 2008.09.03 -
Panda 9.0.0.4 2008.09.02 -
PCTools 4.4.2.0 2008.09.03 -
Prevx1 V2 2008.09.03 -
Rising 20.60.21.00 2008.09.03 -
Sophos 4.33.0 2008.09.03 -
Sunbelt 3.1.1582.1 2008.09.02 -
Symantec 10 2008.09.03 -
TheHacker 6.3.0.8.070 2008.09.02 -
TrendMicro 8.700.0.1004 2008.09.03 -
VBA32 3.12.8.4 2008.09.03 -
ViRobot 2008.9.2.1361 2008.09.03 -
VirusBuster 4.5.11.0 2008.09.03 -
Webwasher-Gateway 6.6.2 2008.09.03 -
weitere Informationen
File size: 118784 bytes
MD5...: dca2156e8f9f68ea83a77ed7cefe9a43
SHA1..: 2c07488dd5463fa4dc0c942261ef2859791eebe8
SHA256: 0cc2f476e1365721d599a63917a1d108c19084edd1e5cf554e136ee6f803a534
SHA512: 878f380c5d8be091159c8c84979f4714149324193d28f2d8c739ce20b8c7f476
cfca1ad4f41d1c231049ea85ed7568e854886756e2422788d333c2acc68ad632
PEiD..: -
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 5 (90.9%)
Win32 Executable Generic (3.4%)
Win32 Dynamic Link Library (generic) (3.0%)
Win16/32 Executable Delphi generic (0.8%)
Generic Win/DOS Executable (0.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4017f4
timedatestamp.....: 0x36e25b12 (Sun Mar 07 10:55:14 1999)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19134 0x19200 5.54 6ca9f2b787430dbd85e4255f3aa52dd9
.data 0x1b000 0x2ba8 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.idata 0x1e000 0x878 0xa00 5.02 b92c26865c8c67deb0850d2f3e547dc6
.rsrc 0x1f000 0x7b0 0x800 3.31 57c49a5b7fefbc06925984fadfb0279a
.reloc 0x20000 0x24c2 0x2600 6.37 29380e8c1e44357d6b015d3318b3698d

( 1 imports )
> MSVBVM50.DLL: -, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, __vbaFreeObjList, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaStrBool, __vbaBoolStr, __vbaExitProc, __vbaOnError, __vbaObjSet, -, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaFPFix, _CIsin, __vbaChkstk, EVENT_SINK_AddRef, __vbaStrCmp, __vbaVarTstEq, __vbaR4Str, __vbaI2I4, __vbaObjVar, DllFunctionCall, _adj_fpatan, __vbaLateIdCallLd, __vbaStrR8, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, __vbaR8ErrVar, __vbaI2Str, __vbaVarDiv, -, __vbaFPException, __vbaStrVarVal, -, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaInStr, __vbaNew2, __vbaR8Str, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, __vbaFreeStrList, _adj_fdivr_m32, __vbaPowerR8, _adj_fdiv_r, -, __vbaI4Var, -, __vbaVarAdd, __vbaLateMemCall, __vbaStrToAnsi, __vbaVarDup, -, __vbaVarCopy, __vbaFpI4, __vbaLateMemCallLd, _CIatan, __vbaStrMove, _allmul, __vbaLateIdSt, _CItan, _CIexp, __vbaFreeObj, __vbaFreeStr, -

( 0 exports ) #


Alt 30.10.2008, 18:08   #6
Silent sharK
 

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Sieht ok aus, wenn es von dir gewollt ist...
__________________
--> "Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???

