|
Virus löscht Norton-Antivirus + Firewall - Neuinstallationen + Onlinescans unmöglich habe gestern eine von Norton-Antivirus positiv!!! geprüfte .exe - Datei ausgeführt und sofort wurde ZoneAlarm + Norton deaktiviert! Bei jeder Neuinstallation bzw. Onlinescans werden alle .exe dateien automatisch vor abschluss der installation gelöscht. Der Computer lässt sich auch nicht im abgesicherten Modus starten. Ich habe die vermutlich infizierte Datei später auf einem anderen PC mit Antivir gescannt, der folgendes festgestellt hat: Trojanische Pferd TR/Agent.468996 leider gibt es nirgends Informationen zu diesem Trojaner und da ich den infizierten Computer nicht scannen kann, hilft mir die Erkenntnis vom Scan auch nichts. hier mein HijackThis - Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:08:39, on 07.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\windows\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\BLUEBYTE\PS Tray Factory\PSTrayFactory.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\StartupMonitor.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe P:\fsbl.exe P:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/G%FCnter/Dateien%20von%20G%FCnter/Eigene%20Daten/Internet/Internet-Adressen/Internet-Adressen.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/All%20Users/Favoriten/Internet-Adressen.htm R3 - URLSearchHook: (no name) - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - M:\Andreas\Daten\Verschiedenes\Anwendungen\GetRight\GetRight\xx2gr.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - M:\Andreas\Daten\Verschiedenes\Anwendungen\FlashFXP\FlashFXP\FlashFXP\IEFlash.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - M:\Andreas\Daten\Verschiedenes\Anwendungen\ICQ\ICQ\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe O4 - HKLM\..\Run: [winshost.exe] C:\windows\system32\winshost.exe O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [TrayFactory] C:\BLUEBYTE\PS Tray Factory\PSTrayFactory.EXE /start O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunOnce: [TrayFactory] C:\BLUEBYTE\PS Tray Factory\PSTrayFactory.EXE /start O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [winshost.exe] C:\windows\system32\winshost.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - M:\Andreas\Daten\VERSCH~1\ANWEND~1\ICQ\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - M:\Andreas\Daten\VERSCH~1\ANWEND~1\ICQ\ICQ\ICQ.exe (file missing) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\ICQ Lite\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\ICQ Lite\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E640000} - http://xbs.sea.mtree.com/mt/gcdialers/910000_200300_.exe O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing) O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Unknown owner - C:\Programme\Norton AntiVirus\isPwdSvc.exe (file missing) O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing) O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: STI Simulator - Unknown owner - C:\windows\System32\PAStiSvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 8953 bytes und habe auch einen F-Sucure Blacklight Scan gemacht: 09/07/07 11:07:36 [Info]: BlackLight Engine 1.0.64 initialized 09/07/07 11:07:36 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/07/07 11:07:36 [Note]: 7019 4 09/07/07 11:07:36 [Note]: 7005 0 09/07/07 11:07:39 [Note]: 7006 0 09/07/07 11:07:39 [Note]: 7011 3076 09/07/07 11:07:39 [Note]: 7026 0 09/07/07 11:07:39 [Note]: 7026 0 09/07/07 11:07:43 [Note]: FSRAW library version 1.7.1022 09/07/07 11:13:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt 09/07/07 11:13:43 [Note]: 10002 3 09/07/07 11:13:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml 09/07/07 11:13:43 [Note]: 10002 3 09/07/07 11:13:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png 09/07/07 11:13:43 [Note]: 10002 3 09/07/07 11:13:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png 09/07/07 11:13:43 [Note]: 10002 3 09/07/07 11:13:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt 09/07/07 11:13:43 [Note]: 10002 3 09/07/07 11:13:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg 09/07/07 11:13:43 [Note]: 10002 3 09/07/07 11:13:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg 09/07/07 11:13:43 [Note]: 10002 3 09/07/07 11:13:43 [Note]: 10002 2 09/07/07 11:13:43 [Note]: 10002 2 09/07/07 11:23:15 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll 09/07/07 11:23:15 [Note]: 10002 3 09/07/07 11:23:15 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL 09/07/07 11:23:15 [Note]: 10002 3 09/07/07 11:23:15 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll 09/07/07 11:23:15 [Note]: 10002 3 09/07/07 11:23:15 [Note]: 10002 2 09/07/07 11:23:15 [Note]: 10002 2 09/07/07 11:24:41 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe 09/07/07 11:24:41 [Note]: 10002 2 09/07/07 11:24:41 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys 09/07/07 11:24:41 [Note]: 10002 2 09/07/07 11:26:33 [Note]: 2000 1012 09/07/07 11:26:33 [Note]: 2000 1012 Ich bin wirklich verzweifelt und wäre sehr froh, wenn mir jemand helfen könnte ... (habe die infizierte Datei übrigends auch auf einem anderen Computer nochmals mit Norton gescannt --> das ergebnis: kein Virus gefunden --> AntiVir sowie BitDefender haben die Datei als Trojaner identifiziert) Würde mich über Hilfe freuen .... Mfg Andreas |
Hi, das ist ein Bagle. Norton hat eben nicht die beste Erkennung. Vielleicht solltest Du ihn nicht wieder installieren, nachdem Du dein System neu installiert hast, denn bei den Schäden und Gefahren, die Bagle auslöst, ist das die beste Lösung. Allerdings wird dir kein Virenscanner der Welt garantieren können, dass eine Datei in Ordnung ist. Gruß, Karl |
hi karl bin ja ein ziemlicher Neuling was das alles angeht, aber kann man den Computer wirklich nicht mehr retten? außer Firewall+AntiV geht ja alles einwandfrei *hüstel* |
Trojan-Downloader.Win32.Bagle.du ... so wird der Bagle von BitDefender (beim Scan) genannt ... Beschreibung/Details etc. ist aber nichts zu finden hätte vielleicht jemand eine idee, wo er sich hineingeschrieben haben könnte etc. auf dem infizierten PC?? |
Ist ein Rootkit, deswegen wirst Du den so nicht finden. Wenn Du wirklich so verrückt bist, dass es mit dem löschen der Dateien für dich ausreicht und dir alle sonstigen Manipulationen am System egal sind: Dann benutze die Funktion von Blacklight zum Umbenennen für diese Dateien:
Ist nicht mein Konto, das abgeräumt werden könnte, so wie es auch nicht meine Tür sein wird, die eventuell von ein paar Cops eingetreten wird um den Computer als Beweismaterial einzukassieren (richtig, nicht mein Computer) falls irgendwelche kriminellen Sachen von der Maschine ausgehen. Das Sicherheitsbedürfnis ist bei verschiedenen Menschen unterschiedlich stark ausgeprägt, manche turnen auch auf fahrenden S-Bahn-Zügen herum. |
Ich weiß nicht was die Leute immer haben! Beim Neuaufsetzen Ihres Systems eiern sie rum. Klar ist das Neuaufsetzen mit Arbeit verbunden. Aber wenn man die verplemperte Zeit abzieht, die man mit unnützen Reparaturversuchen und Anfragen in diversen Foren vergeudet, dann relativiert sich das doch schon erheblich. Und der Gewinn einer vernünftigen Neuinstallation mit abschließender Absicherung per Image Backup Software: Man kann künftigen Infektionen mit einem Lächeln entgegensehen. Falls ein Neuaufsetzen nötig sein sollte passiert das dann mit dem Image in wenigen Minuten. :juul: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:37 Uhr. |
Copyright ©2000-2024, Trojaner-Board