TrojanSpy Win32.Briss.h

#0
01.06.2004, 13:33
...neu hier

Beiträge: 3
#1 Hey...
habe seit einiger zeit Win32.Briss.h auf dem rechner, norton erkennt ihn, kann ihn aber nicht entfernen!
der wurm soll im temp ordner sein. die datei heisst "tmp-3.xpi"

Logfile of HijackThis v1.97.7
Scan saved at 12:52:15, on 01.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Kaspersky\avpcc.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Kaspersky\avpcc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Kaspersky\avpm.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla\mozilla.exe
C:\Programme\WinRar\WinRAR.exe
C:\DOKUME~1\JONNY_~1\LOKALE~1\Temp\Rar$EX00.375\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVPCC] C:\Programme\Kaspersky\avpcc.exe /wait
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38075.7064699074
O17 - HKLM\System\CCS\Services\Tcpip\..\{32C26988-E8CD-4759-AFF7-8BA3C84D2C68}: NameServer = 62.155.255.16,194.25.2.129

ich hoffe mir wird geholfen :-)

in diesem sinne

Jonny
Seitenanfang Seitenende
01.06.2004, 13:35
Member
Avatar Dafra

Beiträge: 1122
#2 Das Log ist sauber, probier mal das:
1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner mit einem Anti-Viren Programm.
4.)Update dein Windows ( Klick mich )
5.)Freuen.

MFG
DAFRA
Seitenanfang Seitenende
01.06.2004, 16:31
Moderator

Beiträge: 7805
#3 Das hoert sich stark nach Fehlalarm an. Die Dateierweiterung xpi ist eine Art Installationspaket fuer Mozilla/firefox.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.06.2004, 14:41
...neu hier

Themenstarter

Beiträge: 3
#4 habs im abgesichertem modus laufen lassen, er erkennt den virus, kann sie aber weder löschen noch desinfizieren.
der virus steckt in temp ordner
in der datei tmp.xpi...
die allerdings 2 weitere dateien namens: netscape.bts (oder so ähnlich)enthält,
die als Win32.Briss.h identifiziert werden. an die ich aber nicht rankomme, da die tmp.xpi nicht als ordner angelegt ist.
ich hoffe ich konnte mich verständlich mitteilen :-)

ps: ich denke es ist kein fehlalarm, da ich wirklich probleme habe etwas dauerhaft am pc zu machen, da er immer wieder einfriert. der zeitraum müsste identisch sein mit dem, seitem ich den virus habe

mfg

jonny
Seitenanfang Seitenende
03.06.2004, 16:43
Moderator

Beiträge: 7805
#5 Poste mal den Teil des Reports, wo diese Meldung vorkommt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.06.2004, 13:02
...neu hier

Themenstarter

Beiträge: 3
#6 ich kann den report nicht posten, denn seitdem ich im abgesichertem modus ohne systemwiederherstellung kaspersky lasufen lassen habe und die file von hand gelöscht habe, findet ich den virus ned mehr. mit keinem programm.
deshalb hab ich auch nix mehr geschrieben weil ich dachte das problem wäre erledigt, aber ich kann wirklich KEINEN prozess durchlaufen lassen der viel cpu in anspruch nimmt, ohne das der rechner abschmiert!
kann es sein das der sich irgnedwie "festgesetzt" hat nachdem ich die systemwiederherstellung deaktiviert habe? und er jetzt ned mehr erkannt wird?
Seitenanfang Seitenende
12.06.2004, 16:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 O4 - HKLM\..\Run: [AVPCC] C:\Programme\Kaspersky\avpcc.exe /wait
ich will ja nicht. falsches sagen.... aber wenn ich den Kaspersky installiert habe, bleibt mein Comp. auch regelmaessig haengen.
Deinstalliere ihn mal und sieh, ob es besser laeuft.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende