Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor.Jeem Virus (https://www.trojaner-board.de/1924-backdoor-jeem-virus.html)

blackrain 01.02.2004 11:49
Hallo Zusammen,

ich benötige dringend Eure Hilfe, denn ich komme nicht mehr weiter.

Norton Antivirus meldet:

C:\WINDOWS\System32\msrexe.exe is infected with the Backdoor.Jeem virus

Habe es nicht geschafft das Ding wegzubekommen.
Versuche mit "Ad-aware, Spybot Search & Destry, CWShredder" waren leider erfolglos. :confused:

Hier mein HijackThis Logfile.

Logfile of HijackThis v1.97.7
Scan saved at 03:39:55, on 01.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\programme\QuickTime 6.1\qttask.exe
C:\WINDOWS\System32\msrexe.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
F:\Programme\InterVideo\WinDVD4PR\WinScheduler.exe
F:\Programme\SpywareGuard\sgmain.exe
F:\Programme\Norton AntiVirus\navapsvc.exe
F:\Programme\SpywareGuard\sgbhp.exe
F:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
F:\Programme komplett\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - F:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\QuickTime 6.1\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] F:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: SpywareGuard.lnk = F:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = F:\Programme\InterVideo\WinDVD4PR\WinScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Ich hoffe ihr könnt damit etwas anfangen und mir sagen wie ich den Virus wegbekomme!

Vielen Dank schon mal!

Gruß
blackrain

Lutz 01.02.2004 16:00
Moin und Willkommen im Board blackrain,

Symantec (=Hersteller der Norton-Produkte) beschreibt auf dieser Seite, wie Du vorgehen must:

1. Systemwiederherstellung deaktivieren.
(Beschreibung hier: http://www.systemwiederherstellung-d...indows-xp.html )

2. Update der Virendefinitionen.
(ich unterstelle mal, das ist bereits geschehen ;) )

3. Neustart im abgesicherten Modus.
(Beschreibung hier: http://service1.symantec.com/SUPPORT...20114122843924 )

4. Komplett-Scan mit Norton machen und alle Dateien, die mit Downloader.BO oder Backdoor.Jeem infiziert gemeldet werden löschen.

5 Löschen der durch den Virus eingetragenen Registry-Werte:

System Service C:\%System%\msrexe.exe
im Key
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Die Werte:
1c3943
4lkf83
vk8593
2340v93
4c34
c0948273
398349873
im Key
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Welcome

Den Key
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Swartax
mit dem Wert:
ImagePath C:\%System%\msrexe.exe

Achtung: Bei Veränderungen in der Registry vorher aus Sicherheitsgründen immer erst eine Sicherungskopie ablegen!

tschööö, DerBilk

mmk 01.02.2004 16:03
Hallo, willkommen im Forum!

Starte den PC ggf. im abgesicherten Modus. Rufe den Taskmanager auf (Strg Alt Entf gleichzeitig drücken). Suche den verantwortlichen Prozess für diese Datei:

C:\WINDOWS\System32\msrexe.exe

Markiere und beende Ihn. Nimm sodann die Datei aus dem System heraus.

Rufe dann HijackThis auf, scanne damit, setze einen Haken neben diesem Eintrag:

O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe

...und klicke "Fix checked". Deatktiviere die Systemwiederherstellung und starte sodann das Sytem neu.


Patche dann dein System, weil das ist nicht gut:
Platform: Windows XP (WinNT 5.01.2600)

Orientiere dich ferner zukünftig an diesen Tipps:
http://www.trojaner-board.de/forum/u...c;f=4;t=002443

[ 01. Februar 2004, 22:38: Beitrag editiert von: mmk ]

blackrain 01.02.2004 20:23
At DerBilk & Markus

Juhuuu, habe ihn los...! [img]graemlins/aplaus.gif[/img]

Vielen Dank für Eure schnelle Hilfe, echt super, auf Euch ist Verlaß! [img]smile.gif[/img]

1000 Dank + Ciao
blackrain

*Christian* 01.02.2004 20:27
Unbedingt die WINUPDATE-Funktion nutzen, sonst wirst du immerwieder mit solcher Malware zu tun haben.

PS: Den Link, den mmk oben postete soll so heissen:
http://www.trojaner-board.de/forum/u...c;f=4;t=002443

blackrain 01.02.2004 21:22
Werde ich machen. Danke für den Link!

Gruß
blackrain


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131