GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene

    

 · Home · Impressum & Datenschutz · Suche

Seiten mit Postings: 1 2

zum Seitenende

 Forum Index —› PC Sicherheit —› TR/Patched.BD.221 gefunden
 


Autor Mitteilung
Françoise
Boardkönig

Beiträge: 1482


Gesendet: 11:35 - 14.05.2008

Hallo,

bei mir wird von Antivir dauernd angezeigt, dass folgender Trojaner gefunden wurde.

Dann bin ich auf den Link gegangen, doch leider spuckt Antivir darüber nicht wirklich Infos aus und der olle Gockel spuckt auch nix prickelndes aus, der verweist mich nämlich wieder an Antivir.

Ich hab seitdem den Trendmicro Housecall 6.5 drüber laufen. Doch da Geduld nicht gerade mein Ding ist und der schon ewig vor sich hin nuddelt (zeigt weder an, wie er vorangekommen ist oder wie lange dat noch daaaaaaauert, sind jetzt ca 2 Stunden), hab ich Hijackthis drüber gejagt. Der hat unten stehendes File ausgespuckt. Nun muss ich allerdings sagen, dass ich bei dem Wust an Text die Übersicht verloren habe.
Könntet Ihr, die im Hijackthisfile-lesen geübter sind, bitte mal drüber gucken, ob das Kerlchen was interessantes entdeckt hat?

Ihr glaubt gar nicht, wie dankbar ich euch für eure Hilfe bin.

LG
Franzi

Hier nun das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:18:13, on 14.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\FlashGet\FlashGet.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Meine\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: WikiSearch - {44E7EF6C-6F5C-4AAF-A080-7725A27878ED} - C:\PROGRA~1\WIKISE~1\WIKIPE~1.DLL
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Find on Wikipedia... - C:\Programme\WikiSearch Toolbar\cm.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muw
eb_site.cab?1133942450140
O16 - DPF: {79E7DCE2-6306-4996-B7CB-C2601B2B7BD1} (DownloadCtrl Class) - https://stream.web.de/v/notify/Download.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Unknown owner - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe (file missing)
Françoise
Boardkönig

Beiträge: 1482


 

Gesendet: 11:37 - 14.05.2008

Achso, ich Trottel! Der Trojaner heißt TR/Patched.BD.221

LG
Franzi
Donald
Boardkaiser

Beiträge: 2682


 

Gesendet: 13:42 - 14.05.2008

Schau bitte mal diese Anleitung an:

http://www.trojaner-info.de/beseitigung.shtml



Gruß Donald
Lukas
Premium-User

Beiträge: 542


 

Gesendet: 14:14 - 14.05.2008

http://www.hijackthis.de/
Da gibt es eine automatische Auswertung für die Logfiles. Wie verlässlich das ist, kann ich dir aber nicht sagen.
Nubira
Moderator

Beiträge: 15134


 

Gesendet: 16:53 - 14.05.2008

Franzi, ich hab es mal eingegeben und bis auf eine Sache ist alles sauber bei Dir.
Nur hier ist ein rotes Achtungs-Zeichen.

O8 - Extra context menu item: Find on Wikipedia... - C:\Programme\WikiSearch Toolbar\cm.html

Der Eintrag Find on Wikipedia... wurde als schädlich erkannt


Also fixen!

Außerdem stehen noch folgende Hinweise für Dich da:
Zitat:
Es existiert bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit Ihres Systems. Besuchen Sie Microsoft's Windowsupdate Seite um sich das neuste Service Pack herunterzuladen.
In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe:
(1.) Sie benutzen die Windows XP eigene oder eine Hardware Firewall.
(2.) Sie benutzen eine Firewall, die uns nicht bekannt ist.
(3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder
(4.) sie verwenden keine Firewall.
Wir empfehlen Ihnen das Benutzen einer Firewall. Laden Sie sich ggf. eine herunter oder verwenden Sie die Windows XP eigene. Aktivieren Sie ggf. Ihre Firewall.