Alt 30.10.2008, 18:11   #7
Kill_Bill
 
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Ich habe mal das verdächtige Programm bei V*rusTotal hochgeladen und hier ist das Protokoll:


# Datei SDFix.exe empfangen 2008.10.28 15:09:11 (CET)
Status: Beendet
Ergebnis: 9/36 (25.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.28.3 2008.10.28 -
AntiVir 7.9.0.9 2008.10.28 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.28 -
AVG 8.0.0.161 2008.10.28 -
BitDefender 7.2 2008.10.28 -
CAT-QuickHeal 9.50 2008.10.28 -
ClamAV 0.93.1 2008.10.28 Trojan.Killproc-1
DrWeb 4.44.0.09170 2008.10.28 Tool.Prockill
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6177 2008.10.28 -
Ewido 4.0 2008.10.28 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.28 -
Fortinet 3.117.0.0 2008.10.28 Misc/PrcViewer
GData 19 2008.10.28 -
Ikarus T3.1.1.44.0 2008.10.28 -
K7AntiVirus 7.10.510 2008.10.28 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.10.28 -
McAfee 5416 2008.10.28 potentially unwanted program PrcViewer
Microsoft 1.4005 2008.10.28 -
NOD32 3562 2008.10.28 Win32/PrcView
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.28 Generic Malware
PCTools 4.4.2.0 2008.10.28 -
Prevx1 V2 2008.10.28 -
Rising 21.01.12.00 2008.10.28 -
SecureWeb-Gateway 6.7.6 2008.10.28 Win32.Malware.gen!92 (suspicious)
Sophos 4.35.0 2008.10.28 -
Sunbelt 3.1.1760.1 2008.10.27 VIPRE.Suspicious
Symantec 10 2008.10.28 -
TheHacker 6.3.1.1.132 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.28 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.28.1441 2008.10.28 -
VirusBuster 4.5.11.0 2008.10.27 -
weitere Informationen
File size: 1556227 bytes
MD5...: c173a43991c05f012df572c1c9862637
SHA1..: da2873f233dd8e245eccff3d0c9c8cf4747008b1
SHA256: a3f058f61944a7f09250cd58b2440746e86b1fe56dfd088cffc86cfb41061311
SHA512: 09fd9d7bcbbcceeddc3ef96eed439dd3a1c2d287fc137e22ab9d0f331e5f796b
09eac8ddf1ade683236a5dd718ee70c8355a357f337ec338bcf2daa6ee682e0d
PEiD..: -
TrID..: File type identification
WinRAR Self Extracting archive (95.7%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Win32 Executable Watcom C++ (generic) (0.4%)
Generic Win/DOS Executable (0.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x45729e7c (Sun Dec 03 09:53:00 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13000 0x12e00 6.46 27da89cf72cfe54f5eff348f68e09631
.data 0x14000 0x7000 0xa00 4.76 380278eb5467999c3f4b2818c9afde97
.idata 0x1b000 0x1000 0x1000 5.11 63078940fde3ab31f45161cd9ff2d7fe
.rsrc 0x1c000 0x4000 0x3c00 4.59 e91a0361d7098a65a9ae3435be4730c6

( 8 imports )
> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> COMCTL32.DLL: -
> COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA
> GDI32.DLL: DeleteObject
> SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> USER32.DLL: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA
> OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize

( 0 exports )
packers (Kaspersky): UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, UPX, UPX, UPX, UPX, UPX, UPX
packers (F-Prot): RAR#

Alt 30.10.2008, 18:19   #8
Silent sharK
 

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Das Programm sollst du ausführen und nicht bei Virustotal hochladen.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 31.10.2008, 12:36   #9
Kill_Bill
 
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Hallo,
ich hab jetzt alle verdächtigen Dateien gelöscht und mit McAfee die Temporären Dateien im abgesicherten Modus gelöscht.
Es kommen jetzt zwar keine Warnmeldungen mehr, doch mien PC ist total lahm und zeigt ständig CPU-Auslatung 100% an, außerdem sagt er alle 30 Sekunden, dass das Fenster keine Rückmeldung gibt.
Kann man mir helfen, wenn ich ein weiteres LogFile von Highjiack hochstelle??

