[Hertesler]

Anzeige

Also ich habe seit einigen Tagen verschiedene Viren im Ordner Windows\system32\, aber ich hatte immer das aktuellste AntiVir drauf und seit neuestem auch Ad-Aware SE Personal (fand auch viele Viren, die AntiVir nicht fand, aber auch diese sind beseitigt).

Trotzdem bekomme ich fast aller 5Minuten AntiVirberichte, die mir sagen, dass ein Virus im system32 Ordner gefunden wurde (Virusname schliesst darauf, dass die Viren in Form einer DLL-Datei immer wieder neu erstellt werden, obwohl ich mein System in den 3 tagen schon 2x formatiert, etc. habe und jetzt wollte ich fragen, ob einer weiß, wie ich diese Viren endgültig entferne !?

MFG
Hertesler

P.S.: Ich benutze Windows XP !

[Hertesler]

hatte soeben z.B. den Virus "ilreqilm.exe" in den system32-Ordner (Virus ist "BDS/VanBot.G.1) !

Danke
Hertesler

[immorb]

Zitat:

Zitat von Hertesler

hatte soeben z.B. den Virus "ilreqilm.exe" in den system32-Ordner (Virus ist "BDS/VanBot.G.1) !

ilreqilm.exe sagt mir nichts.Vermutlich eine Signatur die nur ANTVIR kennt.
Lade die Datei hier>> Hoch (Online FileScan)
Du kannst auch einen Scan mit HijackThis machen und das Logfile posten,oder selbst auswerten.>> HijackThis

Mehr weiss ich im Augenblick auch nicht.

M.f.G.

[Hertesler]

Naja die erstellt Exe ist halt einfach eine, die einen zufälligen Namen hat (die .exe. heißt auch jedes mal anders) aber wie kann ich das unterbinden, dass diese .exe. erstellt wird ?

Welches Programm ist erfahrungsgemäß gut oder hatte einer selber mal dieses Problem ?

danke
Hertesler

[Jigsaw]

naja schwer zu sagen..
ich hatte den Virus auch mal, bei mir hat leider bloß festplatte formatieren geholfen...
aber trotzdem viel glück

[Hertesler]

auch das habe ich ja schon hinter mir und zwar zweimal, aber irgendwoher muss der virus doch kommen und genau das ist ja mein problem !

[immorb]

Zitat:

Zitat von Hertesler

Welches Programm ist erfahrungsgemäß gut oder hatte einer selber mal dieses Problem ?

Hast du meine ersten Ratschläge mal probiert?

Zitat:

Zitat von Jigsaw

ich hatte den Virus auch mal, bei mir hat leider bloß festplatte formatieren geholfen...

Formatieren tun nur die,die keine Ahnung haben.
BDS ist kein Virus,sondern ein Backdoorprogramm.Welches vermutlich nur AntiVir kennt.
Ich habe noch nie wegen einem Störer formatiert.Und es ist in der Regel auch nicht notwendig.
Mittlerweile gibt es für "bestimmte" Störer konkrete Entfernungsanweisungen.

@Hertesler,
befolge meine erstgenannten Ratschläge.
Zusätzlich kannst du auch einen "Online-Scan" machen.Z.B. bei Bitdefender Scan Online

M.f.G.

[Hertesler]

Also das ist mein Ergebnis mit HighJackThis:

"Logfile of HijackThis v1.99.1
Scan saved at 22:47:50, on 16.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\ctfmon.exe
D:\SpywareGuard\sgmain.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\SpywareGuard\sgbhp.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
D:\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
D:\WinAmp\winamp.exe
D:\Opera\Opera.exe
D:\DAP\DAP.EXE
G:\Eigene Dateien\My Completed Downloads\HijackThis 1.99.1.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\SpywareGuard\dlprotect.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = D:\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra ConTEXT menu item: &Clean Traces - D:\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - D:\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{45464F11-8965-4DE9-B474-74395ABF61EE}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe"

Was muss ich dann machen ??

Danke
hertesler

[immorb]

Zitat:

Zitat von Hertesler

Was muss ich dann machen ??

Es wird Zeit um SP2 zu installieren.
Ansonsten ist der Log jungfräulich,eventuell diesen Eintrag kontrollieren:
O8 - Extra ConTEXT menu item: &Clean Traces - D:\DAP\Privacy Package\dapcleanerie.htm
Wenn dir dieser nicht bekannt ist Fixen (entfernen).

Aber, wie gesagt,die Datei mal kontrollieren lassen(siehe erstes Posting).
oder Online-Scan.
Du kannst aber auch dieses mal probieren>> hitmanpro.de
Der holt dir alle Störer von der Platte.

Und zu Guterletzt,ANTIVIR nicht benutzen.

M,f.G.

[Hertesler]

Warum sollte ich AntiVir nicht mehr benutzen ? denn immerhin war es das einzige programm was den fehler gefunden hat !?

und ich habe eigentlich sp2 nicht installiert weil immer alle sagen dass es mehr Viren dafür gibt !?

mfg

P.S.: bis vor den letzten 2 Formatierungen hatte ich auch SP2 drauf !

[immorb]

Zitat:

Zitat von Hertesler

denn immerhin war es das einzige programm was den fehler gefunden hat !?

Antivir ist dafür bekannt "unbekanntes" als Schädling zu interpretieren.
Z.B wurde eine Zeitlang die Datei "procexpl.exe" (gehört zu Processexplorer von Sysinternals) als schädlich eingestuft.
Ist dir die Software/Programm bekannt die die "ilreqilm.exe benutzen?

Zitat:

obwohl ich mein System in den 3 tagen schon 2x formatiert, etc.

Eigentlich sollte dann alles sauber sein.
Du kannst auch mal ein Rootkit-Scanner benutzen>> Gefahren erkennen, System abdichten
Oder den >> http://www.hitmanpro.de/ benutzen.

M.f.G.

[Hertesler]

ja ich probiers ma - poste danach das ergebnis.

danke
hertesler

[Hertesler]

Virus kam nicht nochma wieder - trotzdem danke für eure Hilfe.



Hertesler

[milena]

Hey,

genau das Problem habe ich auch.
Hast du da jetzt schon eine Ahnung was man dagegen machen kann.
Denn ich brauche Hilfe dabei.
Ich habe auch system 32 \icmuwshe.
Bitte hilft mir.

mfg

[immorb]

Zitat:

Zitat von milena

Ich habe auch system 32 \icmuwshe.

Wer oder was hat dir dieses gemeldet?
Hast du die bisherigen Ratschläge bevolgt?

Zitat:

Zitat von milena

genau das Problem habe ich auch.

Das gleiche Problem kannst du nicht haben,weil es sich bei dir um eine andere Datei handelt.

Ohne nähere Infos kann man schlecht eine Lösung finden.

M.f.G.

[honeycat]

hallo
ich bin neu hier und habe nicht viel ahnung von pcs. bin auf das forum gestossen weil ich auch einen trojaner auf dem pc habe. mein bruder (er kennt sich ein bisschen besser aus als ich) hat mir 2 mal den pc neu aufgesetzt und alles gelöscht. aber der trojaner ist immernoch oder schon wieder drauf. mit dem scanner a-squared findet es ständig neue fehler in system32. ich habe ihn jetzt ca. 4 mal hintereinander durchlaufen lassen, es hat mir gefährliche dateien angezeigt, die hab ich gelöscht und beim nächsten scann waren trotzdem wieder neue da. kann mir jemand helfen? ich wäre sehr froh. ich probier jetzt mal die oben genannten sachen durch...

[immorb]

Zitat:

Zitat von honeycat

ich habe ihn jetzt ca. 4 mal hintereinander durchlaufen lassen, es hat mir gefährliche dateien angezeigt,

Es wäre hilfreich wenn du uns mitteilst welche Dateien gefunden wurden.

M.f.G.

[honeycat]

danke für deine schnelle antwort.
ich weiss die dateien leider nicht mehr...ich habe mir eben den hier empfohlenen hitman pro runtergeladen und er läuft jetzt noch durch. wenn er fertig ist werde ich den a-squared nochmals durchlaufen lassen und im fall dass noch nicht alles gelöscht ist, die namen rauskopieren.

[honeycat]

das wäre der name:

trojan.win32.agent.dcb
Datei: C:|WINDOWS|systen32|srafxad.exe

jetzt hats nur eins gefunden, aber bei jedem scan findet es unterschiedlich viele mit ähnlichen namen.
der hitman pro hat leider nicht genützt
kennt jemand diesen trojaner?

[IchGoogleAlles]

Nein, entweder ein neuer oder ein polymorpher Trojaner. Lade dir den hier herunter:
http://download.hijackthis.eu/hijackthis_199.zip
und poste das Log oder lass es hier auswerten:
HijackThis Logfileauswertung

ciao, andreas