Nubira
Françoise
Boardkönig

Beiträge: 1482


 

Gesendet: 20:42 - 14.05.2008

Hallo,

also, ich hab das so gemacht, wie in der Anleitung, vorgeschlagen von Donald. Die Datei wurde beim Suchen im System nicht gefunden Also dachte ich, ich wäre das Teil los, weit gefehlt. Heute nachmittag tauchte die Meldung dann immer öfter auf. Dann hat Carsten den Vorschlag gemacht, doch eine Systemwiederherstellung zu machen. Das hielt ich für eine gute Idee, tue ich immernoch.
Gesagt und getan.
Dann ist der PC wieder hochgefahren, doch Antivir startet nicht mehr, der Schirm unten im Systray ist zu. Ich werde darauf hingewiesen, dass ich ein Update machen soll, doch wenn ich das tue, kommt die Meldung, dass ich "optimal geschützt bin". Dann wollte ich eine vollständige Systemprüfung machen, doch dann kommt: User-Record verändert.

Und oben bei Antivir steht "Dienst gestoppt.

Ich würde ja gern googlen, doch ich möchte nicht ohne Virenschutz ins Internet. Was ist denn da nur los?

Könnt ihr mir bitte helfen?
Ich wäre euch so dankbar.
LG
Franzi
Nubira
Moderator

Beiträge: 15134


 

Gesendet: 21:11 - 14.05.2008

Franzi, hast Du den "Eintrag Find on Wikipedia" gefixt?

Gotti hatte mal eine gute Anleitung geschrieben, was man bei einem verseuchten PC machen soll:

Thema Wiederherstellungspunkt:
Wenn Dein Rechner mit Viren oder anderen Schädlingen infiziert ist, macht das Setzen eines Wiederherstellungspunktes keinen Sinn.

Warum?
Weil die infizierten Dateien mit in die Sicherung einbezogen werden und dann bei einem Neustart natürlich wieder auf der Platte sind.

Abhilfe:
Durch das Deaktivieren der Systemwiederherstellung werden alleaktuellen Systemzustände gelöscht und somit auch die verseuchten Dateien.

Und so geht man bei einem verseuchten PC vor:

1. Systemwiederherstellung deaktivieren

2. Computer runterfahren und mindestens eine Minute warten

3. während des Neu-Startens mehrfach die F8 Taste drücken. Dann kommst Du in den abgesicherten Modus

4. dann das Virenscannen und Beseitigen vornehmen

5. neu starten und die System - Wiederherstellung anschließend aktivieren


Nubira
Françoise
Boardkönig

Beiträge: 1482


 

Gesendet: 21:49 - 14.05.2008

Hallo,

Gotti hat Recht, das Sch...Teil ist schon wieder da

Ist die Datei C:\Windows\system32\sens.dll eine wichtige Systemdatei? Carsten hat gesagt, ich soll die einfach mit einer nicht virenverseuchten Dateiversion überspielen. Doch wo komme ich 1. an eine funktionierende dll-Datei ran und 2. hält das Biest so dermaßen hartnäckig, dass ich nicht glaube, dass es durch einfaches Überschreiben erledigt ist.
Ich setze also morgen den Vorschlag von Gotti in die Tat um. Für heute hat mich der Kampf gegen den Drachen ääh das Pferd geschwächt und ich bin dadurch stark genervt.

Gute Nacht euch allen und träumt nicht von Trojanern

LG
Franzi
Françoise
Boardkönig

Beiträge: 1482


 

Gesendet: 07:57 - 15.05.2008

Guten Morgen,

ich hab das dann doch gestern Abend noch gemacht, wie ihr das von Gotti geschrieben habt, also
Systemwiederherstellung deaktivieren>>Abgesicherter Modus>>Virensuche>>Virenbeseitigung>>Systemwiederherstellung aktivieren.
Hm, und jetzt trau ich mich gar nicht so richtig, Antivir ne Systemvolluntersuchung machen zu lassen und zu fragen, was er jetzt davon hält.
Nubira
Moderator

Beiträge: 15134


 

Gesendet: 08:00 - 15.05.2008

Dann mache doch einen Online-Virenscan mit einem anderen Anbieter, kann auf keinen Fall schaden.
In unserer Linksammlung findest Du gleich am Anfang diverse Angebote.

Vubira
Donnervogel
Premium-User

Beiträge: 536


 

Gesendet: 08:30 - 15.05.2008

Zitat:
Vubira
Identitätskriese? [Link zum eingefügten Bild]

Seiten mit Postings: 1 2

- TR/Patched.BD.221 gefunden -

zum Seitenanfang



 Forum Index —› PC Sicherheit —› TR/Patched.BD.221 gefunden
 


naanoo logo
Version 3.1 | Load: 0.005091 | S: 1_2