Virusbeseitigung

Novarra · 19.10.2008

Hallo,

habe heute mit meiner Antivirussoftware (Panda Titanium 2008) gescannt und ne Virusmeldung bekommen. Horror...sowas hatte ich noch nie....Und zwar in Informationsform..sonst ist zuvor mal vor Jahren bei Virusmeldung (Trojaner lt. Panda ein recht ungefährliches dings) direkt desinfiziert worden.

Es gab folgende Meldung:

Virus entdeckt: W32/Spamta.gen.worm
EvildaysofLucklessJohn_Trainer.rar[gghz-edoljtrn.exe]

Also diese Datei habe ich gesucht, gefunden und gelöscht, reicht das? Oder was genau muss ich nun machen um nachhaltig zu desinfizieren, sprich das verdammte Virus los zu werden.

Mein System: Windows XP SP 3 (falls noch mehr Systeminfos nötig bitte melden..ich habe null Ahnung von dem Zeugs)

Gruß Novarra

W.E. · 19.10.2008

den haste dir wahrscheinlich über icq von deinen buddies eingefangen....
mit datei löschen ist da nix. das kommt immer wieder.

viel spass:

http://www.wintotal-forum.de/index.php/topic,147847.0/topicseen.html

den tab lass ich jetzt gleich offen, dann muss ich nicht immer die lesezeichen durchwühlen.... ;D

Novarra · 19.10.2008

ach du liebes bisschen..dazu werde ich wohl jemanden engagieren müssen...keinen Bock mir dabei die Hirnzellen gruselig zu matschen.

Danke für den Link mit den fünf Millionen Schritten die man machen muss um ein Virus wieder los zu werden.

Nebenfrage: welche Schäden kann denn dieses Virus anrichten? Hat da jemand ne Ahnung?

W.E. · 19.10.2008

warte auf schrauber. wenn der mit seinem hardwareproblem durch ist, dann krempelt der bei dir die ärmel hoch....

lehn dich zurück und rauche ne zigarette...

schrauber · 19.10.2008

jo bin ja schon am start

mir raucht sowieso die birne mit dem hardware-rechner

von der seite, die W.E gepostet hat, bitte nur das Tool Hijackthis abarbeiten, log posten.

die ganzen tools auf dieser seite müssen nicht der reihe nach abgearbeitet werden, das ist nur eine sammlung, auf die ich und andere hinweisen können, wenn ein tool abgearbeitet werden soll

PCDpan_fee · 19.10.2008

Novarra schrieb:
Danke für den Link mit den fünf Millionen Schritten die man machen muss um ein Virus wieder los zu werden.

fang erst einmal mit HijackThis an.
Den Rest erledigt dann unser Forumsuser schrauber.

pan_fee

Novarra · 19.10.2008

also o.k ich werde das Higjacksdings-Programm mal downloaden. Aber es fängt direkt bei der Beschreibung an dass ich dieses Programm in einen EXtra-Ordner kopieren soll...wo soll ich diesen Ordner genau positionieren?? Auf ner anderen Festplattenpartition oder ist es egal?
Generell wird ein Programm ja an sich automatisch in einem eigenen Ordner angelegt...bei mir meist automatisch im Überordner Programme.

Ich brauche da leider etwas genauere Angaben...so als blutige Laiin. Wie genau lege ich diesen EXtra-Ordner an und wo?

Leider kann ich auch erst am Dienstag weitermachen, muss heute noch auf Party und morgen den ganzen Tach arbeiten, womit ich dann morgen abend platt sein werde.

