Backdoor: Win32/VB.IR und Backdoor:Win32/Blarul entfernen

#0
19.01.2004, 19:31
...neu hier

Beiträge: 3
#1 Hallo Leute.
Ich habe auf dieser Seite http://www.bul-online.de/av/onlinescan.html den RAV Virenscan gemacht.
Angezeigt hat er diese beiden Virusarten: Backdoor:Win32/VB.IR und Backdoor:Win32/Blarul.
Wie kriege ich die weg?
Im Forum habe ich nix gefunden.
Bitte um Hilfe.
Gruß
Tomac7
Seitenanfang Seitenende
22.01.2004, 14:31
...neu hier

Beiträge: 2
#2 Hey Leute ich habe auch diesen Virus den Tomac7 beschreibt auf meinen Rechner, ich habe auch keine Ahnung wie ich den wegbekomme, kann mir jemand helfen???
Gruß
Marcel Hoppe
Seitenanfang Seitenende
22.01.2004, 15:39
Moderator

Beiträge: 7805
#3 Name der Datei merken, die der Scanner als Backdoor identifiziert hat, dann im abgesicherten Modus starten und die Dateien loeschen/umbenennen. Es kann sein, das man nachher in der Registrierung evtl. Verweise auf diese Dateien loeschen muss.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.02.2004, 09:34
...neu hier

Beiträge: 1
#4 Hallo

Ich hab nun dieses hijackThis runtergeladen und alles so gemacht wies bei der erklärung stand aber den blarul Virus krieg ich davon nicht weg das einzige was erscheint is ne readme datei
Seitenanfang Seitenende
24.02.2004, 10:00
Moderator

Beiträge: 7805
#5 Dann kopiere das Log welches im Editor steht mal in eine Antwort von dir hier ins Forum.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.02.2004, 13:14
...neu hier

Beiträge: 1
#6 Hallo!

Kaum hab ich heut meinen Pc angemacht, kam Virusmeldung über Backdoor.Blarul! NAV kann ihn nicht entfernen!

Hat jemand einen Vorschlag?

LG
Seitenanfang Seitenende
24.02.2004, 14:00
...neu hier

Beiträge: 1
#7 Moin Leute

Hab das gleiche problem heute morgen vorgefunden.

Norton AV hat "Backdoor Blarul" als hohes risiko eingestuft.
Konnte diesen aber nicht entfernen. Gefunden wurde der trojaner in "Overnet.exe". Ich hab dann gegoogeld aber nix aufschlussreiches finden können. Bin letztendlich bei euch gelandet. ;)
Norton Av hat den trojaner zwar gesichert aber nicht gelöscht.
Ich habe meine download dateien gesichert und dann manuell erst overnet deinstalliert dann den ordner gelöscht.

Jetzt werde ich ein paar deepscans durchführen und versuchen rauszufinden wie der trojaner funktioniert.


Ich halte euch auf dem laufenden

ciao...
Seitenanfang Seitenende
24.02.2004, 14:16
Member
Avatar Dafra

Beiträge: 1122
#8 Zuviel Ct gelesen oder was ?? ;) Du kannst ja aber mal den Netzwerkverkehr belauschen und mir die Logs mal schicken an meine Email-Addresse:

Das wäre nett.
MFG
DAFRA
Dieser Beitrag wurde am 17.10.2008 um 00:19 Uhr von Dafra editiert.
Seitenanfang Seitenende
24.02.2004, 17:15
...neu hier

Beiträge: 3
#9 Hi,
ich hab das gleiche Problem.
Bei mir ist Blarul in der Esel.exe.
NOrton löscht die dann gleich, nun kann ich Esel net mehr starten.
Neu installieren geht auch nicht (selber Fehler)
Ich hab echt kein PLan wie ich den wegkriege...
Hilfe...
Seitenanfang Seitenende
24.02.2004, 17:19
...neu hier

Beiträge: 5
#10 "backdoor blarul" wurde bei mir heute auch von norton gefunden.
habe darauf erstmal ein weiteres av programm runtergeladen (avg av), da von diesem besagt wurde, dass es den virus entfernen kann, bin allerdings gerade dabei zum fünften mal zu prüfen, mag aber daran liegen dass ich es bisher falsch gemacht habe. empfohlen wurde noch ein anderes anti viren programm von dem ich den namen jetzt nicht weiss.

habe mir jetzt auch mal dieses hijackthis runtergeladen und eine log-datei gespeichert. was genau zeigt denn das an?
ich hoffe ich tu niemandem unrecht wenn ich die log-datei nun mal reinkopiere. vielleicht kann mir ja jemand dazu was sagen.

- - -

Logfile of HijackThis v1.97.7
Scan saved at 16:57:16, on 24.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pulse\Pulse.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programme\Grisoft\AVG7\avgcc.exe
C:\Programme\Grisoft\AVG7\avgemc.exe
C:\Programme\Winamp3\Studio.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\PROGRA~1\NORTON~1\QServer.exe
C:\Programme\Grisoft\AVG7\avgwa.dat
C:\Dokumente und Einstellungen\Amira\Eigene Dateien\Downloads\antivirus&s.w\hijackthis1977\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Pulse] C:\Programme\Pulse\Pulse.exe -splash
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .mp4: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: DigiChat Applet - http://host7.digichat.com/DigiChat/DigiClasses/SignedClient.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
24.02.2004, 17:29
Moderator

Beiträge: 7805
#11 Das hoert sich sehr nach Fehlalarm von Norton an. Nervt halt denNortonSupport und fragt, ob sie was davon wissen oder wartet, bis sie ein neues Update herausbringen und schaut, ob die Datei immer noch als Backdoor identifiziert wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.02.2004, 17:38
...neu hier

Beiträge: 5
#12

Zitat

raman postete
Das hoert sich sehr nach Fehlalarm von Norton an. Nervt halt denNortonSupport und fragt, ob sie was davon wissen oder wartet, bis sie ein neues Update herausbringen und schaut, ob die Datei immer noch als Backdoor identifiziert wird.
hast du dich jetzt auf meine log-datei bezogen? ich dachte mir zwischendurch dass man vielleicht die infizierte datei geöffnet haben muss oder sowas. also bei mir sagt norton auch overnet.exe ist infiziert, und overnet hab ich seitdem ausgeschaltet.
was bedeutet das "-t" hinter dem wo was mit overnet steht?
Seitenanfang Seitenende
24.02.2004, 17:47
Moderator

Beiträge: 7805
#13 Keine Ahnung, ich nutze keine P2P Software, koennte aber (sys)Tray heissen, sprich es wird gestartet und gleich unten rechts im Systray abgelegt. Du solltest aber noch darauf achten, das du nicht beide Waechter von Norton und AVG gleichzeitig gestartet hast, da das dein System instabil machen kann.

Nachtrag:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Du solltest oeffters mal www.windowsupdate.com besuchen.;)
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 24.02.2004 um 17:48 Uhr von raman editiert.
Seitenanfang Seitenende
24.02.2004, 17:52
...neu hier

Beiträge: 5
#14 dann wären bei einigen anderen programmen auch noch solche zeichen, aber wenn es nur sowas in der art ist dann beruhigt es mich ja erstmal.
Seitenanfang Seitenende
24.02.2004, 17:53
Moderator

Beiträge: 7805
#15 Im Zweifelsfall halt mal google befragen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende