|
Email-Flooder.Win32.VB.bc Gestern hab ich zum ersten mal seit Jahren mal wieder probleme mit viren bekommen :koch: ich benutze f-secure anti virus 2005 und auf einmal kam eine meldung, die besagte, dass sich in dem ordner c:\system volume information ein gewisser Email-Flooder.Win32.VB.bc eingenistet hätte.... f-secure hatte dann erst mal wider die üblichen probleme in der löschung der virus... dann hats aber geklappt... da ich misstrauisch wurde habe ich einen kompletten systemcan nachgeschoben... Dort fand ich folgendes: Ergebnis: 3 Viren gefunden C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme und Exe\DVDx23_setup.zip\DVDx23_setup.exe Infektion: Email-Flooder.Win32.VB.bc C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme und Exe\everesthome220.exe Infektion: Email-Flooder.Win32.VB.bc Aktion: Gelöscht. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09EBWXM7\INSTALLATIONSASSISTENT[1].0CX Infektion: Trojan-Downloader.Win32.Stardler.a Aktion: Gelöscht. Wie ihr seht konnten nur die beiden unteren viren gelöscht wurden... Trojan Downloader ohne probleme (oder habt ihr noch nen tipp?) aber dieser Email-Flooder.Win32.VB.bc macht mir irgentwie sorgen... wie konnte es dazu kommen, das er sich die diese dateien eingenisstet hat... das sind ja ganz bekannte dateien, die ich auch normal gedownloaded hatte... außerdem hatte f-secure noch vor einer oder zwei wochen keine probleme in dem ordner mit viren... ich hatte nur den ordner C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme und Exe\ kurz zuvor gescannt, da er nur mit systemabstürzen zu öffnen war... komisch irgentwie das ganze... könnt ihr mir helfen? DANKE!!! mfg max |
Hi, lösche mal die setup.exe manuell und poste dann mal ein HiJackThis-Logfile. cacatoa |
das hab ich schon gemacht... mich wundert es nur, dass sich der virus in 3 verschiedene ordner packt, die garnix damit zu tun hatten... komisch... mom ich mach mal nen highjack this log... |
so hier ist er: Logfile of HijackThis v1.99.1 Scan saved at 19:26:18, on 09.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\Programme\Gizmo Project\mDNSResponder.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/***/Eigene%20Dateien/Meine%20Words/html/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093193980781 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1119795412750 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{28A44E5F-6C1C-4591-BBAD-C3610008793A}: NameServer = 195.238.2.22 195.238.2.21 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = skynet.be O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = skynet.be O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = skynet.be O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: vskype - (no CLSID) - (no file) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Gizmo Project\mDNSResponder.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe |
Ist das Absicht: O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = skynet.be ? Lade dir LSP-Fix und lass es laufen. cacatoa |
Das scheint eine false-positive Meldung zu sein! Basiert f-secure auf der kapersky Engine? Hatte ich gestern nämlich auch nach update von escan und anschließendem Scan. Eine uralte Datei, welche seit Anbeginn des PCs ungenutzt herumlungert wäre plötzlich befallen gewesen. Gegencheck bei Jotti ergab außer bei Kapersky keine Viren, Mail an diverse Firmen (u.a. Kapersky, Ikarus, et alt) hat dann die Bestätigung gebracht! Von Kapersky habe ich sehr schnell ein Antwortmail bekommen, dass das ein Suchfehler gewesen sei, der umgehend behoben worden ist! stupormundi |
Danke stupormundi, hast recht! @maxgerrath Trotzdem LSP-Fix laufen lassen. cacatoa |
jaja... skynet.be is absicht... wohne in belgien... das is mein internetanbieter... also alles nur falscher alarm? f-secure geht mir langsam auf den senkel... |
wäre nett wenn ihr mir noch diese letzte frage beantworten könntet, damit ich ruhe habe... ihr seit echt spitze hier!!! mfg max |
Hi, sorry, hab dich gestern vergessen... Ja, sollte ein false positive gewesen sein. Hast LSPFix laufen lassen? Wenn ja, poste noch ein abschließendes Logfile von HJT. cacatoa |
:crazy: was bringt dieses LSP fix denn? kann das meine einstellungen verstellen oder sowas? kann das meinem pc schaden oder sucht es erstmal so wie ad aware nach dateien und man kann dann die löschen, die man will? |
|
brauch ich dieses lsp fix jetzt noch? und wenn ja? was bringt das? löscht es etwa sachen von alleine? |
Hallo, nein LSPfix brauchst du dann nicht mehr. Das Programm ist dafür vorgesehen Dateien aus der Winsock zu entfernen, bzw eine beschädigte Winsock zu reparieren, wenn dein Internet ohne Probleme funktioniert sollte das aber bei dir nicht nötig sein. Grüße Wildone |
ok danke !! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:16 Uhr. |
Copyright ©2000-2024, Trojaner-Board