Bis dahin wäre weitere Tipps ganz simpel erklärt für Doofe (In SAchen Computer sonst an sich gar nicht mal so unschlau) höchst willkommen

Damit verabschiede ich mich zunächst Mylords und wünsche weiterhin gehmes PC-schräubeln

Untertänigst
Novarra

schrauber · 19.10.2008

in den ordner programme installieren, das reicht

Leider kann ich auch erst am Dienstag weitermachen

ist ja dein rechner

Novarra · 21.10.2008

also hier die Kopie der logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:56, on 21.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsCtrls.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PSHOST.EXE
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\SYSTEM32\HPZipm12.exe
C:\Programme\Highjackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\System32\pavdr.exe,C:\WINDOWS\System32\userinit.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [APVXDWIN] C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE /s
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [PPFW] c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PPFW.EXE PPFW.EXE /cmd:allowpandarules /prod:titanium /mod:7 /flg:2 /ver:7.0.0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]http://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - [url]http://www.download-url.de/install/StarInstall.ocx[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C34FC1-4485-4AD4-8245-326C77AB09CD}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\HPZipm12.exe
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - C:\WINDOWS\system32\pr2ajbeb.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

--
End of file - 7869 bytes

so nun habe ich systemmäßig die Hosen runtergelassen...ich hoffe hier sitzen keine bösen Buben mit Hintergedanken? Dieses beknackte Virus hat mich misstrauisch gemacht.

Hallo schrauber? Stehst du standby um mir mal ein paar weitere Tipps geben zu können? Ich kann mit dem logfile-Kauderwelsch echt nix anfangen.

Novarra · 21.10.2008

bei Highjackthis gab es die Möglichkeit mein System bzw. das logfile analysieren zu lassen, habe ich grad getan und krieg die Meldung dass lt. Analyse keine Firewallaktivität erkennbar ist. Hääää?? Dabei läuft lt. meines Pandaantivirsprogramms die Panda Firewall und der Schutzlevel wird lt. Panda auf hoch eingestuft.

Zudem läuft an sich die Windows-Firewall ebenfalls...ich habe sie niemals deaktiviert.....komisch. Muss ich jetzt noch ne dritte Firewall besorgen und draufziehen? Also bislang lief mit meiner Windowsfirewall und auch Panda alles über 7 Jahre reibungslos...bis auf zwei Trojanerli (die von Panda plattgemacht wurden) niemals eine Infektion...

Lt. der Analyse bei Highjackthis gab es viele grüne Häkchen, aber auch leider einen rot angekreuzten Eintrag:

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - download-url.de/install/StarInstall.ocx

Art

Prüfen ob Sie diese Seite kennen und ggf. fixen. Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie->dialer',->casino',->free_plugin' etc, sollten diese unbedingt gefixt werden!

wie kann ich feststellen ob ich diese SEite kenne?? Soll ich nochmal um mich erinnern zu können auf diese Seite und mir nochmal das Virus einfangen?? Oder einfach im Zweifelsfall direkt fixen? Scheint ja auf den ersten Blick nix wichtiges zu sein, was mein System vermissen oder zusammenklappen lassen sollte, oder?

Dann gab es noch ein gelbes Fragezeichen im Endteil des logfiles:

------------------------------------------------------------------------------------------

Unbekannt
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - C:\WINDOWS\system32\pr2ajbeb.exe

Art

Neutral
Neutral
Unbekannter Dienst. (pr2ajbeb.exe)

-------------------------------------------------------------------------------------------

was issn des für ein Dienst und kann ich den auch sicherheitshalber fixen ohne das mein System nen Hustenanfall kriegt oder so? Wozu dient dieser Dienst eigentlich? Merkt man wohl ggf. erst wenn man den weggefixt hat??

Wie ist das überhaupt wenn ich was gefixt habe und merke: auweia...jetzt läuft gar nix mehr...kann ich dann auch wieder ent-fixen? Also diese ganze Fixerei ist doch echt wohl eher nur was für Junkies...mennomennomenn...

Über Hinweise wäre ich extrem glücklich und dankbar.

Gruß Novarra (besorgt = gerührt...aber noch nicht geschüttelt..da es derzeit noch keine Systemschwierigkeiten gibt)

W.E. · 21.10.2008

Unbekannt
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - C:\WINDOWS\system32\pr2ajbeb.exe

das dürfte dein eigentliches problem sein - und dann noch als dienst......

wie verbindest du dich mit dem internet? starinstall scheint ein dialer zu sein.

(besorgt = gerührt...aber noch nicht geschüttelt..da es derzeit noch keine Systemschwierigkeiten gibt)

im trojanerboard fand ich einen hinweis, schon mal alle angeschlossen externen hdds und usb-sticks zu formatieren....
aber warte auf schrauber, der hat glücklicherweise noch eine arbeitsstelle.......
es wird wohl später nachmittag werden.

Novarra · 21.10.2008

dank dir für deine Info W.E.

Ich vermute auch schrauber wird da zustimmen, dass ich diese exe-Dingsda fixen oder sonstwas muss. Ich traue mich aber noch nicht so ganz....wird mir ganz mulmig da in den exe-Dateien rumzuexen...

Ich habe gerade nochmals mit meiner Panda-Antivirussoftware gescannt....lt. aktuellem Bericht gab es kein Ereignis und liegt KEIN Virusbefall mehr vor.

Kann es also sein, dass mein Löschen der Datei das Virus bereits beseitigt hat? Wenn nicht warum zeigt dann mein Antivirusprogramm nun keinen Virusbefall mehr an??

Ich musste feststellen, dass meine Windowsfirewall deaktiviert war, habe sie wieder aktiviert...entweder ist das passiert als ich hier einen Schrauber in Persona da hatte, der mir das SP 2 draufgezogen hatte oder ich habe das mal gemacht..

Wie ich mich mit Internet verbinde...wie aus der logfile ersichtlich mit nem Fritz-Box Modem über nen Mozilla-Browser.

W.E. · 21.10.2008

dann hast du einen dialer in betrieb. mit fritz.box modem kann ich nichts anfangen. ist das nun eine fritz.box (router) oder ein modem?

schrauber · 21.10.2008

hi,

so,dann der reihe nach:

C:\WINDOWS\system32\pr2ajbeb.exe

diese datei bei www.virustotal.com/de scannen lassen, button filter drücken, ergebnis hier posten.

===

von der seite mit den anleitungen das tool RSIT abarbeiten, log.txt posten, info.txt speichern, brauche ich später.

===

der O16-fund ist eine active-x komponente für den internet explorer, schädlich, aber lässt mich im moment eher noch ruhig. warten wir auf die anderen logfiles.

Novarra · 21.10.2008

habe ich scannen lassen, es kam die Meldung, dass die Datei bereits analysiert worden ist und nachdem ich nochmals aus analysieren gedrückt habe kam ein ellenlanger Bericht raus....soll ich den posten.

hier die Filterkopie:

