autom. Setup.exe und autorun.ini erstellt

#0
29.07.2006, 17:07
...neu hier

Beiträge: 6
#1 Hi!
Bei meinem PC wird immer automatisch eine Setup.exe und eine autorun.ini in verschiedenen Ordneren erstellt (C:, Nebenplatte, Admin verzeichnis, Eigene Dateien, ...). Habe herausgefunden, dass die Setup.exe Datei und die autorun.ini Datei nur in Ordnern erstellt werden, die fürs Netzwerk freigegeben sind.
Löscht man diese Weg sind sie nach einiger Zeit wieder da.
Ist dies ein Virus oder Trojaner oder ...
Wie kann ich dieses ding entfernen.

Danke
Seitenanfang Seitenende
29.07.2006, 21:48
Moderator

Beiträge: 7805
#2 Was sagt Jotti oder VT zu der Setup.exe?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.07.2006, 22:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3

Zitat

Alos so wie ich das bei diversen beschreibungen verstanden habe, befällt der Stanit nur .exe Dateien.
Bei meinem PC wird aber immer automatisch eine Setup.exe Datei erzeugt und dazu eine autorun.ini.

Jetzt habe ich noch was herausgefunden:
Es werden nur jene Ordner "infiziert", die fürs Netzwerk freigegeben sind.
http://www.informationsarchiv.net/foren/beitrag-46877.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.07.2006, 08:30
Moderator

Beiträge: 7805
#4 Na, dann mal schauen, wann da brauchbare Antworten kommen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.07.2006, 13:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5

Zitat

raman postete
Na, dann mal schauen, wann da brauchbare Antworten kommen...
ich bezweifel, dass da was kommt, da nikita auch nicht weiss, was los ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.07.2006, 13:51
Moderator

Beiträge: 7805
#6 Eine einfache Antwort, was Jotti oder VT melden, kann doch nicht so schwer sein! ;)

Aber PinkoPalino wirds uns schon sagen....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.08.2006, 14:35
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo Moderatoren!

Falls ihr mit euren Beiträgen über das andere Forum meint, dass ich nicht in jedem Forum ein neues Thema erzeugen soll, sondern nur in einem, dann muss ich euch dagegenreden!
Denn wie ihr seht, bekommt man in jedem Forum eine andere Antwort (hier z.B. "Jotti" oder "VT"), was ich aus Erfahrung weis. Und wenn man nur in einem Forum seinen Eintrag schreiben soll, wozu sind dann die ganzen anderen da. Genau! Um verschiedene Meinungen und Tipps zu hören.

Werds mit Jotti oder VT versuchen.

PS: Habe bereits in 4 Foren dieses Thema eröffnet.
Seitenanfang Seitenende
01.08.2006, 14:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ist in Ordnung ;)
teile uns dann die Erkenntnisse von Jotti und von den anderen Foren mit .
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 14:49
...neu hier

Themenstarter

Beiträge: 6
#9 Hier die Ergebnisse:
(eins verstehe ich aber nicht:
Ich hatte Kaspersky installiert. Doch es falnd in dieser Datei kein Maleware. Hier aber fand es eine Maleware. Ich hatte Kaspersky natürlich vorher aktualisiert!)

Diese Drei fanden etwas:

F-Prot Antivirus W32/Methodbod.gen
Kaspersky Anti-Virus Trojan-Proxy.Win32.Horst.eb
NOD32 a variant of Win32/Medbot.BD

In der Autorun.ini wurde nichts gefunden.
Seitenanfang Seitenende
01.08.2006, 14:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 scanne und poste den scanreport
http://virus-protect.org/artikel/tools/fprot.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 15:03
...neu hier

Themenstarter

Beiträge: 6
#11 Soll ich nur die lokalen Festplatten (2) scannen oder auch (falls dies möglich ist) die Netzlaufwerke und sonstige Laufwerke?

Hier das ergebnis der Lokalen Festplatten: (nichts gefunden)

Weis jemand, wie man die Maleware oder Virus auch "Manuell" entfernen kann?

╔══════════════════════════════════════╗
║Virus scanning report - 1 August 2006 @ 15:16 ║ ║
║F-PROT ANTIVIRUS ║
║Program version: 3.16f ║
║Engine version: 3.16.13 ║
║ ║
║VIRUS SIGNATURE FILES ║
║SIGN.DEF created 13 June 2006 ║
║SIGN2.DEF created 13 June 2006 ║
║MACRO.DEF created 15 June 2006 ║
║ Search: Local hard disks ║
║Action: Report only ║
║Files: "Dumb" scan of all files ║
║Switches: /ARCHIVE /PACKED ║
║No viruses found in memory. ║
║Hard disk boot sectors were not scanned. ║
║ ║
║Scanning C: ║
║C:\DOKUME~1\**zensiert**\NTUSER.DAT Not scanned (in use by another application) ║
║C:\DOKUME~1\**zensiert**\NTUSER~1.LOG Not scanned (in use by another application)║
║Scanning E: ║
Dieser Beitrag wurde am 01.08.2006 um 16:18 Uhr von PinkoPalino editiert.
Seitenanfang Seitenende
01.08.2006, 16:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 desinstalliere den kaspersky und lade NOD32 Antivirus System
http://virus-protect.org/antivirshare.html
poste dann den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 17:07
...neu hier

Themenstarter

Beiträge: 6
#13 Während dem download von NOD mit ISDN habe ich noch ein bisschen im Internet gestöbert und dabei herausgefunden, dass die smss.exe Datei im System oft infiziert ist.
Mit Jotti die Datei smss.exe im Verzeichnis c:\Windows\system gescannt und folgendes Ergebnis:

F-Prot Antivirus Found W32/Methodbod.gen
NOD32 Found a variant of Win32/Medbot.BC

Dieses Ergebnis verstehe ich jetzt auch nicht ganz, da ich ja zuvor mit fprot dem PC scannte. Jetzt fand aber F-Prot in der smss.exe Datei eine Maleware ??????

Mit VirusTotal (www.virustotal.com) folgendes Ergebnis:

Authentium 4.93.8 07.31.2006 W32/Methodbod.gen
F-Prot 3.16f 07.31.2006 W32/Methodbod.gen
F-Prot4 4.2.1.29 07.31.2006 W32/Methodbod.gen
McAfee 4818 07.31.2006 BackDoor-CMQ
NOD32v2 1.1686 08.01.2006 a variant of Win32/Medbot.BC

Dann habe ich noch herausgefunden:
Wichtig: Die Datei "smss.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei smss.exe um einen Virus, Spyware, Trojaner oder Worm! Bei mir befand sich die Datei im Verzeichnis C:\Windows\System.
Seitenanfang Seitenende
01.08.2006, 19:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ah so..nun weiss ich, was noch so auf dem Rechner ist....
http://virus-protect.org/artikel/dienste/nvsvcd.html

1.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2006, 12:14
...neu hier

Themenstarter

Beiträge: 6
#15 Hier das Log:
Hinweis:
Ganz am Ende steht, dass die Datei nvsvcd.exe fehlt. Diese wurde aber nur vom Virusprogramm nach nvsvcd.Vexe umbenannt, da sich darin ein Virus befindet. Kann man, um eine "gesunde" nvsvcd.exe Datei zu bekommen, einfach die "kranke" löschen und von einem anderen PC hierher kopieren?

Achja:
Gleich nach dem Anmelden kommt immer die Fehlermeldung, dass die Datei "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" fehlt. ?!

Logfile of HijackThis v1.99.1
Scan saved at 12:06:57, on 02.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\OutlookClose\OutlookCloseBack.exe
C:\WINDOWS\system32\wuauclt.exe
H:\ASAjHotel\hotel.exe
H:\ASAjHotel\j2re1.4.2_11\bin\java.exe
C:\Programme\Eset\nod32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - Startup: OutlookClose Background.lnk = C:\Programme\OutlookClose\OutlookCloseBack.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{401EB056-1F17-4843-889A-CDADE5D9BBAA}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B44E2A7-03B6-40A1-BF2E-8CD6B01E4751}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{966290E5-30D8-4BCF-9684-DB81D01578AD}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{F63C86F3-86D5-4CD8-8D11-B031872D2374}: NameServer = 192.168.0.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)


Hier das andere Log:

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Aug 2, 2006 12:12:40


---> Begin Service Listing <---

Unknown Service # 8
Service Name: Windows Log
Display Name: Windows Log
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\nvsvcd.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch


---> End Service Listing <---

There are 85 Win32 services on this machine.
8 were unrecognized.

Script Execution Time: 1,359375 seconds.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: