Virtool.Destart.A ?? Hilfeee
 

Hallo zusammen,
wer kann mir weiterhelfen? Da ich seit einiger Zeit das Gefühl hatte das irgendein Merkwürden auf meinem Rechner rummacht habe ich mit eScan im abgesicherten Modus gescannt, gefunden wurde:
C:\WINDOWS\system32\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart.No Action Taken
Den Onlinescan bei lotti dieser Datei seht ihr folgend:

Service load:
0% 100%
File: Restart.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
No viruses found (0.20 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
Virtool.Destart.A (0.38 seconds taken)
ClamAV
No viruses found (0.42 seconds taken)
Dr.Web
No viruses found (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.Tool.Destart (0.63 seconds taken)
mks_vir
No viruses found (0.22 seconds taken)
NOD32
No viruses found (0.42 seconds taken)
Norman Virus Control
No viruses found (2.47 seconds taken)


wie soll`s jetzt weitergehen? Bitte habt Geduld mit mir , bin eine absolute
Anfängerin.

Vielen Dank im voraus
Gruß macmueffel

Hi,
biite poste mal ein Logfile rein. virtool wird zwar von KAV als "riskware" erkannt, kann aber eben auch ein gewaltig böser Trojaner mit Backdoorqualitäten sein.
Zur Beurteilung wären noch mehr Infos sinnvoll.

hallo cacatoa,
ich habe gedacht ,das ich hier nicht mehr so schnell um Hilfe bitten muß!
Aber wer weiß , wie lange dieses Etwas schon da ist?
Langsam geht mir der Popo auf Grundeis. Weil eigentlich surfe ich gar nicht so wild rum.

Logfile of HijackThis v1.98.2
Scan saved at 20:42:46, on 30.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\Rar$EX00.253\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetxxx.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst4_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_07) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9F59327-98A9-4546-8ED0-4F79ABB814C4}: NameServer = 81.173.194.68 194.8.194.60

dank im voraus
macmueffel

PS: www.internetxxx.de wurde von mir geändert! :heilig:

Hi, hatte gerade netzprobleme,

Bitte folgendes bei Jotti online scannen lassen: C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe

Bitte das Ergebnis posten; ich hoffe nicht, daß es das ist, was ich vermute..

Dies bitte im abgesicherten Modus fixen, es sei denn Du willst es behalten:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetxxx.de

hi da bin ich wieder.

Dieses ww..internetxxx.de ist mein Provider ! Ich habe es nur abgeändert, weil bei meiner letzten "Sitzung" hier sich jemand daran gerieben hat!


Service load:
0% 100%
File: Tray.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.36 seconds taken)
ClamAV
No viruses found (0.33 seconds taken)
Dr.Web
No viruses found (0.50 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.73 seconds taken)
mks_vir
No viruses found (0.61 seconds taken)
NOD32
No viruses found (1.18 seconds taken)
Norman Virus Control
No viruses found (1.35 seconds taken)

Aber was ist mit dieser anderen Datei: Virtool.Destart.A?

Scheint ja was "nettes" zu sein?
macmueffel

Hallo, macmueffel,
Schau mal hier da wird empfohlen, in diesm FAll das System neu aufzusetzen.
Virtool.Destart.A, laut Bitdefender ein Virusgenerator, wird von sophos als Backdoortrojaner gemeldet.
In diesem Fall gibt´s nur eins:
System neu aufsetzen

OH NEIN...
ich habs geahnt. Kann ich gar nicht.Ich weiß überhaupt nicht wie das geht.
Lasse das ganze jetzt wirklich erstmal "sacken" und trenne die Kiste vorläufig vom Netz.Ist in meinem Fall der fürs erste beste Endschluß.
Vielen Dank nochmal
eine geknickte macmueffel :heulen: :heulen: :heulen:

Hi, macmueffel,
nicht traurig sein. Wie es geht steht doch in meinem letzten Post.
Außerdem beachte dies zur Datensicherung und für die Zukunft noch dies
Also, melde Dich, wenn fertig ;)
Gute Nacht
cacatoa

hallihallo
cacatoa
bin wieder da. Ich hoffe mit den richtigen Empfehlungen:
Nach Formatierung und Neuinstallation surfe ich jetzt (laut Empfehlung-en) mit Mozilla, Kaspersky-Anti-Virus-Personal und nach wie vor ZoneAlarm. Gibt´s da vielleicht noch was, das wichtig wäre? Ausser überflüssige Downloads und unüberlegtes Link-Angeklicke :D und zum Schluss "out of internet" :D :D
Ne, im Ernst, sollte ich noch irgendwelche Scanprogramme zusätzlich installieren?

lieben gruss macmueffel

PS: Tränchen sind wieder getrocknet aber Scheiss-Bauch-Gefühl bleibt!

