[Viren/Trojaner] Virus entfernen

pumuckl

fühlt sich hier wohl
Virus entfernen

Hallo zusammen,

Habe Bitdefender Free edition über meinen Rechner laufen lassen und folgendes gefunden:

C:\Programme\Softwin\BitDefender Free Edition\Infected\drprov32.dll Infiziert Trojan.Downloader.6588.E
C:\Programme\Softwin\BitDefender Free Edition\Infected\drprov32.dll Desinfizierung nicht durchgeführt
C:\Programme\Softwin\BitDefender Free Edition\Infected\drprov32.dll Verschieben fehlgeschlagen

Leider habe ich keine Ahnung wie ich den Virus wieder wegbekomme

Kann mir jemand helfen?

Danke im Voraus
pumuckl
 

JensusUT

Senior Member
Hm... dummerweise benennen die Antiviren-Programme die Schädlinge nicht immer gleich, aber einen Versuch ist es wert...
Welche Version vom BitDefender ist es denn? Die neue Version 8?
Und hast du vor dem Scan mal ein Signaturupdate gemacht?

Was mich wundert: Der Ort der angeblich infizierten Datei benennt BD mit
BitDefender Free Edition\Infected\
:unsure:

Das soll heissen, die Datei wurde dort entdeckt, oder nicht? Dann braucht man sie doch eh' nicht starten :wirr
 

pumuckl

fühlt sich hier wohl
JensusUT schrieb:
Welche Version vom BitDefender ist es denn? Die neue Version 8?
Und hast du vor dem Scan mal ein Signaturupdate gemacht?

Was mich wundert: Der Ort der angeblich infizierten Datei benennt BD mit :unsure:

Das soll heissen, die Datei wurde dort entdeckt, oder nicht? Dann braucht man sie doch eh' nicht starten :wirr

Ich habe die Bitdefender Free Edition v7.2

Hab mal in den Ordner Infected geschaut, der ist aber leer.

Was ist ein Signaturupdate und wie macht man das?

Komme mir in diesem Forum immer sehr blöde vor, aber ich habe leider ziemlich wenig Ahnung vom Computer
:frust
 

Franz

assimiliert
- zum leeren Ordner "Infected":
Der ist deswegen leer, weil das Verschieben der Datei durch BitDefender nicht klappte:

>> C:\Programme\Softwin\BitDefender Free Edition\Infected\drprov32.dll Verschieben fehlgeschlagen <<

Auch das Desinfizieren schlug fehl, weil die besagte Datei gerade von einem Programm benutzt wird.

- zum Signatur Update:
Bitdefender verfügt über eine Funktion, durch die seine Virenerkennung aktuell gehalten wird,
da es so ziemlich jeden Tag neue Viren/Trojaner, etc., gibt.

Nach, bzw. während, der Installation wurde bestimmt gefragt,
ob das Update automatisch oder manuell erfolgen soll.
Wenn du manuell gewählt hast, machst du einen Doppelclick auf das BitDefender Icon und gehst auf:
Live Update -> Suche -> Bitdefender suchen lassen und wenn fertig -> Update
Danach bist du auf dem aktuellsten Stand.
Falls die Funktion auf automatisch gesetzt wurde, bist du es bereits und
kannst dir den ganzen Gram sparen.

Aber zu guter Letzt glaube ich, daß es sich gar nicht um eine infizierte Datei handelt,
sondern eher um eine, die eine ähnliche Signatur wie ein bekannter Trojaner hat (hier:Trojan.Downloader.6588.E).
Um das heraus zu bekommen, könntest du einmal einen Scan mit HijackThis machen, und diesen hier posten.

zu BitDefender:
mit gefällt dieser seit Jahren und habe ihn immer noch im Einsatz.
Komme mir in diesem Forum immer sehr blöde vor, aber ich habe leider ziemlich wenig Ahnung vom Computer
Das geht mir auch oft so. ;)
 

TBuktu

Senior Member
ot:

Hoppla, das ´komme ich mir blöde vor´ hatte ich übersehen
Wenn Du irgendwo wegen vermeintlicher Nichtahnung angemacht wirst, dann schreib eine PN (Mod / Admin) - wir werden das ´korrigieren´
Wenn das aber ein eigenes Gefühl ist, dann trenn Dich davon. Ist schlicht überflüssig und sachlich falsch.

Gruss
Tim
 

pumuckl

fühlt sich hier wohl
arcanoa schrieb:
Aber zu guter Letzt glaube ich, daß es sich gar nicht um eine infizierte Datei handelt,
sondern eher um eine, die eine ähnliche Signatur wie ein bekannter Trojaner hat (hier:Trojan.Downloader.6588.E).
Um das heraus zu bekommen, könntest du einmal einen Scan mit HijackThis machen, und diesen hier posten.

Den Scan hab ich gemacht, hier ist das Ergebnis
Logfile of HijackThis v1.99.1
Scan saved at 18:35:04, on 30.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_server.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\GoogleFilter\core\googlefilter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\FRITZ!DSL\fritzdsl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Corinna\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {B35F3EC2-6586-4EC5-8848-D0F4A461A021} - C:\WINDOWS\System32\drprov32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [mm_server] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_server.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\De\Felix2.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [GoogleFilter] C:\Programme\GoogleFilter\FiltecAPP.exe /run
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: o4mdl - http://image.one4.de/music/web/test/o4mdl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB)
O17-HKLM\System\CCS\Services\Tcpip\..\{4E5CEB14-A412-40C3-BD1A-C0B8F2B938F6}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Das mit den Virensignaturen ist mir jetzt klar.
Da ist automatisches Update eingestellt.Bin also auf dem neuesten Stand.
 

Franz

assimiliert
Hab' mal deinen Log online auswerten lassen.
Scheinbar hast du dir den Worm_agobot.xm eingefangen, Indiz dafür ist die
vpc32.exe - Datei.
BitDefender konnte, wie oben gesagt, den Wurm nicht isolieren, weil er aktiv ist.
Lösung:
Starte den PC neu, drücke während des Bootvorgangs die F8 - Taste und wähle "Abgesicherter Modus" aus.
Im abgesicherten Modus startest du den Bitdefender manuell und läßt ihn seine Arbeit machen.
Nach der Isolierung und des Scans machst du einen normalen Neustart uum wieder im gewohnten Windows zu landen.
Hier solltest du nochmals den PC scannen, um sicher zu sein, daß der Wurm komplett isoliert und/oder zerstört ist.

Zu deinem Windows noch etwas.
In deinem Logfile steht "Windows XP SP1".
Du solltest dir unbedingt das SP2 installieren (Download z.B. hier).

Auch solltest du über einen Browserwechsel nachdenken, zumindest, bist die Version 7 des Internet Explorers
erschienen ist.
Unsere Vorschläge:
Opera und/oder Firefox

Good Luck :)
 

pumuckl

fühlt sich hier wohl
Vielen Dank, das werd ich gleich mal ausprobieren.

Ich habe gestern den Bitdefender nochmal alles scannen lassen, komischerweise hat er da nichts mehr gemeldet!??

Den SP2 habe ich extra nicht installiert, weil ich so oft gelesen habe, daß der Computer danach nur Probleme macht.Ist es besser , wenn ich Ihn trotzdem installiere?

Zum Browser
ich benutze seit einiger Zeit nur noch den Mozilla Firefox 1.5.0.1 und finde ihn auch super.
Der Internet Explorer ist aber noch auf dem Computer, ich habe nicht rausbekommen wo ich ihn löschen kann.( in Systemsteuerung- Software konnte ich ihn nicht finden)
 

pumuckl

fühlt sich hier wohl
arcanoa schrieb:
Starte den PC neu, drücke während des Bootvorgangs die F8 - Taste und wähle "Abgesicherter Modus" aus.
Im abgesicherten Modus startest du den Bitdefender manuell und läßt ihn seine Arbeit machen.

Das hab ich ausprobiert.
Aber dann kommt eine Meldung, daß sich Bitdefender im abgesicherten Modus nicht starten läßt.
 

Franz

assimiliert
Dann gehe anders vor:
Start noch einmal den HijackThis, führe den Scan erneut durch.
Anschließend setzt du bei den 3 Einträgen im Log einen Haken, die auf den Wurm deuten:

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

Dann klickst auf den Button "Fix checked" und bestätigst das Ganze.
Danach startest du den BitDefender und dieser müßte/sollte endlich den Wurm eliminieren.
 
Zuletzt bearbeitet:

TBuktu

Senior Member
HiJackthis ist für Anfänger nicht geeignet, finde ich.
Besonders, wenn die dann an die O23 Sachen rangehen...(meistens passiert ja nix)

Ich glaube auch nicht, dass es irgendein Logfile gibt, wo TrojanerBoardies nix dran zu kritisieren haben :D

Gruss
Tim
 

pumuckl

fühlt sich hier wohl
arcanoa schrieb:
Dann gehe anders vor:
Start nocheinmal den HijakThis, führe den Scan nocheinmal durch.
Anschließend setzt du bei den 3 Einträgen im Log einen Haken, die auf den Wurm deuten:

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

Und klickst auf den Button "Fix checked" und bestätigst das Ganze.
Danach startest du den BitDefender und dieser müßte/sollte endlich den Wurm eliminieren.

Ich glaube jetzt passt`s!
Bitdefender findet nichts mehr.
(SP 2 ist auch installiert)

Danke für die Hilfe :)
 
Oben