Datei pr2ajbeb.exe empfangen 2008.10.21 15:56:57 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.18.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.21 -
BitDefender 7.2 2008.10.21 -
CAT-QuickHeal 9.50 2008.10.21 -
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6161 2008.10.21 -
Ewido 4.0 2008.10.21 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.21 -
Fortinet 3.113.0.0 2008.10.21 -
GData 19 2008.10.21 -
Ikarus T3.1.1.44.0 2008.10.21 -
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 -
McAfee 5409 2008.10.21 -
Microsoft 1.4005 2008.10.21 -
NOD32 3541 2008.10.21 -
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.21 -
PCTools 4.4.2.0 2008.10.21 -
Prevx1 V2 2008.10.21 -
Rising 20.67.12.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 -
Sophos 4.34.0 2008.10.21 -
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 -
TheHacker 6.3.1.0.121 2008.10.21 -
TrendMicro 8.700.0.1004 2008.10.21 -
ViRobot 2008.10.21.1430 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.20 -
weitere Informationen
File size: 411000 bytes
MD5...: ed83a07fcc79f8a96845486cc93b342a
SHA1..: 22de4e0f183d13258115c630b26cf28e9dd55430
SHA256: a18975cc8a61243510a11836429108e5481e57b665e248e2eb19f345cedd5507
SHA512: 09a67085f4d7284a5526ce12cbfc891306d1f402fb6af0075d64efa0b2527f93 74db886397b318cbe919a2edd0f74c09dfe59eb6c343f2733de1b956c7f228fa
PEiD..: -
TrID..: File type identification Win32 EXE PECompact compressed (generic) (41.8%) Win32 Executable MS Visual C++ (generic) (37.9%) Win32 Executable Generic (8.5%) Win32 Dynamic Link Library (generic) (7.6%) Generic Win/DOS Executable (2.0%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x41af05 timedatestamp.....: 0x46cc64e2 (Wed Aug 22 16:31:30 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3e6bc 0x3f000 6.60 bef2273b5553e3fa395d569019a5445c .rdata 0x40000 0x1bca0 0x1c000 4.90 f62f8139c5ab2e7076a033e529e6aaba .data 0x5c000 0x7654 0x6000 4.57 5d44aba158273654fa58b745b49359ad .rsrc 0x64000 0x6c8 0x1000 2.15 c470009ecf2914a97ad202b0bfa248a5 ( 4 imports ) &gt; USER32.dll: MessageBoxA, MessageBoxW &gt; KERNEL32.dll: FormatMessageA, CloseHandle, FreeLibrary, SystemTimeToFileTime, GetSystemTime, GetCurrentProcess, LoadLibraryW, LocalFree, SetLastError, GetFullPathNameW, QueryDosDeviceW, GetVersionExA, GetVersionExW, LoadLibraryA, CreateFileA, CreateFileW, GetModuleFileNameA, CreateFileMappingA, CreateFileMappingW, CreateMutexA, CreateMutexW, GetSystemDirectoryA, GetSystemDirectoryW, GetWindowsDirectoryA, GetWindowsDirectoryW, GetDriveTypeW, FindFirstFileA, FindFirstFileW, GetEnvironmentVariableW, GetModuleHandleW, WriteConsoleA, CreateProcessA, CreateProcessW, GetFileAttributesA, GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, DeleteFileA, DeleteFileW, WideCharToMultiByte, LocalAlloc, FormatMessageW, AreFileApisANSI, GetOEMCP, GetACP, FindClose, GetFileSize, ReadFile, WriteFile, SetFileTime, MapViewOfFile, UnmapViewOfFile, DeviceIoControl, SleepEx, WaitForMultipleObjectsEx, ReleaseMutex, GetExitCodeProcess, WaitForSingleObject, HeapFree, HeapAlloc, RtlUnwind, HeapReAlloc, RaiseException, GetProcessHeap, GetStartupInfoA, HeapDestroy, HeapCreate, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThreadId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, GetConsoleCP, GetConsoleMode, FlushFileBuffers, Sleep, HeapSize, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetConsoleOutputCP, SetFilePointer, SetStdHandle, SetEndOfFile, GetCPInfo, GetTickCount, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetEnvironmentVariableA, GetStdHandle, WriteConsoleW, VirtualFree, VirtualAlloc, InterlockedDecrement, InterlockedIncrement, LCMapStringW, MultiByteToWideChar, GetModuleHandleA, GetProcAddress, GetLastError, GetCommandLineA &gt; ADVAPI32.dll: RegCloseKey, ControlService, DeleteService, CloseServiceHandle, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegQueryValueExW, RegQueryValueExA, RegSetValueExW, RegSetValueExA, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegOpenKeyExA, RegCreateKeyExW, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, StartServiceW, ChangeServiceConfigW, QueryServiceConfigW, CreateServiceW, OpenServiceW, OpenSCManagerW, SetServiceStatus, RegDeleteValueW &gt; VERSION.dll: GetFileVersionInfoSizeW, VerQueryValueA, GetFileVersionInfoW ( 0 exports ) 

auweh...wer wird denn aus sowas schlau?

schrauber · 21.10.2008

üch

mach bitte RSIT und poste das log.

