TR/Agent AB blockiert WMP |
||
---|---|---|
#0
| ||
24.06.2004, 15:29
Member
Beiträge: 11 |
||
|
||
25.06.2004, 17:07
Ehrenmitglied
Beiträge: 29434 |
#2
fixe das
O4 - HKLM\..\Run: [shatmw] C:\WINDOWS\System32\shatmw.exe O4 - HKLM\..\Run: [fpickp] C:\WINDOWS\System32\fpickp.exe neustarten ueberpruefe es mit Kaspersky http://www.kaspersky.com/scanforvirus Lade die mwav.exe ...30 Tage free und scanne http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.06.2004 um 17:08 Uhr von Sabina editiert.
|
|
|
||
26.06.2004, 17:50
Member
Themenstarter Beiträge: 11 |
#3
vielen dank!
Aber was genau soll ich mit kaspersky denn überprüfen? Etwa den Windowas Media Player, oder diese beiden exe-Dateien? Grüße Marcus |
|
|
||
26.06.2004, 18:12
Ehrenmitglied
Beiträge: 29434 |
#4
C:\WINDOWS\System32\shatmw.exe
C:\WINDOWS\System32\fpickp.exe ueberpruefe es mit Kaspersky http://www.kaspersky.com/scanforvirus Lade die mwav.exe (escann ist ein Antivirentool) ...30 Tage free und scanne http://www.mwti.net/antivirus/free_utilities.asp Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.06.2004 um 18:13 Uhr von Sabina editiert.
|
|
|
||
26.06.2004, 18:23
Member
Themenstarter Beiträge: 11 |
#5
...also ich hatte die beiden exe-Dateien jetzt schon gefixed. sie sind jetzt also nicht mehr vorhanden. Ich hab auch mit mwav.exe gesanned. Jedoch wenn ich den WMP wieder installiere kommt bei starten die selbe Meldung von AntiVir. Ich glaube ich lass den WMP dann einfach deinstalliert. Der Virus/Trojaner dürfte ja eigentlich jetzt nicht mehr auf meinem PC vorhanden sein, oder?
Ich scanne jetzt einfach nochmal mit mwav.exe und poste dann nochmal meine hijack. Grüße Maggus |
|
|
||
26.06.2004, 19:18
Ehrenmitglied
Beiträge: 29434 |
#6
Das Fixen loescht keine Dateien, die muessen dann in der Registry und als exe manuell geloescht werden...es sei denn die mwav.exe hat die Arbeit schon uebernommen.
MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.06.2004, 19:38
Member
Themenstarter Beiträge: 11 |
#7
wow! erstmal vielen Dank! Nachdem ich mit mwav.exe mein komplettes system durchforstet habe funktioniert der WMP auch wieder. Aber irgendwie ist es echt erschreckend, dass mwav.exe insgesamt 20 viren und trojaner auf meinem pc gefunden und gelöscht bzw. umgenannt hat, obwohl ich die zonelabs firewall und AntiVir immer im hintergrund laufen habe und fast wöchentlich update!
Also wirklich nochmal vielen dank! Ach ja hier ist dann nochmal meien hijack nach dem scan: Logfile of HijackThis v1.97.7 Scan saved at 19:39:51, on 26.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Demos\AVPersonal\AVGUARD.EXE C:\Demos\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\PROMon.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Demos\Refreshlock\RefreshLock.exe C:\Demos\AVPersonal\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Demos\Zone Labs\ZoneAlarm\zlclient.exe \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Eva-Maria Schüler\Desktop\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [RefreshLock] C:\Demos\Refreshlock\RefreshLock.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Demos\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Demos\Zone Labs\ZoneAlarm\zlclient.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://de.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.5011226852 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{21F486B7-643A-4255-93A2-2FAFA264A351}: NameServer = 217.237.150.33 194.25.2.129 Grüße Maggus Dieser Beitrag wurde am 26.06.2004 um 19:39 Uhr von Maggus editiert.
|
|
|
||
26.06.2004, 19:58
Ehrenmitglied
Beiträge: 29434 |
#8
http://www.safer-networking.org/index.php?page=download&lang=de
Lade noch Search&Destroy und AdAware free http://www.lavasoft.de/support/download/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe seit heute den Trojaner TR/Agent AB auf meinem PC. Anscheinend hat dieser Virus meinen Windows Media Player befallen, denn wenn ich diesen Starten will meldet sich AntiVir und möchte diesen Trojaner löschen. Seltsamerweise geht das nicht! Es kommt nämlich jedes mal eine Fehlermeldung, dass die "bdlj4126.exe" nicht gefunden werden konnte. AntiVir funktioniert aber einwandfrei!
Wie kann ich diesen lästigen Virus wieder von meinem PC entfernen bzw. wie bekomme ich WMP wieder zum laufen.
...also anscheinend scheint der virus explizit nur den Windows Media Player zu zerstören. Denn wenn ich den WMP lösche und WMA, AVI, MPG, MPEG, WMV etc. Dateien mit einem anderen Videoprogramm öffne funktionieren sie ohne, dass AntiVir sich einschaltet.
Aber ist der Virus denn jetzt nachdem löschen vom WMP auch wirklich weg??
Ich denke nicht, da nach einer Neuinstallation vom WMP sich AntiVir wiederum beim öffnen von Dateien mit dem WMP beschwert.
Vieleicht kann mir ja einer von euch weiterhelfen. Ich bin jetzt zu mindestens am ende meines Lateins. Denn auch andere Virenscanner wie AVG können den virus nicht vollständig zerstören.
Hier ist mal mein Hijack:
Logfile of HijackThis v1.97.7
Scan saved at 16:30:59, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Demos\AVPersonal\AVGUARD.EXE
C:\Demos\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Demos\Refreshlock\RefreshLock.exe
C:\Demos\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Demos\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\fpickp.exe
C:\Dokumente und Einstellungen\Eva-Maria Schüler\Desktop\hijackthis1977\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [RefreshLock] C:\Demos\Refreshlock\RefreshLock.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Demos\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 2\LMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Demos\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [shatmw] C:\WINDOWS\System32\shatmw.exe
O4 - HKLM\..\Run: [fpickp] C:\WINDOWS\System32\fpickp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://de.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.5011226852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F486B7-643A-4255-93A2-2FAFA264A351}: NameServer = 217.237.150.33 194.25.2.129
Grüße
Maggus