Hi, macmueffel,
so weit, so gut; und damit die Tränchen auch wegbleiben, würde ich mir noch clearprog runterladen, alle Häkchen bei IE, Netscape/Mozilla und Windows machen und nach jeder Internetsitzung auf löschen clicken und dann beenden.
Weiterhin AdAware SE incl. Sprachdateien updaten und immer wieder mal laufen lassen.
Am wichtigsten aber, wie Du schon selbst gemerkt hast, brain 1.0 immer eingeschaltet lassen! http://www.smiley-channel.de/grafike...technik015.gif
LG cacatoa

Bei mir hat Antivir ebenfalls SPR/destart.A gefunden und gelöscht. Danach tauchten keine Meldungen mehr auf (allerdings eine Vielzahl von Warnungen).
Was mach ich jetzt am besten. Ist Neuaufspeilen unvermeintlich?

Hi

wenn du nur noch Probleme mit den Warnungen hast dann schau hier

Ansonsten brauche ichmir jetzt keine Sorgen mehr zu machen? Ist der Backdoor beseitigt wenn Antivir die Datei destart gefunden und eliminiert hat oder bedeutet das nur, dass derjenige von dem ich ausgespäht werde sich ruhug verhält. Noch mal, was sollte ich jetzt tun?

Das hier ist doch wohl nicht besorgniserregend oder (antivir report)?
Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1
Master-Bootsektor von Festplatte HD2
Master-Bootsektor von Festplatte HD3
Master-Bootsektor von Festplatte HD4
Bootsektor von Laufwerk C: OK

Dieser Sektor ist bekannt.
Systemdateien
arcldr.exe OK
arcsetup.exe OK
BOOT.BAK OK
boot.ini OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Systemtest: OK
Selbsttest: OK

dann erstelle mal ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe
die Meldungen von AntiVir kannst du ignorieren

um das mal kurz darzustellen, man wird nicht immer gleich ausspioniert wenn eine Datei mit Backdoorcharakter auf dem System ist. Da kommt es auch auf den Ordner an in dem die Datei sich befindet. In deinem Fall konntest du ihn löschen ohne das er wieder aufgetaucht ist, das bedeutet eigentlich damit er nicht beim Starten mit geladen wird.

Also ich hab im Hijack file nichts bemerkt, aber aus Expertensicht sieht dat vielleicht anders aus.
Logfile of HijackThis v1.99.1
Scan saved at 21:16:30, on 14.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
**\System32\smss.exe
**\system32\winlogon.exe
**\system32\services.exe
**\system32\lsass.exe
**\system32\svchost.exe
**\system32\spoolsv.exe
**\Programme\AVPersonal\AVWUPSRV.EXE
**\system32\drivers\CDAC11BA.EXE
**\System32\svchost.exe
**\system32\drivers\KodakCCS.exe
**\system32\nvsvc32.exe
**\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
**\system32\regsvc.exe
**\system32\MSTask.exe
**\System32\tcpsvcs.exe
**\system32\stisvc.exe
**\system32\ZoneLabs\vsmon.exe
**\System32\WBEM\WinMgmt.exe
**\system32\svchost.exe
**\Explorer.EXE
**\Programme\Ahead\InCD\InCD.exe
**\system32\rundll32.exe
**\system32\RunDll32.exe
**\Programme\Zone Labs\ZoneAlarm\zlclient.exe
**\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
**\Programme\AVPersonal\AVGNT.EXE
**\Programme\InterVideo\WinDVD4PR\SchSvr.exe
**\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
**\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
**\Programme\Microsoft Office\Office\FINDFAST.EXE
**\Programme\Microsoft Office\Office\OSA.EXE
**\Programme\UltimateZip\uzqkst.exe
**\Notepad2.exe
**\Programme\FileZilla\FileZilla.exe
**\Programme\Allaire\HomeSite4\homesite4.exe
**\Notepad2.exe
**\Programme\Netscape\Netscp.exe
**\Programme\AVPersonal\AVSched32.EXE
**\Programme\AVPersonal\AVGUARD.EXE
**\Programme\AVPersonal\AVWIN.EXE
**\hijack\HijackThis.exe

Ähm Sorry das ich hier unterbreche aber was bedeuten die ** in dem Logfile?

Hast du die eingefügt?

Wenn ja solltest du nur die Links mit ** deaktivieren und gegebenenfalls deinen Namen mit **!

Überprüfe mal die Notepad2.exe bei http://virusscan.jotti.org/de/

Ein mehr oder weniger gelungener Versuch der Anleitung zu folgen Daten von Ihrem persönlichen Gehalt zu reinigen.

Um sicher zu gehen, kannst du dein System mit Escan prüfen, bitte beachte die Anleitung, und uns die Ergebnisse mitteilen.

Notepad2 war negativ. Ist jetzt alles sauber?

wie negativ war denn die Datei das Ergebnis wäre interessant
BTW: bist du nicht gerade ein Freund von viel Information, oder sehe ich das falsch :confused:

Notepad2 war so negativ wie möglich. Ansonsten noch zur Info, das Programm gibt es wirklich als solches, funktioniert ähnlich wie Notepad ist aber als Editor vielseitiger einsetzbar. Dieses Sharewareprogramm ist doch nicht von Haus aus verseucht?

wie sieht es denn jetzt mit deinen eScan Ergebnissen aus, schon durchgeführt?

Also erstmal gab es Probleme beim Anlaufen von escan. Dann fand er "htpatch.exe" not tagged as a virus. Die hab ich trotzdem beseitigt. DAnach noch einen Netsky-Mailworm (Netsky.q) und er ist noch fliessig dabei. Bis zum Endergebnis wird`s noch was dauern.

Nach 43 Fehlern und etwas Handarbeit (Löschen eines IE.5 Ordners) hat Escan folgende Ergebnisse geliefert:
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Profiles\default\***.slt\Mail\***.de\Inbox infected by "Email-Worm.Win32.NetSky.q" Virus! Action Taken: No Action Taken.

File D:\***\***\***.slt\Mail\***.de\Inbox tagged as not-a-virus:PSWTool.HTML.Fraud.gen. No Action Taken

Wie mach ich jetzt weiter und wie werd ich den Wurm los?

Ach ja und übrigens EScan ist permanent beim Temp Ordner vom IE hängengeblieben C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files und hat hier Unterordner angezeigt die nicht zu sehen waren. Habe den Inhalt per Hand gelöscht. Hat sich da vielleicht was versteckt?

also wie schon gesagt, bist du nicht der große Held der Informationen. Wenn du die Anleitung von eScan richtig gelesen hättest, dann wäre dir aufgefallen was für Infos für uns wichtig sind. Es wird dort z. B. von einer Find.rar geschrieben und wie man damit umgehen soll. Die ganze Sache hat einen Hintergrund. Erstens macht es dem User nicht soviel Arbeit die ganzen Infecte einzeln zu suchen und zweitens erleichtert es uns die Auswertung. Also verffahre jetzt so wie beschrieben mit der Find.bat oder Alternativ und gebe auch das noch Preis

Die eMailwürmer:
lösche erst mal die eMails denen du nicht vertraust dann leere den Papierkorb im Mailprogramm und dann stelle auf Ordner komprimieren ein

Hallo Gigamail nicht böse sein. Aber Euer Forum wird ja sicherlich nicht nur von Gutmenschen konsumiert. Sorry dafür, dass ich das Ergebnis noch nicht posten konnte, aber es haben sich gestern ein paar Hardwareteile dauerhaft von mir verabschiedet.
Darum dauerts wohl noch.
Dafür habe ich auf einem anderen Rechner im Logfile von Antivir ein paar Unregelmässigkeiten entdeckt:

Die meisten der Dateien werden über die Systemsuche von Windows nicht gefunden. Wenn noch wichtige Info fehlt, reich ich die gerne nach.

das mag schon sein, aber wie willst ausführliche Hinweise erhalten wenn deine Informationen so kleckerweise kommen

mehr Infos dazu findest du hier
versuch es so
Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"

überprüfen kannst du die Dateien hier