psrfWrp.dll wurde nicht gefunden |
||
---|---|---|
#0
| ||
17.09.2010, 10:59
Member
Beiträge: 108 |
||
|
||
17.09.2010, 11:31
Member
Beiträge: 4730 |
#2
Ich würde die Datei auf jeden Fall mal untersuchen lassen. Bitte mal hier einwerfen und das Ergebnis posten: http://www.virustotal.com
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
17.09.2010, 12:00
Member
Themenstarter Beiträge: 108 |
#3
Antivirus Version Last update Result
AhnLab-V3 2010.09.17.02 2010.09.17 - AntiVir 8.2.4.52 2010.09.17 - Antiy-AVL 2.0.3.7 2010.09.17 - Authentium 5.2.0.5 2010.09.17 - Avast 4.8.1351.0 2010.09.17 Win32 : Papras-T Avast5 5.0.594.0 2010.09.17 Win32 : Papras-T AVG 9.0.0.851 2010.09.16 - BitDefender 7.2 2010.09.17 - CAT-QuickHeal 11.00 2010.09.17 - ClamAV 0.96.2.0-git 2010.09.17 - Comodo 6107 2010.09.17 - DrWeb 5.0.2.03300 2010.09.17 - Emsisoft 5.0.0.37 2010.09.17 - eSafe 7.0.17.0 2010.09.17 - eTrust-Vet 36.1.7860 2010.09.16 - F-Prot 4.6.1.107 2010.09.16 - F-Secure 9.0.15370.0 2010.09.17 - Fortinet 4.1.143.0 2010.09.17 - GData 21 2010.09.17 Win32 : Papras-T Ikarus T3.1.1.88.0 2010.09.17 - Jiangmin 13.0.900 2010.09.17 - K7AntiVirus 9.63.2533 2010.09.16 - Kaspersky 7.0.0.125 2010.09.17 - McAfee 5.400.0.1158 2010.09.17 - McAfee-GW-Edition 2010.1C 2010.09.17 - Microsoft 1.6201 2010.09.17 - NOD32 5457 2010.09.17 - Norman 6.06.06 2010.09.17 - nProtect 2010-09-17.01 2010.09.17 - Panda 10.0.2.7 2010.09.16 - PCTools 7.0.3.5 2010.09.17 - Prevx 3.0 2010.09.17 - Rising 22.65.04.01 2010.09.17 - Sophos 4.57.0 2010.09.17 - Sunbelt 6886 2010.09.17 - SUPERAntiSpyware 4.40.0.1006 2010.09.17 - Symantec 20101.1.1.7 2010.09.17 - TheHacker 6.7.0.0.020 2010.09.17 - TrendMicro 9.120.0.1004 2010.09.17 - TrendMicro-HouseCall 9.120.0.1004 2010.09.17 - VBA32 3.12.14.0 2010.09.16 - ViRobot 2010.8.25.4006 2010.09.17 - VirusBuster 12.65.10.0 2010.09.16 - MD5: c50634da9ced56f7c8bb660cc3677a3f SHA1: dfd8d59987692954746fe47296b04379899ad462 SHA256: 9e88f3bfd51a3dee1863a4f9f385bf87e0f8f8afc60d1d4199edc0c30e09427f File size: 46592 bytes Scan date: 2010-09-17 09:58:06 (UTC) Dieser Beitrag wurde am 18.09.2010 um 10:38 Uhr von Madn editiert.
|
|
|
||
17.09.2010, 16:12
Member
Themenstarter Beiträge: 108 |
#4
Die Datei 'C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\412e85be-7eff2719'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.M.1' [virus]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485fd392.qua' verschoben! Hab den Virenscanner mal drüberlaufen lassen. Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.]. Anzahl Dateien: 346568 Anzahl Verzeichnisse: 23179 Anzahl Malware: 3 Anzahl Fehler: 0 hoffe mir kann da wer helfen, danke für die Mühe |
|
|
||
18.09.2010, 01:48
Member
Beiträge: 4730 |
#5
Wenn es hier wirklich der Papras-T ist, dann hast Du Dir einen Backdoor-Trojaner eingefangen. Bitte Schritt 2 und 3 abarbeiten: http://board.protecus.de/t40182.htm
Ich verschiebe das ganze dann doch mal in das Viren-Forum. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
18.09.2010, 10:59
Member
Themenstarter Beiträge: 108 |
#6
Code OTL Extras logfile created on: 18.09.2010 10:33:56 - Run 1 Hier der erste log, von OTL Bei gmer steht C:/Windows/System32/config/system Das System kann die angegebene Datei nicht finden. Deswegen stehen mir nur Service, Registry und Files als anklickbare Optionen zur Verfügung. Kann mein ursprüngliches Problem "psrfWrp.dll wurde nicht gefunden" auch mit dem Virus zusammenhängen? Hab die Datei inzwischen mal vom Rechner auf eine Externe Festplatte gezogen. Aber die Nachricht kommt weiterhin. Aber der Virus ist auch wichtiger. Weißt du, wie der mir schaden kann. Hoffentlich können wir den entfernen. Dieser Beitrag wurde am 18.09.2010 um 11:26 Uhr von Madn editiert.
|
|
|
||
19.09.2010, 11:29
Member
Beiträge: 4730 |
#7
Das ist jetzt nur die extras.log. Die viel wichtigere Log-Datei, anhand derer ich das Problem vermutlich erkennen kann, fehlt noch.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
19.09.2010, 14:08
Member
Themenstarter Beiträge: 108 |
#8
Code OTL logfile created on: 19.09.2010 13:57:43 - Run 2 achso, hier der richtige Log |
|
|
||
21.09.2010, 18:14
Member
Beiträge: 4730 |
#9
Ok, deinstalliere McAfee, Du hast mit Avira AntiVir einen viel besseren Virenscanner!
Dann führe einen Scan mit Malwarebytes AntiMalware durch: http://www.malwarebytes.org/ Lasse die Funde löschen und poste das Log. Anschließend mache einen Scan mit Combofix. Gehe dabei vor wie auf folgender Seite beschrieben: http://virus-protect.org/artikel/tools/combofix.html __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
22.09.2010, 18:51
Member
Themenstarter Beiträge: 108 |
#10
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org Datenbank Version: 4666 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 22.09.2010 17:42:59 mbam-log-2010-09-22 (17-42-59).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 243195 Laufzeit: 53 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Das hier ist der log von Malwarebytes Combofix läuft nicht unter Windows 7, kann es zumindest nicht starten und hab in mehreren Googleseiten gelesen, dass es wohl bei win7 schaden anrichtet. Hm. Kannst mir hoffentlich weiterhelfen. Der Fehler mit der dll taucht immer noch auf. Aber immerhin schonmal Malwarbytes hier. |
|
|
||
22.09.2010, 20:10
Member
Beiträge: 4730 |
#11
Mir sind keine Probleme mit Combofix und Windows 7 bekannt. Sicherheitshalber kannst Du aber vorher nochmal ne Sicherung Deiner Festplatte machen
Allerdings habe ich auch gerade gesehen, dass es unter 64bit-Systemen offenbar nicht läuft. Dann müssen wir da anders vorgehen... hmm... starte regedit und suche nach "psrfWrp". Notiere alle Funde und schreib sie hier ins Forum. Bspw.: Code HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\GPExtensions\{15D8AFEF-5C44-1111-B23E-241C1ED74510}\DllName=psrfWrp.dll __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
22.09.2010, 20:28
Member
Themenstarter Beiträge: 108 |
#12
oha In der Datei 'F:\psrfWrp.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/Papras.TE' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern hatte diese zur Sicherheit mal zu Beginn auf meine Externe Festplatte rübergeschoben, weil sie auf meinem Desktop im unsichtbaren Modus aufgetaucht war und eben beim start nach dieser datei gefragt wurde. Dachte sie sei wichtig, deshalb eben verschoben. hab unter der registry nichts gefunden, wollt die Datei auf den Destop von der externen platte zurückschieben, nur dann meldete Antivir eben das, dass diese Datei der Papras backdoor virus sei. Hab sie somit auch nicht angerührt und dort gelassen. Was nun, registry sagt keine treffer, da die Datei sich derzeit auf meiner externen Festplatte befindet. |
|
|
||
23.09.2010, 00:40
Member
Beiträge: 4730 |
#13
Ok, von irgendwas muss diese Datei ja aufgerufen werden. Du solltest sie übrigens löschen
Außerdem lösche folgenden Registry-Eintrag: HKCU\Software\Microsoft\Windows\CurrentVersion\Run: [efsuavaw] Dann ist mir noch folgendes aufgefallen, was gelöscht werden sollte: C:\Windows\SysWow64\SPCtl.dll (diese Datei sicherheitshalber vorher nochmal bei Virustotal prüfen und evtl. erstmal nur verschieben) C:\ProgramData\ezsidmv.dat C:\Users\***\AppData\Roaming\wklnhst.dat Leider lässt sich nicht herausfinden, wo noch weitere bösartige Dateien und Registry-Einträge vorzufinden sind. Möglicherweise kann einer der anderen Experten hier noch einen Rat geben, mit welchem Tool man hier noch vorgehen könnte. Ansonsten würde ich tatsächlich eine Neuinstallation empfehlen, da es sich um einen Backdoor-Trojaner handelt, der sich wer weiß wo eingenistet hat. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
23.09.2010, 13:26
Member
Themenstarter Beiträge: 108 |
#14
Hab soweit die dateien ezsidmv.dat und wklnhst.dat gelöscht.
Die efsuavaw finde ich nicht mehr in der Registry. Und die spctl.dll ist mit dem Änderungsdatum 04.2009 zu frisch, als das diese Datei mit dem Virus in Verbindung hinge, oder? Soweit ich das grad überblicken kann, wurd beim starten des Laptops dieses mal nicht nach der besagten Datei dll. gefragt. Sie wurde ja von Antivir in Quarantäne gestellt, wo ich sie soeben raus gelöscht hab. Ich habe damals direkt nach dem Kauf eine Recovery disk, ein Systemabbild und einen Systemreparaturdatenträger erstellt. Ich kenne mich mit "Neuinstallation" gar nicht aus, daher ist das immer eine Option, die ich nicht gut ausführen kann. Kannst du mir sagen, wie das ganze ablaufen könnte? Weil ich bin da unerfahren, rechner im allgemeinen ist kein Problem, aber irgendetwas in Bezug auf zurücksetzen etc. ist schwierig, da ich mich in dem Bereich nicht zurechfinde. |
|
|
||
23.09.2010, 16:36
Member
Beiträge: 4730 |
#15
Zitat Madn posteteNein. Sowas hat gar nichts zu sagen. Bitte wie empfohlen, die Datei testen und bei positivem Ergebnis zumindest erstmal an eine andere Stelle verschieben oder umbenennen (bspw. in SPCtl.bak) Dass diese Meldung nicht mehr kommt, heißt auch nicht unbedingt, dass Dein PC nun sauber ist. Es können immer noch irgendwo schadhafte Programme versteckt ausgeführt werden, die wir nicht entdeckt haben. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
Die Datei befindet sich aus irgendeinem Grund auf meinem Desktop. Da hat sie nicht so viel zu suchen. Weiß jemand, wohin ich die Datei verschieben muss?
Danke im vorraus, Madn