NAV 2004 und auch Antivir spinnen bei mir...

#0
11.03.2004, 22:53
...neu hier

Beiträge: 8
#1 Hallo,

ich hatte meinen Rechner heute übernacht angelassen und heute morgen eine Datei ausgeführt, die NAV als Trojan Backdoor identifizierte, jedoch nicht löschen konnte. Später warnte mich NAV erneut, diesmal hatte er aber den Trojan Backdoor entfernt. Da dies die einzigen Warnungen blieb, ging ich davon aus, das alles ok sei... Nach einem späteren Neustart war ich jedoch nicht mehr in der Lage einen Systemscan zu machen, geschweige denn NAV oder Liveupdate überhaupt aufzurufen, ohne dass es nach einer Sekunde gleich wieder verschwandt. Ich deinstallierte Norton und probierte es mit AntiVir - welches dann ebenfalls gleich nach dem Start sofort wieder "verschwandt"!!
Nach zich Versuchen irgendwelche Viren mit online Scannern zu finden, bin ich jetzt bis hier her gekommen und ratlos - Ich bitte um eure Hilfe!

Christian

-----------------------
Logfile of HijackThis v1.97.5
Scan saved at 22:53:36, on 11.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\Nero\NEROTO~1\DRIVES~1.EXE
D:\Programme\ASUS\Probe\AsusProb.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
D:\Programme\Babylon\Babylon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\eBayTBar.exe
D:\Programme\Creative\SBAudigy\SurMix2\SurMix2.exe
D:\Programme\E m u l e\E m u l e.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\PROGRA~1\SERV-U\SERVUD~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\nmain.exe
C:\WINDOWS\System32\NOTEPAD.EXE
C:\Programme\Real\RealOne Player\realplay.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DERCHR~1\LOKALE~1\Temp\Rar$EX00.562\HijackThis.exe

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\CONFLICT.2\eBayBand.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\CONFLICT.2\eBayBand.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Nero DriveSpeed] D:\PROGRA~1\Nero\NEROTO~1\DRIVES~1.EXE
O4 - HKLM\..\Run: [ASUS Probe] d:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [Babylon Translator] d:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Startup: E m u l e (2).lnk = D:\Programme\E m u l e\E m u l e.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: Creative Surround Mixer (2).lnk = D:\Programme\Creative\SBAudigy\SurMix2\SurMix2.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: eBay Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/03da3f2158db6c2baa05/netzip/RdxIE601_de.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37891.4066550926
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
Seitenanfang Seitenende
11.03.2004, 23:16
Member
Avatar Dafra

Beiträge: 1122
#2 Ok, fixe das mal:
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
Das muesste das Problem loesen.

P.s.
Ich kann leider nicht nach andren Sachen so gut suchen, denn ich bin mit meiner Klasse auf em Englisch Ausstausch in London und der Typ hat hier nur einen Apple rum stehen.
Da muss man sich erstmal dran gewoehnen. OHHHHH die Englaender haben ja auch kein oe, das F*** langsam ab. Naja noch ein paar schoene Tage ;)
Gruesse aus England.
MFG
DAFRA
Seitenanfang Seitenende
12.03.2004, 05:46
Moderator

Beiträge: 7805
#3 Nimm diese beiden Eintraege auch mal raus und starte den Rechner neu. Lasse dein AV-Programm dann nochmal ein Systemscan machen und die lasse es den Backdoor loeschen. Hast du einen genauen Namen des Backdoor?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.03.2004, 11:05
...neu hier

Themenstarter

Beiträge: 8
#4 Ich habe versucht die Einträge zu entfernen, aber es bringt scheinbar nichts =( Und wie gesagt, ich kein mein AV-Programm nicht einmal mehr ansatzweise benutzen, da es ja sofort wieder verschwindet!
Was genau ist dieses fservice.exe Ding??

Christian
Seitenanfang Seitenende
13.03.2004, 11:21
Moderator

Beiträge: 7805
#5 Ich habe dir die Eintraege ja gar nicht genannt! Ich glaub ich werde vergesslich.

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

Teste die Dateien hier:

http://www.kaspersky.com/remoteviruschk.html

Dein Virenscanner sollte im abgesicherten Modus funktioneren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.03.2004, 14:26
...neu hier

Themenstarter

Beiträge: 8
#6 ich habe jetzt etwas geforscht und denke ich habe den Tojaner Vicer oder Probat... Jedenfalls versuche ich krampfhaft die dateien fservice, sservice, winlogon.exe (fake), winkey.dll und wininv.dll zu löschen, sie sind aber bei jedem Neustart wieder da =(. Der Online Scanner von Panda findet diese Dateien auch, aber kann immer nur die Hälfte davon entfernen - ich weiß nicht weiter...

