TR/Hijack.Pamia und noch ein Problem...

#0
15.10.2005, 01:35
Member

Beiträge: 11
#1 Bei mir spring ab und an die Prozessorauslastung auf 100% und die Maus lässt sich nur in Zeitlupe und mit gewaltiger Verzögerung und Hacken bewegen. Nach einiger Zeit wird mit einem mal alles ganz schnell ausgeführt was ich angeklickt habe und der pc läuft wieder normal.
Hab Antivir durchlaufen lassen und siehe da: TR/Hijack.Pamia
Wurde gelöscht.
Ist mein Pc sonst wieder clean und lag es daran?
Ausserdem: Halte Pc mit Antivir, Ad-aware, RegCleaner und der Zone Alarm Firewall sauber, gut so, oder gehts noch besser ;) ??

Logfile zur Kontrolle:

Logfile of HijackThis v1.99.1
Scan saved at 01:46:42, on 15.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Daten\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comunio.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8E8B7D0F-DF52-4293-8B7D-29E2F41DE04E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8E8B7D0F-DF52-4293-8B7D-29E2F41DE04E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F049109A-13AD-47A4-8D23-E24E0A9BB51D}: NameServer = 81.173.194.68 194.8.194.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke!!
Seitenanfang Seitenende
15.10.2005, 20:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 poste bitte den scanreport vom Antivirus, damit ich den pfad vom Virus sehen kann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.10.2005, 11:47
Member

Beiträge: 34
#3 Hallo zusammen,

ich befürchte ich habe die TR/Hijack.Pamia auch am Hals (gehabt), allerdings hatte ich keine Probleme wie Pupsika sie genannt hatte.
Bei mir war einfach eine Meldung vom Antivir da, dass der Trojaner gefunden wurde in einer Datei die im Winamp-Unterordner names e-Music sitzt (den Winamp habe ich erst Montag neu heruntergeladen von Winamp.com und installiert). Ich habe den Antivir angewiesen die Datei zu löschen.
Danach habe ich den Antivir nochmal durchlaufen lassen und da hat er dann die Datei woanders gefunden und ich hab sie wieder löschen lassen. (sorry den Pfad der Datei hab ich nicht notiert und der Report wird bei mir immer automatisch überschrieben wenn ich das Programm wieder starte). Danach habe ich den Onlinescan von Symantec gemacht und da kam folgendes Ergebnis:
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\ICD1.tmp\bridge.inf is infected with Adware.WinFavorites
Die betreffende Datei hab ich gelöscht.

Ich habe danach das aktuelle Spybot runtergeladen da ich noch die alte Version hatte, der hat dann 62 Probleme gefunden (das meiste verfolgende Cookies, 5 Einträge das immer auftretende DSO-Exploit-Problem, das in der alten Version schon immer kam)

Jetzt weiß ich nicht ob ich das jetzt los bin oder ob da noch mehr auf meinem PC rumgeistert.
Habe ein Hijackthislog gemacht das ich auf der Seite www.hijackthis.de ausgewertet habe und alls für gut befunden hat (eines war unbekannt aber das weiß ich genau dass das nichts böses ist)
Logfile of HijackThis v1.99.1
Scan saved at 11:39:39, on 16.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Alex\Desktop\Alex-Ordner\Download\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webpuzzle.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /M "Stylus C44"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124659065548
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2B0BDDA-11F6-423F-9E91-0845F72AE47C}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe


Was kann ich noch machen um zu prüfen ob alles okay ist?


Grüße,

Cami

EDIT: ICh weiß dass ich das SP2 nicht drauf habe aber ich habe die CD schon hier, wollte nur warten bis ich wieder zu Hause bin wo ich alle gesichtern Dateien und meine Windows CD habe, falls was schief geht....;-)
Seitenanfang Seitenende
17.10.2005, 15:58
...neu hier

Beiträge: 1
#4 hi,

mein Antivir hat gerade diesen Virus entdeckt. Camailleon du hast gesagt dass du den Trojaner im Winamp-VErzeichniss gefunden hast und dass du Winamp am Montag geladen hast. Bei mir war es in etwa gleich und meine erste Trojanermeldung hat auch gesagt dass im Winampverzeichniss der Trojaner liegt. Jetzt frag ich mich ob der Trojaner schon in der Winampdatei enthalten war oder er nur eine Vorliebe für Winamp hat?:-) hat da jemand ne Anung.

mfg Fuchs
Seitenanfang Seitenende
17.10.2005, 16:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 man sollte Winamp ohne emusic (?) laden, denn dort soll die Spyware enthalten sein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.10.2005, 20:24
...neu hier

Beiträge: 1
#6 Ich hatte diesen Trojaner auch. Er wurde bei mir gleich mehrmals gefunden. Einmal auch im Winamp-Verzeichnis in einer emusic Datei.

C:\Programme\Winamp\eMusic
Uninst-eMusic-promotion.exe
[FUND!] Ist das Trojanische Pferd TR/Hijack.Pamia
WURDE GELÖSCHT!

Dann meldete sich der Antivir Guard im laufe der Zeit mehrmals mit erneuten Fünden. Unter anderem auch diesen:

17.10.2005,16:18:59 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
17.10.2005,16:42:59 [WARNUNG] Ist das Trojanische Pferd TR/Hijack.Pamia!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F96A2998-43D2-4B61-B05A-0673FDDCA1EB}\RP56\A0009730.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!

Ich frage mich ob doch noch mehr kommt. Hat vielleicht jemand mal eine Beschreibung dieses Trojaners gefunden? Mich würde mal interessieren was der so anrichtet...
Seitenanfang Seitenende
17.10.2005, 23:57
Member

Beiträge: 34
#7

Zitat

Sabina postete
man sollte Winamp ohne emusic (?) laden, denn dort soll die Spyware enthalten sein.
Sofern ich mich erinnern kann, gab es dies Option nicht....aber mein Erinnerungsvermögen ist nicht immer das Beste. Allerdings könnte man von der offiziellen Seite von Winamp schon etwas anderes erwarten aber gut.


ISt das Ding jetzt weg?

Bis jetzt ist nämlich nichts mehr aufgetaucht.

Habe vorhin auch das SP2 installiert und bis jetzt hälts. ;-)
Seitenanfang Seitenende
18.10.2005, 00:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ich bin mir nicht sicher, ob es wirklich ein Trojaner ist, oder einfach nur ein Heuristikfehler von Antivirus (der Scanner reklamiert sogar Dateien von anderen Virenscannern wie panda beim Onlinescann...)
Ich wuerde mal die Datei an Antivirus schicken (vorher zippen), das Problem beschreiben und warten, was sie meinen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2005, 10:50
...neu hier

Beiträge: 2
#9 Was kann der Pamia denn anrichten denn der ist auf meinem Rechner doch ich krieg ihn nicht weg da kommt ne meldung von meinem Anti-Vir das es Pamia/HiJack entdeckt hat aber dann bleibt das Anti-Vir hängen und ich hab den Virenscanner schon 3 durchlaufen lassen nichts entdeckt
Seitenanfang Seitenende
19.10.2005, 11:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 vielleicht mal winamp deinstallieren, oder loeschen, was der Antivirus anzeigt,

Zitat

C:\Programme\Winamp\eMusic
Uninst-eMusic-promotion.exe
aber wie gesagt, ich bin nicht sicher, ob es ein Trojaner ist...es scheint eher ein Heuristikfehler vom Antivirus zu sein.
Also die Datei mal gezippt an Antivirus schicken und sie auf das Problem aufmerksam machen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.10.2005, 00:51
...neu hier

Beiträge: 1
#11 Ich hatte ähnliche Probleme mit Prozessor und Maus wie Pupsika, kurz nachdem ich vor 10 Tagen Winamp neu installiert hatte, aber AntiVir und ein Online-Virenscanner entdeckten erst mal nichts. Auch mein HP-Drucker spielte dann plötzlich zusätzlich verrückt und druckte Buchstaben nur noch bis auf halbe Höhe, Grafiken aber weiter einwandfrei! Erst nachdem ich das AntiVir-Update vom 17.10.05 ausgeführt hatte (routinemäßig immer im 1-2 Tage Rhythmus!), warnte es mich plötzlich vor Hijack.Pamia - warum die ganzen Tage vorher nicht?
AntiVir konnte das Problem lösen und die Dateien shreddern, mein PC und Drucker arbeiten seitdem wieder normal, AntiVir und andere Scanner, u.a. Norton, zeigen nichts Verdächtiges mehr an. Hoffentlich bleibt das so!
Bisher habe ich Winamp nicht deinstalliert, bei weiteren Problemen würde ich es aber in Erwägung ziehen, denn auch bei mir waren die beiden gefundenen infizierten Dateien in diesem Verzeichnis.

P.S. Ich nutze XP und schon lange SP2, Verfügbare Updates für XP werden täglich! abgerufen. Das schützte nicht vor diesem Problem!
Dieser Beitrag wurde am 21.10.2005 um 01:00 Uhr von DSH28 editiert.
Seitenanfang Seitenende
21.11.2005, 16:50
...neu hier

Beiträge: 1
#12 Hey Leute!

Hab auch dieses Schei... ding aufm pc, hab schon (fast) alles ausprobiert, aber im abgesicherten modus findet antivir nix und spybot auch nich. jedesmal wenn ich ne seite öffne, meldet antivir den virus, danach öffnet das mistvieh irgendwelche seiten...
is aller dings nich von winamp...

habter n tipp was ich machen soll?
Seitenanfang Seitenende
21.11.2005, 23:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@Theisyyyyy

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2005, 22:46
...neu hier

Beiträge: 1
#14 Hallo zusammen!

Wenn ich den IE aufmache, bringt mir das System 5-6 mal die Meldung, dass der Trojaner TR/Hijack.Pamia gefunden hat.

Ich habe einen Scan durchlaufen lassen...auch hier wurde der Trojaner entdeckt, welchen ich durch "löschen?" gelöscht habe. Nun findet er beim Scannen nichts mehr. Nach wie vor aber zweigt er mir 4-5 mal die gleiche Meldung, wenn ich den IE aufmache. Hab ich den Trojaner nun sitzen oder nicht?

EDIT: Das Verzeichnis in dem der Kerl sitzen soll gibts net ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: