|
Virtool.Destart.A ?? Hilfeee Hallo zusammen, wer kann mir weiterhelfen? Da ich seit einiger Zeit das Gefühl hatte das irgendein Merkwürden auf meinem Rechner rummacht habe ich mit eScan im abgesicherten Modus gescannt, gefunden wurde: C:\WINDOWS\system32\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart.No Action Taken Den Onlinescan bei lotti dieser Datei seht ihr folgend: Service load: 0% 100% File: Restart.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: None AntiVir No viruses found (0.20 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender Virtool.Destart.A (0.38 seconds taken) ClamAV No viruses found (0.42 seconds taken) Dr.Web No viruses found (0.55 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus not-a-virus:RiskWare.Tool.Destart (0.63 seconds taken) mks_vir No viruses found (0.22 seconds taken) NOD32 No viruses found (0.42 seconds taken) Norman Virus Control No viruses found (2.47 seconds taken) wie soll`s jetzt weitergehen? Bitte habt Geduld mit mir , bin eine absolute Anfängerin. Vielen Dank im voraus Gruß macmueffel |
Hi, biite poste mal ein Logfile rein. virtool wird zwar von KAV als "riskware" erkannt, kann aber eben auch ein gewaltig böser Trojaner mit Backdoorqualitäten sein. Zur Beurteilung wären noch mehr Infos sinnvoll. |
hallo cacatoa, ich habe gedacht ,das ich hier nicht mehr so schnell um Hilfe bitten muß! Aber wer weiß , wie lange dieses Etwas schon da ist? Langsam geht mir der Popo auf Grundeis. Weil eigentlich surfe ich gar nicht so wild rum. Logfile of HijackThis v1.98.2 Scan saved at 20:42:46, on 30.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\Rar$EX00.253\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetxxx.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at1_x.cab O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst4_x.cab O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_07) - O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O17 - HKLM\System\CCS\Services\Tcpip\..\{F9F59327-98A9-4546-8ED0-4F79ABB814C4}: NameServer = 81.173.194.68 194.8.194.60 dank im voraus macmueffel PS: www.internetxxx.de wurde von mir geändert! :heilig: |
Hi, hatte gerade netzprobleme, Bitte folgendes bei Jotti online scannen lassen: C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe Bitte das Ergebnis posten; ich hoffe nicht, daß es das ist, was ich vermute.. Dies bitte im abgesicherten Modus fixen, es sei denn Du willst es behalten: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetxxx.de |
hi da bin ich wieder. Dieses ww..internetxxx.de ist mein Provider ! Ich habe es nur abgeändert, weil bei meiner letzten "Sitzung" hier sich jemand daran gerieben hat! Service load: 0% 100% File: Tray.exe Status: OK Packers detected: None AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.36 seconds taken) ClamAV No viruses found (0.33 seconds taken) Dr.Web No viruses found (0.50 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (1.73 seconds taken) mks_vir No viruses found (0.61 seconds taken) NOD32 No viruses found (1.18 seconds taken) Norman Virus Control No viruses found (1.35 seconds taken) Aber was ist mit dieser anderen Datei: Virtool.Destart.A? Scheint ja was "nettes" zu sein? macmueffel |
Hallo, macmueffel, Schau mal hier da wird empfohlen, in diesm FAll das System neu aufzusetzen. Virtool.Destart.A, laut Bitdefender ein Virusgenerator, wird von sophos als Backdoortrojaner gemeldet. In diesem Fall gibt´s nur eins: System neu aufsetzen |
OH NEIN... ich habs geahnt. Kann ich gar nicht.Ich weiß überhaupt nicht wie das geht. Lasse das ganze jetzt wirklich erstmal "sacken" und trenne die Kiste vorläufig vom Netz.Ist in meinem Fall der fürs erste beste Endschluß. Vielen Dank nochmal eine geknickte macmueffel :heulen: :heulen: :heulen: |
|
hallihallo cacatoa bin wieder da. Ich hoffe mit den richtigen Empfehlungen: Nach Formatierung und Neuinstallation surfe ich jetzt (laut Empfehlung-en) mit Mozilla, Kaspersky-Anti-Virus-Personal und nach wie vor ZoneAlarm. Gibt´s da vielleicht noch was, das wichtig wäre? Ausser überflüssige Downloads und unüberlegtes Link-Angeklicke :D und zum Schluss "out of internet" :D :D Ne, im Ernst, sollte ich noch irgendwelche Scanprogramme zusätzlich installieren? lieben gruss macmueffel PS: Tränchen sind wieder getrocknet aber Scheiss-Bauch-Gefühl bleibt! |
Hi, macmueffel, so weit, so gut; und damit die Tränchen auch wegbleiben, würde ich mir noch clearprog runterladen, alle Häkchen bei IE, Netscape/Mozilla und Windows machen und nach jeder Internetsitzung auf löschen clicken und dann beenden. Weiterhin AdAware SE incl. Sprachdateien updaten und immer wieder mal laufen lassen. Am wichtigsten aber, wie Du schon selbst gemerkt hast, brain 1.0 immer eingeschaltet lassen! http://www.smiley-channel.de/grafike...technik015.gif LG cacatoa |
Bei mir hat Antivir ebenfalls SPR/destart.A gefunden und gelöscht. Danach tauchten keine Meldungen mehr auf (allerdings eine Vielzahl von Warnungen). Was mach ich jetzt am besten. Ist Neuaufspeilen unvermeintlich? |
|
Ansonsten brauche ichmir jetzt keine Sorgen mehr zu machen? Ist der Backdoor beseitigt wenn Antivir die Datei destart gefunden und eliminiert hat oder bedeutet das nur, dass derjenige von dem ich ausgespäht werde sich ruhug verhält. Noch mal, was sollte ich jetzt tun? |
Das hier ist doch wohl nicht besorgniserregend oder (antivir report)? Initialisierung OK Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 Master-Bootsektor von Festplatte HD2 Master-Bootsektor von Festplatte HD3 Master-Bootsektor von Festplatte HD4 Bootsektor von Laufwerk C: OK Dieser Sektor ist bekannt. Systemdateien arcldr.exe OK arcsetup.exe OK BOOT.BAK OK boot.ini OK IO.SYS OK MSDOS.SYS OK NTDETECT.COM OK ntldr OK pagefile.sys OK Systemtest: OK Selbsttest: OK |
dann erstelle mal ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden. Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe die Meldungen von AntiVir kannst du ignorieren um das mal kurz darzustellen, man wird nicht immer gleich ausspioniert wenn eine Datei mit Backdoorcharakter auf dem System ist. Da kommt es auch auf den Ordner an in dem die Datei sich befindet. In deinem Fall konntest du ihn löschen ohne das er wieder aufgetaucht ist, das bedeutet eigentlich damit er nicht beim Starten mit geladen wird. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board