Geändert von Kill_Bill (31.10.2008 um 12:50 Uhr)

Alt 31.10.2008, 13:07   #10
Kill_Bill
 
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Hallo,
ich hab mal eine Frage:
Ich habe 2 Festplatten in meinem PC ('C' und 'D'), und der Virus, oder was es auch war, hat nur die kleinere Platte 'C' infiziert. Auf der Platte 'C' sind nur die Windows und Systemdateien (keine persöhnlichen Programme oder Dateien).
(Jetzt meine Frage) Kann ich nicht einfach nur 'C' formatieren und Vista neu draufmachen???

Alt 31.10.2008, 13:16   #11
Silent sharK
 

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Wenn du auf D: keine ausführbaren Dateien hast und du dich vergewissert hast, das auch keine autorun.inf vorhanden ist, dann ja.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 31.10.2008, 14:00   #12
Kill_Bill
 
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Ich habe alle meine Programme, die ich so brauche oder mal installiert habe,
in 'D:\Programme\
nur die Programme, die von Anfang an drauf waren, sind auf 'C gespeichert.

Noch ne Frage: Läuft SDFix auch auf Vista?
mfg

Alt 31.10.2008, 14:03   #13
Silent sharK
 

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Na dann darfst du wohl beide Partitionen platt machen...

Nein, SDFix ist nicht Vista-Kompatibel.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 31.10.2008, 14:25   #14
Kill_Bill
 
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



Ich hab da noch nen par Fragen:

1. Gibt es so was änliches, wie SDFix, das mit Vista kompatibel ist?
2. Wie schaffe ich es, das mein PC wieder normal läuft (er sagt alle 30
Sekunden, dass das Fenster keine Rückmeldung gibt und er ist total lahm)?
3. Warum müsste ich denn beide Patien platt machen (laut Antiviren-Software
war der Trojaner nur auf 'C)?
4. Wenn ich die von Windows mitgelieferte Wiederherstellungs-CD starte, wird
dann automatisch auch 'D gelöscht?

mfG

Alt 31.10.2008, 14:30   #15
Silent sharK
 

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Standard

"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???



1. Momentan nicht
2. Indem du dein System plattmachst (Neuaufsetzen)
3. Da man nicht ausschließen kann, das auch die Programme auf der anderen Partition befallen sind
4. Nein, D: musst du so formatieren: Rechtsklick => Formatieren...
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu "Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???
antivir, appdata, autorun.inf, avira, avira antivir, bericht, datei, entfernen, festplatte, folge, formatieren, gelöscht, generic, home, home premium, local\temp, löschen, mc afee, mcafee, programm, temp, tr/passcrack.b, trojaner, virus, vista, windows, windows vista, windows vista home, zugriff



Ähnliche Themen: "Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  4. "rbot. 4186" und "generic.spambot.a" vernichten?
    Plagegeister aller Art und deren Bekämpfung - 19.02.2013 (5)
  5. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  6. "Dieses Programm kann die Webseite nicht anzeigen" auch bei mir...
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (7)
  7. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  8. "Dieses Progr. kann die Webseite nicht anzeigen"-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.10.2012 (51)
  9. "Dieses Programm kann die Webseite nicht anzeigen" Windows 7
    Plagegeister aller Art und deren Bekämpfung - 11.10.2012 (1)
  10. "Dieses Programm kann die Website nicht anzeigen" Problem
    Plagegeister aller Art und deren Bekämpfung - 03.08.2012 (3)
  11. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  12. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  13. "SuperantiSpyware" erkennt "Adware.tracking cookie" kann aber das nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (21)
  14. Kann nichts mehr runterladen, auch nicht "HiJack This"! ("Your Computer is infected")
    Plagegeister aller Art und deren Bekämpfung - 21.10.2008 (9)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema "Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? - Hallo, ich habe Windows Vista Home Premium mit Mc Afee und Avira Antivir Personal. Ich habe ein Programm, bestätigt, von dem ich dachte, dass es nicht bösartig sei, doch ich - "Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen???...
Archiv
Du betrachtest: "Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.