Novarra · 21.10.2008

sry muss zwischendurch auch mal Arbeiten...habe ja nen Laptop der unabängig von diesem virenverseuchten PC läuft, wichtige Daten sind gesichert....wenn alles schiefläuft schmeisse ich das gesamte Ding (also den Virus-PC nicht den Schlepptop) ggf einfach aus dem Fenster?? Womit das Problem dann auch gelöst wurde...ohne groß Kopfschmerzen davon zu kriegen mit zig Programmen zig Logfiles zu erstellen...ist das IMMER so bei Virenbefall? Gibt es da nicht ein einzelnes Superantivirusprogramm mit der Lizenz das Virus direkt zu killen?

Habe das mit RSIT gemacht, aber da steht mir zu viel Intimes Zeugs drin, u.a. mein Name an millionenstellen....ich steh da nicht auf Veröffentlichung und brauche leider so 1-2 Tage um die Datei umzuschreiben um meine Namen überall raus zu XXXen. Die logfile ist ja leider kilometerlang.

Also für heute kannste ruhig mal Feierabend bei mir machen lieber schrauber, ich danke dir herzlich für deine bisherige Hilfe und komme ggf. in den nächsten TAgen auf dich zurück..muss leider ne Reise nach London vorbereiten (und dazu noch ne Runde joggen damit ich in mein Highend-Kleidchen reinpasse) wo ich bei der James-Bond-Weltpremiere über den roten Teppich mit laufen/stolpern muss....(wer will an meiner statt fahren? Der muss allerdings auch in meinem Kleid so gut aussehen wie ich leutz) finde ich derzeit wichtiger.....daher bleibe ich gelassen und höchstens gerührt und nicht geschüttelt....kicher...

Wichtige Fragen immer noch für mich offen...wie gefährlich ist dieses Virus (muss ich da an sich mehr Schiss haben als ich derzeit habe??) und kann es sein, dass es bereits futsch ist? Da die Panda-Software jetzt nix mehr meldet? PC läuft auch einwandfrei..und wenn das Virus aus dem Trainer stammt ist es bereits über 3-4 Monate auf dem PC....sehr seltsam alles...

An W.E.: ich habe ein Fritz-Box Modem und das als Router konfiguriert so weit ich weiss....hat mir ein Bekannter so eingestellt, den ich auch nochmal wegen der Virensache ansprechen werde.

Also bis denne mal,

Novarra

schrauber · 21.10.2008

ich kann dir erst sagen, wie schlimm es ist und ob es weitere befallene dateien gibt, wenn ich das log von dem systemscan sehe, klingt ja logisch oder nicht? und per ferndiagnose geht es nur mal so.

erst schau ich was sich auf dem system tummelt, und dann werden spezielle remover und von hand geschriebene scripte angwendet, um zu säubern. ist halt eben so :/

PCDpan_fee · 22.10.2008

schrauber schrieb:
so,dann der reihe nach:

C:\WINDOWS\system32\pr2ajbeb.exe

Zum Vergrößern anklicken....

diese datei bei www.virustotal.com/de scannen lassen

sollte zu Sinking Island Game gehören
http://www.sf-radio.net/games/sinkingisland.php

[sub]http://www.wintotal.de/Spyware/index.php?Filter=P#Spyware14170[/sub]

Novarra schrieb:
also hier die Kopie der logfile:
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - download-url.de/install/StarInstall.ocx

[sub]http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware1468[/sub]

pan_fee

schrauber · 22.10.2008

danke liebe fee :1

Virusbeseitigung

Novarra

W.E.

Novarra

W.E.

schrauber

PCDpan_fee

Novarra

schrauber

Novarra

Novarra

W.E.

Novarra

W.E.

schrauber

Novarra

schrauber

Novarra

schrauber

PCDpan_fee

schrauber

Virusbeseitigung

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums