Ein gar nicht komischer Clown

Taxim
Premium-User

Beiträge: 316

Hallo!

Meine Freundin hat ein nicht unwesentliches Problem mit ihrem PC.
Es dauert ewig, bis manche Seiten geladen sind, und dies braucht wohl auch mehrere "Anläufe". Und wenn eine Seite mal geladen ist, bringt's auch nicht viel, da sie sich quasi nirgends mehr einloggen kann.
So weit, so schlecht, klingt das für mich irgendwie nach 'nem HiJacker.
Allerdings kann sie auch MSN nicht mehr starten und ein anderes Programm (Broadcaster) spinnt plötzlich (Sie wird nach einem Passwort gefragt, was eigentlich nicht sein dürfte).
AntiVir fand einen gewissen "Clown", 1x als Virus und 1x als Wurm angezeigt. Er tauchte nach der Löschung noch mehrmals auf.
SpyBot entdeckte immer so um die 40-50 Einträge, auch nach mehreren Suchläufen. Vorhin hat sie SpyBot 4 Mal über die Platte laufen lassen, erst dann wurden keine Einträge mehr angezeigt.
Ist es vielleicht möglich, daß sich da eine Datei in der Registry befindet, die diesen Virus immer wieder neu aktiviert? Bzw. hat sie auch noch einen HiJacker zusätzlich?
Ich hoffe, jemand hat eine Idee.

Gruß
Tax

Cohagen
Boardkaiser

Beiträge: 3375

Holt euch mal zunächst >Hijackthis<
Download ganz rechts oben auf der Seite.
Besorgt euch zusätzlich noch a squared free >Hier<
Dieses Programm finde ich persönlich besser als Spybot.

Nubira
Moderator

Beiträge: 15134

Für Hijackthis gibt es hier Anleitungen:

>LogFile machen< und >LogFile fixen<

Taxim
Premium-User

Beiträge: 316

Danke schön. Mal sehen, was sie überhaupt noch 'runterladen kann, denn da wäre noch eine Auffälligkeit:
Als sie versuchte, AntiVir 'runterzuladen, klappte es nicht. Und das gilt nicht nur für AntiVir. Das wurde schön geblockt. Ich hab dann den Namen der .exe-Datei geändert und ihr zugeschickt.

Ich hatte schon mal das Vergnügen mit Hijackthis, vielleicht erinnert sich noch wer.

Trotzdem nochmal Danke für die Links.
Gut, dann mal a squared probieren und das Logfile auswerten lassen.

Nubira
Moderator

Beiträge: 15134

Wenn sie nichts mehr runterladen kann, ist es auch möglich, dass Du die Programme auf CD brennst und Deine Freundin sie von dort startet.

Nubira

Taxim
Premium-User

Beiträge: 316

Moin, Moin...

Wie's bei meiner Freundin ausschaut, weiß ich noch nicht, aber ich weiß was anderes: Ich hab den "Clown" jetzt auch. Super.

Mir ist folgendes aufgefallen:
Der Clown wird immer dann von AntiVir entdeckt, wenn SpyBot neu gestartet wird und der Suchlauf noch ziemlich am Anfang ist. Ich lösche die Datei, aber das bringt ja nichts, da er eben wie gesagt immer wieder auftaucht.
Und zwar hier:

C:\WINDOWS\system32\clown.dll

Signatur: WORM/Rbot.15566

Kurze und gute Frage - wie werd ich den wieder los?

Nubira
Moderator

Beiträge: 15134

Ist Dein AntiVir auf dem aktuellen Stand?
Hier taucht der WORM/Rbot.15566 in der Liste der Bedrohungen auf, die erkannt werden - also auch beseitigt werden können

http://www.avira.com/de/threats/section/vdfhistory/ivdf_no/6.38.01.135/6.38.01.135.html

Versuche doch mal, den Kaspersky Online Virenscanner über den Rechner laufen zu lassen

http://www.kaspersky.com/de/virusscanner

Nubira

Taxim
Premium-User

Beiträge: 316

Zitat:
Der Clown wird immer dann von AntiVir entdeckt, wenn SpyBot neu gestartet wird

Das gilt übrigens auch für a squared.

Was AntiVir anbelangt:
Suchengine V7, 21.05.07
Virendefinitionen V6, 18.05.07

Eigentlich sollte dieser Wurm also beseitigt werden können... Uneigentlich... Tja. :/

Mit der Kaspersky-Seite hab ich irgendwie Probleme. Wenn ich den Online-Virenscanner anklicke, geht ein Pop up-Fenster auf und dann muß man ja diese Bedingungen akzeptieren.
Ich kann allerdings auf "Akzeptieren" drücken, bis ich schwarz werde, da passiert nichts. Das gilt sowohl für Opera als auch Firefox, der IE blockiert das Pop up, obwohl ich die Seite zu den Ausnahmen hinzugefügt habe.

Dieser Thread wird mich zum Premium-User machen.

Cohagen
Boardkaiser

Beiträge: 3375

Habt ihr den Bitdefender Online Scan >HIER< auch schon versucht?

Taxim
Premium-User

Beiträge: 316

Vorhin kam endlich Licht in die Sache. Ich weiß zwar nicht, wieso AntiVir mir dies erst jetzt gemeldet hat:

Zitat:
Die Datei konnte nicht gelöscht werden!

...weil sie gesperrt war und somit nur nach einem Neustart gelöscht werden konnte.
Den "Clown" sind wir also los (hoffe ich).
Und Danke Cohagen für den Link - wenn du eine Myspace-Seite hast, kannst du gar nicht genug Virenscanner haben. :/
Zum Ko...., wieviele Hacker sich da mittlerweile 'rumtreiben.

Cohagen
Boardkaiser

Beiträge: 3375

Ich würde auf Nummer Sicher gehen und >HIER< die Testversion von Kaspersky Internet Security herunterladen. Das Programm läuft 4 Wochen umsonst.
Antivir müsste allerdings vorher deinstalliert werden.

Version 3.1 | Load: 0.002731 | S: 1_2

Autor	Mitteilung
Taxim Premium-User Beiträge: 316	Gesendet: 20:25 - 21.05.2007 Hallo! Meine Freundin hat ein nicht unwesentliches Problem mit ihrem PC. Es dauert ewig, bis manche Seiten geladen sind, und dies braucht wohl auch mehrere "Anläufe". Und wenn eine Seite mal geladen ist, bringt's auch nicht viel, da sie sich quasi nirgends mehr einloggen kann. So weit, so schlecht, klingt das für mich irgendwie nach 'nem HiJacker. Allerdings kann sie auch MSN nicht mehr starten und ein anderes Programm (Broadcaster) spinnt plötzlich (Sie wird nach einem Passwort gefragt, was eigentlich nicht sein dürfte). AntiVir fand einen gewissen "Clown", 1x als Virus und 1x als Wurm angezeigt. Er tauchte nach der Löschung noch mehrmals auf. SpyBot entdeckte immer so um die 40-50 Einträge, auch nach mehreren Suchläufen. Vorhin hat sie SpyBot 4 Mal über die Platte laufen lassen, erst dann wurden keine Einträge mehr angezeigt. Ist es vielleicht möglich, daß sich da eine Datei in der Registry befindet, die diesen Virus immer wieder neu aktiviert? Bzw. hat sie auch noch einen HiJacker zusätzlich? Ich hoffe, jemand hat eine Idee. Gruß Tax
Cohagen Boardkaiser Beiträge: 3375	Gesendet: 20:38 - 21.05.2007 Holt euch mal zunächst >Hijackthis< Download ganz rechts oben auf der Seite. Besorgt euch zusätzlich noch a squared free >Hier< Dieses Programm finde ich persönlich besser als Spybot.
Nubira Moderator Beiträge: 15134	Gesendet: 20:42 - 21.05.2007 Für Hijackthis gibt es hier Anleitungen: >LogFile machen< und >LogFile fixen<
Taxim Premium-User Beiträge: 316	Gesendet: 20:51 - 21.05.2007 Danke schön. Mal sehen, was sie überhaupt noch 'runterladen kann, denn da wäre noch eine Auffälligkeit: Als sie versuchte, AntiVir 'runterzuladen, klappte es nicht. Und das gilt nicht nur für AntiVir. Das wurde schön geblockt. Ich hab dann den Namen der .exe-Datei geändert und ihr zugeschickt. Ich hatte schon mal das Vergnügen mit Hijackthis, vielleicht erinnert sich noch wer. Trotzdem nochmal Danke für die Links. Gut, dann mal a squared probieren und das Logfile auswerten lassen.
Nubira Moderator Beiträge: 15134	Gesendet: 20:59 - 21.05.2007 Wenn sie nichts mehr runterladen kann, ist es auch möglich, dass Du die Programme auf CD brennst und Deine Freundin sie von dort startet. Nubira
Taxim Premium-User Beiträge: 316	Gesendet: 09:35 - 22.05.2007 Moin, Moin... Wie's bei meiner Freundin ausschaut, weiß ich noch nicht, aber ich weiß was anderes: Ich hab den "Clown" jetzt auch. Super. Mir ist folgendes aufgefallen: Der Clown wird immer dann von AntiVir entdeckt, wenn SpyBot neu gestartet wird und der Suchlauf noch ziemlich am Anfang ist. Ich lösche die Datei, aber das bringt ja nichts, da er eben wie gesagt immer wieder auftaucht. Und zwar hier: C:\WINDOWS\system32\clown.dll Signatur: WORM/Rbot.15566 Kurze und gute Frage - wie werd ich den wieder los?
Nubira Moderator Beiträge: 15134	Gesendet: 10:09 - 22.05.2007 Ist Dein AntiVir auf dem aktuellen Stand? Hier taucht der WORM/Rbot.15566 in der Liste der Bedrohungen auf, die erkannt werden - also auch beseitigt werden können http://www.avira.com/de/threats/section/vdfhistory/ivdf_no/6.38.01.135/6.38.01.135.html Versuche doch mal, den Kaspersky Online Virenscanner über den Rechner laufen zu lassen http://www.kaspersky.com/de/virusscanner Nubira
Taxim Premium-User Beiträge: 316	Gesendet: 11:30 - 22.05.2007 Zitat: Der Clown wird immer dann von AntiVir entdeckt, wenn SpyBot neu gestartet wird Das gilt übrigens auch für a squared. Was AntiVir anbelangt: Suchengine V7, 21.05.07 Virendefinitionen V6, 18.05.07 Eigentlich sollte dieser Wurm also beseitigt werden können... Uneigentlich... Tja. :/ Mit der Kaspersky-Seite hab ich irgendwie Probleme. Wenn ich den Online-Virenscanner anklicke, geht ein Pop up-Fenster auf und dann muß man ja diese Bedingungen akzeptieren. Ich kann allerdings auf "Akzeptieren" drücken, bis ich schwarz werde, da passiert nichts. Das gilt sowohl für Opera als auch Firefox, der IE blockiert das Pop up, obwohl ich die Seite zu den Ausnahmen hinzugefügt habe. Dieser Thread wird mich zum Premium-User machen.
Cohagen Boardkaiser Beiträge: 3375	Gesendet: 12:03 - 22.05.2007 Habt ihr den Bitdefender Online Scan >HIER< auch schon versucht?
Taxim Premium-User Beiträge: 316	Gesendet: 12:46 - 22.05.2007 Vorhin kam endlich Licht in die Sache. Ich weiß zwar nicht, wieso AntiVir mir dies erst jetzt gemeldet hat: Zitat: Die Datei konnte nicht gelöscht werden! ...weil sie gesperrt war und somit nur nach einem Neustart gelöscht werden konnte. Den "Clown" sind wir also los (hoffe ich). Und Danke Cohagen für den Link - wenn du eine Myspace-Seite hast, kannst du gar nicht genug Virenscanner haben. :/ Zum Ko...., wieviele Hacker sich da mittlerweile 'rumtreiben.
Cohagen Boardkaiser Beiträge: 3375	Gesendet: 12:51 - 22.05.2007 Ich würde auf Nummer Sicher gehen und >HIER< die Testversion von Kaspersky Internet Security herunterladen. Das Programm läuft 4 Wochen umsonst. Antivir müsste allerdings vorher deinstalliert werden.