|
Heur/Malware Vor kurzem hatte ich einen hartnäckigen Trojaner, aufgrunddessen setzte ich mein Betriebssystem Windows XP neu auf, der Trojaner war natürlich weg... aber schon nach kurzem nun dies Ich bekomme von Antivir ständig folgende Meldung: Es handelt sich um einen heuristischen Treffer. ...enthält verdächtigen Code: Heur/Malware zur Auswahl steht dann: in Quarantäne verschieben, Zugriff verweigern und Ignorieren... in Quarantäne verschobene Melden sich ziemlich schnell wieder und häufen sich so in Unmengen! Die Pfade sind entweder C:\Windows\System32\byxxxyy.dll oder C:\Windows\System32\jkkhffe.dll oder C:\Windows\System32\vtuspol.dll wobei erstgenannter Pfad am häufigsten gemeldet wird. Ich verwende nur Antivir und Spyware Doctor, die sich ja eigentlich nicht im Wege stehen dürften. Als Browser verwende ich Mozilla Firefox. Ich bin weiblich, kein Computer-Profi aber auch kein Neuling... ich wäre sehr dankbar, wenn mir jemand helfen könnte:) vieleicht hat ja auch einer einen Tipp, was man nach Neuaufsetzen EINFACHES unternehmen kann, damit ich nicht ständig Probleme mit sowas habe... |
Versuch doch mal, die erwähnten Dateien mit der "Killbox" zu löschen...das ist ein sehr machtvolles Tool, welches Du Dir aus dem Netz laden kannst... |
Zitat:
Danke für den ersten Hinweis, werde es versuchen... |
Zitat:
Mache ich da was falsch? |
mOIn lade die von dir genannten Dateien mal hier Virustotal oder hier Jotti hoch (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. Du könntest bitte mal ein HijackThis log erstellen -->HijackThis editiere alle Links (z.B. http -> hxxp) und personlichen Einträge. MFG |
Moin, wenn AntiVir einen heuristischen Treffer meldet, dann würde ich diesen doch zu allererst an Avira senden. :rolleyes: Sende die entsprechende(n) Datei(en) an heuristik2@avira.com. Gebe eine kurze Beschreibung der Situation und bitte um Rückantwort. |
Zitat:
Habe bei Virustotal die einzig auffindbare Datei (die auch am häufigsten von Antivir gemeldet wird) geladen...gefunden wurde nichts. (Leider habe ich den oberen Teil nicht festgehalten, wenn nötig kann ich nochmal laden) heraus kam: File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 mit Hijack This log setze ich mich gleich mal auseinander.... Neuerdings sind 2 Dateien mit Endung .dll hinzu gekommen, aber am häufigsten meldet sich weiterhin die oben erwähnte. Und nach einiger Zeit im Internet reagiert der Browser nicht mehr, nach Neustart vom Rechner wieder normal. |
Zitat:
Bin ich natürlich auch schon drauf gekommen - aber unter Antivir klappt das senden dieser Dateien nicht... wenn du noch einen Tipp hast, wie ich die als normale E-mail versenden kann... |
Ähhh... ich habe Dir die Emailadresse gegeben. Bitte an diese die Files paßwortgeschützt hinsenden. Sorry mehr kann ich wirklich nicht tun. |
Zitat:
Logfile of HijackThis v1.99.1 Scan saved at 19:13:25, on 30.12.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\vcmon.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://glob**.ac**.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://glob**.ac**.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://glob**.ac**.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {499E2510-82A5-40A2-BF5E-4D375A4B48B1} - C:\WINDOWS\System32\byxxxyy.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{4D80B77B-6705-44E0-B761-0C8062426F2E}: NameServer = 213.191.92.86 213.191.74.18 O20 - Winlogon Notify: byxxxyy - C:\WINDOWS\SYSTEM32\byxxxyy.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Remote Windows Services - Unknown owner - C:\WINDOWS\system32\vcmon.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe |
Moin, suche diese Datei hier im angegebenen Pfad --> C:\WINDOWS\System32\byxxxyy.dll <-- und packe diese in ein Archiv (WinZip, WinRar etc.). Versehe dies natürlich mit einem Paßwort und schicke es an --> heuristik2@avira.com <-- (einfach draufklicken) und warte ab. |
Zitat:
Werde ich so wegschicken und abwarten... |
Wenn Du das Problem gelöst hast, solltest Du Dein Betriebssystem auf den neuesten Stand bringen...(SP2) |
mOIn @Jazzyjazz leider hast du neben Vundo (vmtl. da typische Einträge O2 und O20 im Log vorhanden) noch einen anderen sehr viel schlimmeren Gast im Haus und den wird man nicht einfach so los --> W32/Tilebot-HX auch ist dein Betriebssystem nicht mehr aktuell Zitat:
Nach der Neuinstallation des Rechners solltest du auch alle Passwörter ändern und bis dahin kein Ebay und Onlinebanking. MFG |
Hallo Jazzy, Zitat:
Du schreibst, du hast dein System neu aufgesetzt und kurz danach bekamst du wieder eine Virenwarnung. Dazu habe ich drei Punkte: * Viren benötigen Systemzugriff, daher ist es ein hoher Risikofaktor mit Administratorenrechten zum Internet zu verbinden. Das anlegen eines BEnutzerkontos nach Windowsstandart hilft hier schon. Unter diesem kann man auch im Netz "surfen" und eigentlich fast alles mit dem geliebten Rechengerät anstellen, was man als Vollbenutzer kann, außer eben installieren. https://www.sicher-im-netz.de/partne...iches/fokus/18 * Desweiteren hat Microsoft eine recht eigenwillige Vorstellung von Service. Man behauptet, das wenn einem User alle möglichen Systemservice zur verfügung stehen, dies dem Benutzer die Handhabung leichter mache. Stimmt schon, dummerweise macht es auch den Zugriff zum System leichter. Daher gilt nach jedem System neuinstall, Dienste und Service abstellen, die nicht benötigt werden. Dazu gibts ganz nette Programme wie Xpy oder NTSVCFG * Wenn du diese beiden Regeln befolgst und dein SP2 noch aufspielst, dann kannst du deine Anti-Virus Programme allesmt löschen, denn tatsächlich sind diese häufiger der Grund für Malewarebefall, als das sie etwas verhindern oder bereinigen könnten. Es gibt keine Software, die Viren zuverlässig entfernen kann. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board