Bitdefeder Viren gefunden - Dateien löschen?

#1 hallo

so, ich hätt mal gleich mehrere fragen und zwar:

1. hab ich gestern beim virenscan mit meinem bullguard ein paar infizierte dateien gefunden und bin mir nicht sicher ob ich die ohne weiteres löschen kann.
A0008158.exe
A0008249.exe
A0008356.exe
A0009171.exe
Loader.exe
temp.exe
winhlpp32.exe
wmplayer.exe
wmplayer.exe.poly
wincffg.exe

2. dann hab ich natürlich auch dieses blöde problem mit dem lovesan virus. also mein kompi schmiert ab sobald ich in's netz gehe. wollte den microsoft-patch installieren, der kam aber nicht sehr, weit, sprich als das 3te bild kam um zu installen... war er plötzlich weg. also hab ich das ganze windows wieder einmal geupdated. kann das sein das ich den patch schon drauf hab? und jetzt locker-lässig das removal-tool drüberhauen kann?
dazu werde ich wohl mal versuchen die nötigen ports zu schliessen.

3. wennn ich in's netzt gehe kann ich entweder 1000 jahre warten bis mir der ie eine seite anzeigt oder es geht sauschnell (adsl) aber dann schmiert er wieder ab mit dem allgemein bekannten 60...59...58...
hab mal den taskmanager mal beobachtet... netz langsam, svchost.exe voll am arbeiten, den task beendet... lief sauschnell, schmierte aber gleich ab. seit dem nur noch langsam und svchost. exe macht keinen furz mehr.

4. der bullguard zeigt den lovsan nicht an, ist das richtig?

5. wollte eigentlich ein logfile posten doch da ich das tool zuhause nicht downloaden kann (eben 1000 jahre warten) muss ich das wohl hier im geschäft auf disk schmeissen.

weiss da ein findiges köpfchen rat? bin nicht so helle wenn es um den kompi geht. aber mein nächster wird ein apple sein.

#2 Es waere interessant zu wissen, was Bullguard(Bitdefeder) gefunden hat, bzw wo er die Dateien gefunden hat. Die A000*.EXE Dateien sind wohl aus dem Restore(Systemwiederherstellung) Ordner, dann koennen wir dir auch sagen, was diese Malware macht und ob du sie gefahrlos loeschen kannst.
__________
MfG Ralf
SEO-Spam Hunter

#3 also vom wincffg.exe und vom winhlpp32.exe hab ich mal den auszug aus dem scanbericht die anderen muss ich dann noch suchen die hatte ich nämlich am sonntag schon drauf.

C:\WINDOWS\system32\wincffg.exe=>(Upx) Infected Backdoor.Agobot.3.Gen
C:\WINDOWS\system32\wincffg.exe=>(Upx) Disinfection failed - Trying second action
C:\WINDOWS\system32\wincffg.exe
C:\WINDOWS\system32\winhlpp32.exe=>(Upx) Infected Backdoor.Agobot.3.Gen
C:\WINDOWS\system32\winhlpp32.exe=>(Upx) Disinfection failed - Trying second action
C:\WINDOWS\system32\winhlpp32.exe

was denkst du zum punkt 2? kann ich das removal-tool drüber jagen?

werde dann den rest auch noch reinposten, sofern ich mal wieder eine schnelle verbindung erwische zuhause, ansonsten könnte das ein wenig dauern bis ich wieder an's netz kann.

danke schon mal

#4 yep ok.

hab mir das hijackthis-tool auf dikette gezogen und die anleitung ausgedruckt.
werde es dann zuhause probieren.

win und ie hab ich gestern die neusten updates verpasst.

die bullguard logs werde ich dir sobald wie möglich posten wie auch das hijacktis log.

geb dir dann ne pm wenn es drin is.

ach und hab mal was gelesen das der lovesan virus nur bis ende jahr am start ist stimmt das? wohl kaum nehm ich an.

#5 Nein, der hat nicht so eine "Begrenzung". Die Sobig Wuermer haben/hatten ein Datum, nachdem sie sich nicht mehr verbreitet haben.
__________
MfG Ralf
SEO-Spam Hunter

#6 also, hab dcom/rpc deaktiviert wie du gesagt hast.

den hijacklog und den bullguardlog hab ich auf meine page geladen:
www.andihug.com/hijackthis.log
www.andihug.com/bullguardlog.txt

beim bullguardlog hab ich die e-mail-scans rausgenommen ansonsten wäre die liste ellenlang.

ach und das netzt funktioniert wieder prima, und sogar der cpu ist nicht mehr wegen jedem progrämmchen auf 100% auslastung.

den windows-xp firewall hab ich auch noch aktiviert, der von bullguard läuft ja schon die ganze zeit. antivir lade ich mir jetzt auch noch runter. doppeltgemoppelt hält besser.

#7 Lass mal folgendes fixen:
R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Windows Media Player] wmplayer.exe
O4 - HKLM\..\Run: [Configuration Loader] wincffg.exe
O4 - HKLM\..\RunServices: [Windows Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [Configuration Loader] wincffg.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Dann neu starten und dein "Bullguard" die Platte von den "Schaedlingen" befreien lassen. Vieleicht solltest du noch mit Adaware(www.lavasoft.de) und SpybotSD(security.kolla.de) deinen Rechner pruefen.

nd noch ein Frohes Fest!
__________
MfG Ralf
SEO-Spam Hunter