|
Eigenartiger Fund Hallo zusammen, seit einigen Tagen bekomme ich beim Hochfahren des PC's immer eine Meldung vom Fund: Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/VB.ash Ich hatte beim ersten Fund löschen angegeben und auch danach die temporary Internet Files geleert (dort war der Fundort). Nun ist es aber so, das die Meldung trotzdem immer noch beim Einschalten erscheint, obwohl der Ordner in dem es sein sollte leer ist. Dann habe ich mal den Namen des Virus angeklickt, aber darüber gibt es keine Informationen. Ebenfalls habe ich mit Google gesucht und nicht ein Treffer. Irgendwie ist das eigenartig. Könnt ihr mir hier weiterhelfen? Danke schon mal Sandy |
Poste bitte ein Hijackthis Logfile. |
Zitat:
|
@Rene-gade: Warum denn nicht? Ist es verboten, in mehreren Foren zu posten? Ich habe es dort versucht, aber da sich dort möglicherweise niemand meldet habe ich es hier auch gepostet. Ich wußte ja nicht, dass das hier nciht erlaubt ist. @cosinus: Falls du trotzdem mal schauen willst: Logfile of HijackThis v1.99.1 Scan saved at 11:10:43, on 09.05.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService.exe C:\WINDOWS\System32\service.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\programme\deskcalc pro\deskcalc.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Trillian\trillian.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE G:\Programme\hijackthis_199\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [DeskCalc] "c:\programme\deskcalc pro\deskcalc.exe" /hide O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Startup: ONENOTEM.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE |
Crosspostings werden nicht gern gesehen. Jetzt helfen wir Dir hier und haben wohl schon eine Lösung für Dich parat. Jmd. anders, der jetzt im AntiVir-Forum Dir antwortet, würde sich ziemlich ärgern, wenn er wüsste, dass für Dich das Problem schon in einem anderen Forum behoben wurde. :kloppen: Zitat:
Ursache: Zitat:
|
Aha, ok danke. Dann werde ich im anderen Forum posten, dass es ich erledigt hat. |
Zitat:
Abgesehen davon könnte es sich bei der Service.exe auch um einen Sdbot-Abkömmling handeln, würde aber auch in dem Fall neuaufsetzen bedeuten. Siehe auch hier unter "service.exe" |
Moment mal, nicht dass ich da voreilige Schlüsse ziehe. Lass mal die Datei "service.exe" bei Jotti auswerten und poste das Ergebnis. Link siehe unten in meiner Signatur. |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo, @ cosiunus: Die "Editieren" Funktion hast Du aber auch noch nicht gefunden ;) Gruß Schrulli |
Doch klar kenn ich die Funktion ;) Aber erschien es mir in diesem Fall passender, eine neue Antwort zu erstellen. :o Hätte mal lieber editieren sollen... |
Hallo cosinus, habe eben erst gesehen, dass du nochmal was gepostest hast. Hier das Ergebnis vom Jotti-Scan: Datei: service.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX AntiVir Heuristic/Trojan.Downloader gefunden (mögliche Variante) ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender BehavesLike:Win32.Backdoor gefunden (mögliche Variante) ClamAV Keine Viren gefunden Dr.Web DLOADER.Trojan gefunden (mögliche Variante) F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Backdoor.Win32.Agent.zb gefunden NOD32 Keine Viren gefunden Norman Virus Control Sandbox: W32/Malware; [ General information ] * Decompressing UPX. * File length: 11810 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM32\service.exe. [ Changes to registry ] * Creates key "HKLM\System\CurrentControlSet\Services\WSCM". * Sets value "I"="" in key "HKLM\System\CurrentControlSet\Services\WSCM". * Sets value "DisplayName"="Windows Service Manager" in key "HKLM\System\CurrentControlSet\Services\WSCM". [ Network services ] * Connects to "LOCALHOST" on port 33333 (TCP). [ Security issues ] * Possible backdoor functionality [UNKNOWN] port 33333. * Possible backdoor functionality [UNKNOWN] port 4798. [ Process/window information ] * Creates service "WSCM (Windows Service Manager)" as "%SystemRoot%\System32\service.exe". gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden |
Hat den Verdacht bestätigt. Nimm Deinen Rechner endlich vom Netz und setz ihn neuauf. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board