TrojanSpy Win32.Briss.h

#1 Hey...
habe seit einiger zeit Win32.Briss.h auf dem rechner, norton erkennt ihn, kann ihn aber nicht entfernen!
der wurm soll im temp ordner sein. die datei heisst "tmp-3.xpi"

Logfile of HijackThis v1.97.7
Scan saved at 12:52:15, on 01.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Kaspersky\avpcc.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Kaspersky\avpcc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Kaspersky\avpm.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla\mozilla.exe
C:\Programme\WinRar\WinRAR.exe
C:\DOKUME~1\JONNY_~1\LOKALE~1\Temp\Rar$EX00.375\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVPCC] C:\Programme\Kaspersky\avpcc.exe /wait
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38075.7064699074
O17 - HKLM\System\CCS\Services\Tcpip\..\{32C26988-E8CD-4759-AFF7-8BA3C84D2C68}: NameServer = 62.155.255.16,194.25.2.129

ich hoffe mir wird geholfen :-)

in diesem sinne

Jonny

#2 Das Log ist sauber, probier mal das:
1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner mit einem Anti-Viren Programm.
4.)Update dein Windows ( Klick mich )
5.)Freuen.

MFG
DAFRA

#3 Das hoert sich stark nach Fehlalarm an. Die Dateierweiterung xpi ist eine Art Installationspaket fuer Mozilla/firefox.
__________
MfG Ralf
SEO-Spam Hunter

#4 habs im abgesichertem modus laufen lassen, er erkennt den virus, kann sie aber weder löschen noch desinfizieren.
der virus steckt in temp ordner
in der datei tmp.xpi...
die allerdings 2 weitere dateien namens: netscape.bts (oder so ähnlich)enthält,
die als Win32.Briss.h identifiziert werden. an die ich aber nicht rankomme, da die tmp.xpi nicht als ordner angelegt ist.
ich hoffe ich konnte mich verständlich mitteilen :-)

ps: ich denke es ist kein fehlalarm, da ich wirklich probleme habe etwas dauerhaft am pc zu machen, da er immer wieder einfriert. der zeitraum müsste identisch sein mit dem, seitem ich den virus habe

mfg

jonny

#5 Poste mal den Teil des Reports, wo diese Meldung vorkommt.
__________
MfG Ralf
SEO-Spam Hunter

#6 ich kann den report nicht posten, denn seitdem ich im abgesichertem modus ohne systemwiederherstellung kaspersky lasufen lassen habe und die file von hand gelöscht habe, findet ich den virus ned mehr. mit keinem programm.
deshalb hab ich auch nix mehr geschrieben weil ich dachte das problem wäre erledigt, aber ich kann wirklich KEINEN prozess durchlaufen lassen der viel cpu in anspruch nimmt, ohne das der rechner abschmiert!
kann es sein das der sich irgnedwie "festgesetzt" hat nachdem ich die systemwiederherstellung deaktiviert habe? und er jetzt ned mehr erkannt wird?

#7 O4 - HKLM\..\Run: [AVPCC] C:\Programme\Kaspersky\avpcc.exe /wait
ich will ja nicht. falsches sagen.... aber wenn ich den Kaspersky installiert habe, bleibt mein Comp. auch regelmaessig haengen.
Deinstalliere ihn mal und sieh, ob es besser laeuft.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit