|
malware in update.exe gefunden Hallo ich bin neu hier, wg. einer Meldung vom IE "Runtime error" habe ich einen kompletten virenscan laufen lassen. Norton hat nichts gefunden, aber ad aware. Was gefunden wurde habe ich gelöscht. Danach habe ich kaspersky online scan laufen lassen - es wurde dann nur noch eine datei unter C:\winnt\update.exe als Virus gemeldet mit den Namen: Trojan-Spy.Win32.BZub.if Kann ich diese Datei einfach löschen? Wie kann ich mir sicher sein, dass dann mein System clean ist? Betriebsssystem ist windows 2000 professional auf NT Basis SP 4. Habe immer alle Windows Updates installiert. Da ich kein pc-freak bin, hoffe ich, dass ich ohne das System neu aufsetzen zu müssen, hier eine Lösung finde. |
Hallo, wenn ich dich richtig verstehe, existiert die Datei update.exe noch? Wenn ja, mach folgendes: Geh zu Virustotal, gib in das Eingabefeld oben rechts auf der Seite exakt den folgenden Pfad ein: Code: C:\winnt\update.exeAußerdem erstelle ein HijackThis-Logfile und poste es hier. Eine Anleitung dazu gibt es hier in den Foren-FAQ. Benenne aber die Datei hijackthis.exe um in irgendwas.com, bevor du das Programm startest. |
Hallo Franz, hier das Scan-Ergebnis mit Virustotal: STATUS: FINISHEDComplete scanning result of "update.exe", received in VirusTotal at 06.04.2007, 23:07:09 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.31.2 06.04.2007 no virus found AntiVir 7.4.0.29 06.04.2007 HEUR/Malware Authentium 4.93.8 05.23.2007 no virus found Avast 4.7.997.0 06.04.2007 no virus found AVG 7.5.0.467 06.04.2007 PSW.Generic4.MQQ BitDefender 7.2 06.04.2007 no virus found CAT-QuickHeal 9.00 06.04.2007 no virus found ClamAV devel-20070416 06.04.2007 no virus found DrWeb 4.33 06.04.2007 no virus found eSafe 7.0.15.0 06.04.2007 no virus found eTrust-Vet 30.7.3690 06.04.2007 no virus found Ewido 4.0 06.04.2007 Logger.BZub.if FileAdvisor 1 06.04.2007 no virus found Fortinet 2.85.0.0 06.02.2007 no virus found F-Prot 4.3.2.48 06.04.2007 no virus found F-Secure 6.70.13030.0 06.04.2007 Trojan-Spy.Win32.BZub.if Ikarus T3.1.1.8 06.04.2007 Trojan-Spy.Win32.Goldun.lw Kaspersky 4.0.2.24 06.04.2007 Trojan-Spy.Win32.BZub.if McAfee 5045 06.04.2007 no virus found Microsoft 1.2503 06.04.2007 no virus found NOD32v2 2308 06.04.2007 no virus found Norman 5.80.02 06.04.2007 W32/Malware Panda 9.0.0.4 06.04.2007 no virus found Prevx1 V2 06.04.2007 no virus found Sophos 4.18.0 06.01.2007 Mal/Binder-C Sunbelt 2.2.907.0 06.04.2007 no virus found Symantec 10 06.04.2007 no virus found TheHacker 6.1.6.129 06.04.2007 no virus found VBA32 3.12.0 06.04.2007 no virus found VirusBuster 4.3.23:9 06.04.2007 no virus found Webwasher-Gateway 6.0.1 06.04.2007 Heuristic.Malware Aditional Information File size: 116440 bytes MD5: ffeca53f4e3011f4d6641228a7558138 SHA1: 59f102e2d50590f272c0e0185fdc4cb06eeedfb9 norman sandbox: [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO- REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 116440 bytes. [ Process/window information ] * Modifies other process memory. * Modifies execution flow of a remote process. und hier der HiJackThis-Logfile: Logfile of Trend Micro HijackThis v2.0.0 (BETA) [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
Zitat:
Da es sich offenbar um Malware handelt, die Zugangsdaten stiehlt, solltest du bis auf Weiteres kein Online-Banking oder ähnlich sensible Anwendungen betreiben. Wenn du die Möglichkeit dazu hast, ändere diese Zugangsdaten schon jetzt von einem sauberen System aus. |
Hallo Franz, sorry, habe jetzt m.E. alles editiert. Hier der HiJackThis-Logfile: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 22:57:04, on 04.06.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) Boot mode: Normal Running processes: C:\DATEV\PROGRAMM\B0000299\as\as.exe C:\DATEV\PROGRAMM\B0000299\as\as.exe C:\DATEV\PROGRAMM\B0000301\aida\aida.exe C:\DATEV\PROGRAMM\B0000301\MP\MP.exe C:\DATEV\PROGRAMM\B0000301\NF\NF.exe C:\DATEV\PROGRAMM\B0000000\RZNRDAEM\rznrdaem.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe C:\Programme\SPYWAREfighter\spftray.exe C:\WINNT\system32\lexpps.exe C:\WINNT\system32\internat.exe C:\WINNT\SYSTEM32\RZPJWTCH.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\pruefung.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.freenet.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.freenet.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [DATEV Updateservice] "C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe" O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe O4 - HKLM\..\Run: [LexPPS.exe] C:\WINNT\system32\lexpps.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKUS\.DEFAULT\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RZPJWTCH.LNK = C:\WINNT\SYSTEM32\RZPJWTCH.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://w*w.freenet.de/ O18 - Protocol: haufereader - (no CLSID) - (no file) O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE O23 - Service: DATEV DFÜ-System Dienst (Dcmanag) - DATEV eG - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Unknown owner - C:\Programme\HP\e-DiagTools\Service.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe -- End of file - 6617 bytes Ich hoffe ich habe alles richtig gemacht. Werde vom anderen System meine Zugangsdaten ändern. Viele Grüße Jessi |
Geht es hier um einen Firmen-Rechner? :confused: Wenn ja, muss ich dich an deinen Administrator verweisen. |
Hallo Franz, es handelt sich hier nicht um einen Firmenrechner. Ich schreibe hier als Privatperson. Ich bin selbständig und benutze den Rechner natürlich zuhause auch für meinen Schriftverkehr o.ä. Viele Grüße Jessi |
Hast du HijackThis im abgesicherten Modus ausgeführt? Im Logfile heißt es zwar: Zitat:
Noch etwas: Das Zitat:
Ansonsten muss ich erst mal überlegen; denn in deinem Logfile fehlen Einträge, die ich erwartet hatte. Bis dahin lade dir schon einmal Silentrunners, starte es und poste das Logfile. |
Hallo, es ist weniger, ob du uns privat schreibst oder geschäftlich ;) ,das Problem... Das hier : Zitat:
Hier ist es so : private User helfen privaten Usern Da du mit deiner Kiste Geld verdienst,fällst du aus dem privaten Raster.... Wende dich an jemand ,der mit der Reperatur von Computern ebenfalls Geld verdient...... Irrlicht |
Hallo, der Lizenzvertrag mit Datev besteht seit 2006 nicht mehr - aber anyway. Ich versuche dann an anderer Stelle Hilfe zu bekommen. Vielen Dank Gruß Jessi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board