verschiedene viren die sich nicht löschen lassen -was tun??

von **valle** am 18.11.2004, 22:07

Hallo!

ich habe folgendes Problem: ich habe infizierte Dateien, die sich nicht löschen lassen:

s2k.update.exe
istactivex.dll
download straight[1].htm
ntuser

was kann ich machen?

weder norton anti virus noch AntiVir löschten diese, aber beide haben sie gefunden..

von **kid** am 18.11.2004, 22:35

wenn du den pfad zu den dateien hast lösch sie doch manuell oder geht das bei dir nicht?

von **Nikita** am 18.11.2004, 22:37

Hallo@valle

wenn du den korrekten Pfad kennst, kannst du sie
a) mit der Killbox loeschen.
http://www.bleepingcomputer.com/files/killbox.php

b)mit dem HijackThis.
http://www.downloads.subratam.org/hijackthis.zip

HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:

C:\Windows\System32\istactivex.dll
PC neustarten

...................................................................................................

c)Falls die Malware in den temporaeten Dateien ist, musst du diese leeren.

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Am Besten. du postest das Log vom HijackThis und ich sehe mir das Log an.

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool-->Button "scan" --> Button "save" --> es oeffnet sich das Notepad, nun das
Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfuegen"--> kopieren

mfg
Nikita

von **valle** am 19.11.2004, 00:07

danke für die promte Hilfe!

also: ich kann die dateien weder direkrt noch mit hilfe von hijack löschen..

aber ich habe deine schritte befolgt:

Logfile of HijackThis v1.98.2
Scan saved at 23:04:21, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Valle\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat reader 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe"
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab

und was kannst du daraus erkennen?

mfG Valle

von **Nikita** am 19.11.2004, 00:21

Hallo@valle

Erkennungstool:
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten,

mfg
Nikita

von **valle** am 19.11.2004, 17:48

mit "infected" finde ich keine viren,
also der besagte scanner findet keine soweit ich das richtig gemacht hab.

???

von **Nikita** am 20.11.2004, 19:44

Hallo@valle

die istactivex.dll gehoert zur Malware ISTbar
ist eine IE toolbar, homepage- und search-hijacker entwickelt von :
Integrated Search Technologies/CDT Inc.

Gehe in die Registry
Start<Ausfuehren<regedit:

<HKEY_CLASSES_ROOT:TYPELIB\
loesche: (falls es da ist)
{8C752C5E-3C10-4076-AF0A-FFC69FA20D1B}\c:\windows\downloaded program files\istactivex.dll

HKEY_LOCAL_MACHINE:Software\microsoft\windows\currentversion\moduleusage\
loesche (falls es da ist)
C:/WINDOWS/Downloaded Program Files/ISTactivex.dll\

HKEY_LOCAL_MACHINE:Software\Microsoft\Windows\CurrentVersion\SharedDLLs
loeschen, falls es da ist:
\c:\windows\downloaded program files\istactivex.dll

HKEY_CLASSES_ROOT:
loesche:
ISTactivex.Installer\

HKEY_CURRENT_USER:Software\
loesche:
IST\

schliesse die Registry und starte den PC neu.
--------------
versuch es mal mit diesem Pfad: (HijackThis oder manuell)
c:\windows\downlaoded program files\istactivex.dll
c:\windows\downlaoded program files\istbaractive.dll

--------------
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
--------------
Falls du den Dialer
s2k.update.exe
noch draufhast...muesste der eSca das erkennen:

ZUM BEISPIEL:

# X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-07-01.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-07-15.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-08-01.zip
# X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-08-15.zip
# X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-09-01.zip
# X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-09-15.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-10-01.zip
# X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-10-15.zip
# X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\esf.2003-11-01.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\fms.2003-05-01.zip
# X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\fms.2003-05-15.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\fms.2003-06-01.zip
# X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\fms.2003-06-15.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\neo.2003-11-15.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\neo.2003-12-01.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\neo.2003-12-15.zip
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\s2k.hacking.exe
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\s2k.update.exe
#X:\SUPORT\Programs\Program Updates\serials 2xxx\-15.12.03\Einzelne 1.5.03-1.12.03\Up Data\s2k.update.exe

dann berichte.

mfg
Nikita

von **chris_davidi** am 20.11.2004, 20:03

Fahre im abgesicherten Modus hoch und führe dann HiJackThis aus und fixe alles und dann lösche die Dateien mit den Viren, Trojaner oder Viren oder Mailware.

von **valle** am 20.11.2004, 21:10

hi!

ich habe unter regedit keine der dateien gefunden, die du mir genannt hast.
Auch diese gab es nicht:
versuch es mal mit diesem Pfad: (HijackThis oder manuell)
c:\windows\downlaoded program files\istactivex.dll
c:\windows\downlaoded program files\istbaractive.dll

und der escan findet auch nichts !?
und jetzt geht nicht mal mehr antivir, obwohl ich gerade eine neue version von free-av.de runtergeladen habe:
AV wäre "keine zulässinge Win-32 Anwendung"...

ein bisschen kompliziert irgendwie..

von **Nikita** am 20.11.2004, 22:08

Hallo@

Deinstalliere den Antivirus und lade:

#Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

mfg
Nikita

von **valle** am 21.11.2004, 23:08

hi!

ich habe im abgesicherten modus eScan und andere programme durchlazfen lassen, aber nur escan ist fündig geweorden:

File C:\System Volume Information\_restore{0F17D479-0DFC-4706-AE8B-1B16A3DFBC6F}\RP28\A0002340.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

löschen mit Killbox?

mfG, Valle

von **Nikita** am 21.11.2004, 23:11

Nein, einfach die Wiederherstellung abstellen

http://service1.symantec.com/SUPPORT/IN ... 7105707924

mfg
Nikita

von **valle** am 23.11.2004, 19:21

hi!

also, ich glaube jetzt, nach der ganzen Prozedur ist so ziemlich alle sauber - den programmen nach jedenfalls.

vielen Dank für deine Hilfe!

Valle

von **valle** am 23.11.2004, 23:11

ich muss wiederrufen: eScan hat 4
viren (?) gefunden..
File D:\Allgemeine Programme & Daten\Player + codecs und Umwandel-programme\Audio Catalyst\Xing Audio Catalyst 21 Full Version.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Allgemeine Programme & Daten\Player + codecs und Umwandel-programme\audio grabber\agsetup18.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Allgemeine Programme & Daten\Player + codecs und Umwandel-programme\Codec DivXPro511Adware.exe tagged as not-a-virus:AdWare.Gator.3202. No Action Taken.
File D:\Allgemeine Programme & Daten\system Programme\arcanovi-helfer-v21.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

löschen?

von **Nikita** am 24.11.2004, 01:24

Hallo@valle

du kannst beruhigt sein...das sind keine Viren

, sondern Reste alter Software.

nur dieses Tool solltest du deinstallieren...bringt die Adware "Gator" mit sich.
D:\Allgemeine Programme & Daten\Player + codecs und Umwandel-programme\Codec DivXPro511Adware.exe

DivXPro511.exe (?)

Gruss
Nikita

verschiedene viren die sich nicht löschen lassen -was tun??

verschiedene viren die sich nicht löschen lassen -was tun??

Ähnliche Themen

Wer ist online?