Backdoor: Win32/VB.IR und Backdoor:Win32/Blarul entfernen |
||
---|---|---|
#0
| ||
19.01.2004, 19:31
...neu hier
Beiträge: 3 |
||
|
||
22.01.2004, 14:31
...neu hier
Beiträge: 2 |
#2
Hey Leute ich habe auch diesen Virus den Tomac7 beschreibt auf meinen Rechner, ich habe auch keine Ahnung wie ich den wegbekomme, kann mir jemand helfen???
Gruß Marcel Hoppe |
|
|
||
22.01.2004, 15:39
Moderator
Beiträge: 7805 |
#3
Name der Datei merken, die der Scanner als Backdoor identifiziert hat, dann im abgesicherten Modus starten und die Dateien loeschen/umbenennen. Es kann sein, das man nachher in der Registrierung evtl. Verweise auf diese Dateien loeschen muss.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.02.2004, 09:34
...neu hier
Beiträge: 1 |
#4
Hallo
Ich hab nun dieses hijackThis runtergeladen und alles so gemacht wies bei der erklärung stand aber den blarul Virus krieg ich davon nicht weg das einzige was erscheint is ne readme datei |
|
|
||
24.02.2004, 10:00
Moderator
Beiträge: 7805 |
#5
Dann kopiere das Log welches im Editor steht mal in eine Antwort von dir hier ins Forum.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.02.2004, 13:14
...neu hier
Beiträge: 1 |
#6
Hallo!
Kaum hab ich heut meinen Pc angemacht, kam Virusmeldung über Backdoor.Blarul! NAV kann ihn nicht entfernen! Hat jemand einen Vorschlag? LG |
|
|
||
24.02.2004, 14:00
...neu hier
Beiträge: 1 |
#7
Moin Leute
Hab das gleiche problem heute morgen vorgefunden. Norton AV hat "Backdoor Blarul" als hohes risiko eingestuft. Konnte diesen aber nicht entfernen. Gefunden wurde der trojaner in "Overnet.exe". Ich hab dann gegoogeld aber nix aufschlussreiches finden können. Bin letztendlich bei euch gelandet. Norton Av hat den trojaner zwar gesichert aber nicht gelöscht. Ich habe meine download dateien gesichert und dann manuell erst overnet deinstalliert dann den ordner gelöscht. Jetzt werde ich ein paar deepscans durchführen und versuchen rauszufinden wie der trojaner funktioniert. Ich halte euch auf dem laufenden ciao... |
|
|
||
24.02.2004, 14:16
Member
Beiträge: 1122 |
#8
Zuviel Ct gelesen oder was ?? Du kannst ja aber mal den Netzwerkverkehr belauschen und mir die Logs mal schicken an meine Email-Addresse:
Das wäre nett. MFG DAFRA Dieser Beitrag wurde am 17.10.2008 um 00:19 Uhr von Dafra editiert.
|
|
|
||
24.02.2004, 17:15
...neu hier
Beiträge: 3 |
#9
Hi,
ich hab das gleiche Problem. Bei mir ist Blarul in der Esel.exe. NOrton löscht die dann gleich, nun kann ich Esel net mehr starten. Neu installieren geht auch nicht (selber Fehler) Ich hab echt kein PLan wie ich den wegkriege... Hilfe... |
|
|
||
24.02.2004, 17:19
...neu hier
Beiträge: 5 |
#10
"backdoor blarul" wurde bei mir heute auch von norton gefunden.
habe darauf erstmal ein weiteres av programm runtergeladen (avg av), da von diesem besagt wurde, dass es den virus entfernen kann, bin allerdings gerade dabei zum fünften mal zu prüfen, mag aber daran liegen dass ich es bisher falsch gemacht habe. empfohlen wurde noch ein anderes anti viren programm von dem ich den namen jetzt nicht weiss. habe mir jetzt auch mal dieses hijackthis runtergeladen und eine log-datei gespeichert. was genau zeigt denn das an? ich hoffe ich tu niemandem unrecht wenn ich die log-datei nun mal reinkopiere. vielleicht kann mir ja jemand dazu was sagen. - - - Logfile of HijackThis v1.97.7 Scan saved at 16:57:16, on 24.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Pulse\Pulse.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Trillian\trillian.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Microsoft Office\Office10\msoffice.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\Programme\Grisoft\AVG7\avgcc.exe C:\Programme\Grisoft\AVG7\avgemc.exe C:\Programme\Winamp3\Studio.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe C:\PROGRA~1\NORTON~1\navw32.exe C:\PROGRA~1\NORTON~1\QServer.exe C:\Programme\Grisoft\AVG7\avgwa.dat C:\Dokumente und Einstellungen\Amira\Eigene Dateien\Downloads\antivirus&s.w\hijackthis1977\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Pulse] C:\Programme\Pulse\Pulse.exe -splash O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O12 - Plugin for .mp4: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: DigiChat Applet - http://host7.digichat.com/DigiChat/DigiClasses/SignedClient.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
24.02.2004, 17:29
Moderator
Beiträge: 7805 |
#11
Das hoert sich sehr nach Fehlalarm von Norton an. Nervt halt denNortonSupport und fragt, ob sie was davon wissen oder wartet, bis sie ein neues Update herausbringen und schaut, ob die Datei immer noch als Backdoor identifiziert wird.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.02.2004, 17:38
...neu hier
Beiträge: 5 |
#12
Zitat raman postetehast du dich jetzt auf meine log-datei bezogen? ich dachte mir zwischendurch dass man vielleicht die infizierte datei geöffnet haben muss oder sowas. also bei mir sagt norton auch overnet.exe ist infiziert, und overnet hab ich seitdem ausgeschaltet. was bedeutet das "-t" hinter dem wo was mit overnet steht? |
|
|
||
24.02.2004, 17:47
Moderator
Beiträge: 7805 |
#13
Keine Ahnung, ich nutze keine P2P Software, koennte aber (sys)Tray heissen, sprich es wird gestartet und gleich unten rechts im Systray abgelegt. Du solltest aber noch darauf achten, das du nicht beide Waechter von Norton und AVG gleichzeitig gestartet hast, da das dein System instabil machen kann.
Nachtrag: Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Du solltest oeffters mal www.windowsupdate.com besuchen. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 24.02.2004 um 17:48 Uhr von raman editiert.
|
|
|
||
24.02.2004, 17:52
...neu hier
Beiträge: 5 |
#14
dann wären bei einigen anderen programmen auch noch solche zeichen, aber wenn es nur sowas in der art ist dann beruhigt es mich ja erstmal.
|
|
|
||
24.02.2004, 17:53
Moderator
Beiträge: 7805 |
||
|
||
Ich habe auf dieser Seite http://www.bul-online.de/av/onlinescan.html den RAV Virenscan gemacht.
Angezeigt hat er diese beiden Virusarten: Backdoor:Win32/VB.IR und Backdoor:Win32/Blarul.
Wie kriege ich die weg?
Im Forum habe ich nix gefunden.
Bitte um Hilfe.
Gruß
Tomac7