Christian
Seitenanfang Seitenende
13.03.2004, 14:41
Member

Beiträge: 1095
#7 Hi Sinistar878

Jetzt mal langsam, wir müßen mal wieder deinen Status finden.

Also.
1. Deaktiviere die Systemwiederherstellung deines Windows
http://www.bsi.bund.de/av/texte/wiederher.htm

2. lösche alle Temporären Internetfiles.
Systemsteuerung/Internetoptionen/Dateien löschen +OfflineInhalte

3. Fixen der oben angegebenen Eintäge in HiJackThis
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

4. Rechner runterfahren und Starten in safemode
http://www.bsi.de/av/texte/winsave.htm

5. Virenscanner alles scannen lassen

6. Wieder normal hochfahren
HiJAckThis logfile wider hieer posten

Dann sehen wir uns

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
13.03.2004, 17:12
...neu hier

Themenstarter

Beiträge: 8
#8 Habe deine Anleitung befolgt - Der Virenscanner (Panda Titanium 2004) hat 8 Files gefunden und wollte sie nach einem Neustart entfernen, sie tauchen nach jedem Neustart aber immer wieder auf! Mache ich was falsch???


Und hier scheint mein fixen auch keinen Sinn zu haben - nach einem Neustart ist alles wie vorher =(

Logfile of HijackThis v1.97.5
Scan saved at 17:09:33, on 13.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\Nero\NEROTO~1\DRIVES~1.EXE
D:\Programme\ASUS\Probe\AsusProb.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
D:\Programme\Babylon\Babylon.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\eBayTBar.exe
D:\Programme\Creative\SBAudigy\SurMix2\SurMix2.exe
D:\Programme\E m u l e\E m u l e.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Der Christian\Desktop\HijackThis.exe

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\CONFLICT.2\eBayBand.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\CONFLICT.2\eBayBand.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Nero DriveSpeed] D:\PROGRA~1\Nero\NEROTO~1\DRIVES~1.EXE
O4 - HKLM\..\Run: [ASUS Probe] d:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe
O4 - HKCU\..\Run: [Babylon Translator] d:\Programme\Babylon\Babylon.exe
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\DERCHR~1\LOKALE~1\Temp\IXP000.TMP\"
O4 - Startup: E m u l e (2).lnk = D:\Programme\E m u l e\E m u l e.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: Creative Surround Mixer (2).lnk = D:\Programme\Creative\SBAudigy\SurMix2\SurMix2.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: eBay Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/03da3f2158db6c2baa05/netzip/RdxIE601_de.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37891.4066550926
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4336/mcfscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
Seitenanfang Seitenende
13.03.2004, 18:23
Member

Beiträge: 1095
#9

Zitat

sinistar878 postete
Habe deine Anleitung befolgt - Der Virenscanner (Panda Titanium 2004) hat 8 Files gefunden und wollte sie nach einem Neustart entfernen, sie tauchen nach jedem Neustart aber immer wieder auf! Mache ich was falsch???
Warum nach dem Neustart löschen?
Lass sie doch im SafeMode vom Virenscanner löschen!!

Poste bitte auch genau den Namen des Virus bitte.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 13.03.2004 um 18:32 Uhr von paff editiert.
Seitenanfang Seitenende
13.03.2004, 18:25
...neu hier

Themenstarter

Beiträge: 8
#10 Aber der Virenscanner verlangt von mir neuzustarten, damit er die Dateien endgültig löschen kann!
Seitenanfang Seitenende
13.03.2004, 18:33
Member

Beiträge: 1095
#11 Poste bitte den genauen Namen des Virus bitte.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 13.03.2004 um 18:34 Uhr von paff editiert.
Seitenanfang Seitenende
13.03.2004, 18:45
...neu hier

Themenstarter

Beiträge: 8
#12 Das Problem ist, das alle Virenprogramme andere Namen vergeben...

Panda findet Folgende:
Bck/Vicer.A
Bck/Prorat.A
Bck/Prorat.B

Diese sind jeweils im Speicher gefunden worden, als auch in den o.g. Dateien!
Seitenanfang Seitenende
13.03.2004, 20:29
Member

Beiträge: 1095
#13 Hi
Lies mal das hier durch
http://www.pro-support.de/ps1.pl?noframes;read=1264

Da hat ihn einer mit der Pandasoftware weggekriegt
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
13.03.2004, 20:37
...neu hier

Themenstarter

Beiträge: 8
#14 Ich hab mir jetzt alle durchgelesen, aber nix zu meinem Problem gefunden.. kannst du mir das mal rauskopieren?
Seitenanfang Seitenende
13.03.2004, 21:19
Member

Beiträge: 1095
#15 Mist, ich habe mich verlesen, die Antwort war für den "backdoor.sdbot".

Tja, ich glaub ich muß mal nachforschungen anstellen.
So einfach ist das nicht.

Melde mich wieder!
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: