Virus?

eddiefrogsplash · 3. Mai 2008, 11:47

Ich habe wieder einmal ein Problem mit meinem Computer (-.-). Es werden bei mir ständig Symbole vom "Virenprogrammen" auf dem Desktop angezeigt, aber wenn ich sie lösche, sind sie vorerst weg. Wenn man den PC dann ausmacht und wieder einschaltet, sind sie wieder da. Wenn ich draufklicke, will das Programm in den Internet Explorer, also ist es schonmal kein Virenporgramm. Unter Software find ich das auch nicht. Und auch komisch ist, dass das Symbol das Zeichen für Verknüpfung hat, es aber keine ist. Ich lösche das und normalerweise müsste dann die Nachricht kommen, dass das nur die Verknüpunfg ist, aber nichts, wird normal gelöscht, ist danach aber wieder da. Mit Antivir hab ich auch schon einen System-Check gemacht, wurde aber nichts gefunden. Und dazu kommen dann noch alle 2 Minuten Meldungen, dass ein Virus gefunden wurde. Aber wenn ich auf OK drücke, will der wieder in den Internet Explorer.

Ein paar Bilder:

Rio91 · 3. Mai 2008, 11:52

Tja kommt davon wenn man sich 800 Games am Tag über Rapidshare runterlädt :rolleyes:

eddiefrogsplash · 3. Mai 2008, 11:58

Original von Eintrachtler91
Tja kommt davon wenn man sich 800 Games am Tag über Rapidshare runterlädt

Dumm?^^

Arilac · 3. Mai 2008, 12:02

Treiber und Windows CD liegen schon in Sichtweite?

sicher-ins-netz.info/analyse/hjt.html

Nachmachen und hier posten.

eddiefrogsplash · 3. Mai 2008, 12:07

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:22:50, on 03.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox 3 Beta 5\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\distnoted.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Dokumente und Einstellungen\Glombik\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: DVA First - {F2FB4BB4-4C80-4AEE-8B59-F146B08F6193} - C:\WINDOWS\gndarmblldk.dll
O3 - Toolbar: wxdbpfvo - {3E1A7455-8F94-40B1-A2A8-4FE1A5264F8B} - C:\WINDOWS\wxdbpfvo.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: bdkpfxqw - {9CD7DED3-5DDE-4DBA-B30C-90ABC5F006BF} - C:\WINDOWS\bdkpfxqw.dll
O21 - SSODL: qadovnel - {741AF0DA-C6C3-4F8C-B634-AC4D7A315E17} - C:\WINDOWS\qadovnel.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 5800 bytes

Arilac · 3. Mai 2008, 13:04

Gehe auf virustotal.com
Avira auschalten. Regenschirm unten rechts mit der rechten Maustaste anklicken und AntiVir Guard auschalten.

Copy&Paste :

C:\WINDOWS\gndarmblldk.dll
und
C:\WINDOWS\wxdbpfvo.dll
und
C:\WINDOWS\bdkpfxqw.dll
und
C:\WINDOWS\qadovnel.dll

Hochladen und Ergebnis posten.

eddiefrogsplash · 3. Mai 2008, 13:17

Original von Arilac
Gehe auf virustotal.com
Avira auschalten. Regenschirm unten rechts mit der rechten Maustaste anklicken und AntiVir Guard auschalten.

Copy&Paste :

C:\WINDOWS\gndarmblldk.dll
und
C:\WINDOWS\wxdbpfvo.dll
und
C:\WINDOWS\bdkpfxqw.dll
und
C:\WINDOWS\qadovnel.dll

Hochladen und Ergebnis posten.

Ich werds mal probieren!

eddiefrogsplash · 3. Mai 2008, 13:24

Soll ich dir das schicken?:

AhnLab-V3 2008.5.3.0 2008.05.02 -
AntiVir 7.8.0.11 2008.05.02 ADSPY/AdSpy.Gen
Authentium 4.93.8 2008.05.02 -
Avast 4.8.1169.0 2008.05.03 Win32:Vapsup-EB
AVG 7.5.0.516 2008.05.03 Downloader.Adload.IC
BitDefender 7.2 2008.05.03 -
CAT-QuickHeal 9.50 2008.05.02 -
ClamAV 0.92.1 2008.05.02 -
DrWeb 4.44.0.09170 2008.05.03 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5755 2008.05.03 -
Ewido 4.0 2008.05.03 -
F-Prot 4.4.2.54 2008.05.02 W32/Adware-RegBHO-based.1!Maximus
F-Secure 6.70.13260.0 2008.05.03 -
Fortinet 3.14.0.0 2008.05.03 W32/Emogen.AC!tr
Ikarus T3.1.1.26 2008.05.03 Trojan-Downloader.Agen.253952
Kaspersky 7.0.0.125 2008.05.03 -
McAfee 5287 2008.05.02 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Zlob.gen!H
NOD32v2 3072 2008.05.03 -
Norman 5.80.02 2008.05.02 -
Panda 9.0.0.4 2008.05.03 -
Prevx1 V2 2008.05.03 Malware Downloader
Rising 20.42.22.00 2008.04.30 Trojan.DL.Win32.QQHelper.bdn
Sophos 4.29.0 2008.05.03 Mal/Emogen-AC
Sunbelt 3.0.1097.0 2008.05.03 -
Symantec 10 2008.05.03 -
TheHacker 6.2.92.299 2008.05.03 -
VBA32 3.12.6.5 2008.05.02 suspected of Downloader.Zlob.7
VirusBuster 4.3.26:9 2008.05.02 -
Webwasher-Gateway 6.6.2 2008.05.03 Ad-Spyware.AdSpy.Gen
weitere Informationen
File size: 266240 bytes
MD5...: 5c1d5e115ba8ff14784f34de2ef49bd1
SHA1..: fe1c4452da9e06bed46d9f0beca96d417a681132
SHA256: ab527e140678b053982f201751ea2602e642b496186c28f3b51a41d02c6f2e82
SHA512: f147100fa67a25c8a737d5f86a88697e1edb45ade2d5072cf8cb05df474c595b
282885a818fb15379c3a38c61459a7b780c7c10b6dcd46acaa62723ab14fddc0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001e27c
timedatestamp.....: 0x481a6cee (Fri May 02 01:22:54 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2f169 0x30000 6.38 f58b128a78adf5683508770e1346915c
.rdata 0x31000 0x9a93 0xa000 5.00 664ba2a8030d5e45e10857176796c12f
.data 0x3b000 0x3984 0x2000 3.91 8149f278fcad0f761361a05f51e046bf
.rsrc 0x3f000 0xb68 0x1000 3.50 6e56e7965c96894e30098721c491e94b
.reloc 0x40000 0x2eb2 0x3000 5.09 b19422f4cd5dd312820b562521c1b621

( 6 imports )
> KERNEL32.dll: CreateFileW, SetFilePointer, WriteFile, InterlockedIncrement, InterlockedDecrement, FreeLibrary, lstrcmpiW, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, Sleep, RaiseException, GetLastError, EnterCriticalSection, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, GetProcAddress, LoadLibraryW, CreateFileA, SetEndOfFile, CreateThread, CloseHandle, ResetEvent, WaitForSingleObject, OpenEventW, LocalAlloc, lstrlenW, FormatMessageW, GetModuleFileNameW, LocalFree, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, ReadFile, FlushFileBuffers, SetStdHandle, GetStringTypeW, GetStringTypeA, LoadLibraryA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapReAlloc, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetModuleHandleA, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, RtlUnwind, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP, GetConsoleMode
> USER32.dll: UnregisterClassA, MessageBoxW, CharNextW
> ADVAPI32.dll: RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteKeyW, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, RegEnumKeyExW, RegQueryValueExW
> ole32.dll: CoTaskMemRealloc, CoTaskMemAlloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: StrToIntW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Link: virustotal.com/de/analisis/1da623959b9cac059df6d3f702888478

Das ist von der ersten Datei

eddiefrogsplash · 3. Mai 2008, 14:43

Mir ist gerade noch was aufgefallen: Ich komm nicht in den Task-Manager! Da steht, dass der Task-Manager durch den Administrator geblockt wurde!

Rio91 · 3. Mai 2008, 14:46

Original von eddiefrogsplash
Mir ist gerade noch was aufgefallen: Ich komm nicht in den Task-Manager! Da steht, dass der Task-Manager durch den Administrator geblockt wurde!

Am besten ist Format/C wenn du ne externe festplatte hast mach die wichtigsten daten da drauf...

Arilac · 3. Mai 2008, 15:04

Wie erstaunlich ZLOB :rolleyes:

Bei Zlob darf man keinen Spaß verstehen. Irgendwann mal einen Videocodec installiert oder Crack ausgeführt und schon hat man mit das überlste auf dem Pc was man sich einfangen kann.

Zlob ist sehr bösartig, komplex und verändert sich ständig in seiner Form - hier hilft Dir irgendeine Anleitung ziemlich wenig um ihn zu entfernen. Er lädt ständig Malware nach und mittlerweile können noch zig weitere Schädlinge auf dem Pc sein. Passwörter dürften als bekannt gelten und müssen sofort von einem sauberen System geändert werden.

Sag was du tun willst und ich helfe dir würde dir jedoch zu Format C: raten, da hier nicht mehr viel zu retten ist. Gelöscht bekommt man Zlob nämlich nicht.

Fabb0 · 3. Mai 2008, 16:23

Edit: So, erledigt. Das ganz zeug mal rausgenommen, zieht thread nur unnötig inne Länge :]

Rio91 · 3. Mai 2008, 16:25

Original von eddiefrogsplash

Original von Eintrachtler91
Tja kommt davon wenn man sich 800 Games am Tag über Rapidshare runterlädt

Dumm?^^

Nix dumm, der Virus wird duch Cracks ausgeführt. Und die benutzte ja wegen deinen gedownloadeten Games, Honk! :rolleyes:

eddiefrogsplash · 4. Mai 2008, 11:52

System neu aufgesetzt, Problem aus der Welt

Und meine Festplatte hab ich auch wieder :freu:

Arilac · 4. Mai 2008, 14:09

Halte das System bitte stets aktuell zumal Browser, Java und Windows. Nutze Firefox mit den Erweiterungen NoScript und Adblock Plus.. Filter von Cédrick nehmen.

Virus?

Virus?

RE: Virus?

Teilen

Benutzer online 1