Hallo alle zusammen,

ich habe eine Frage zu Antivir, bzw. zu dieser Meldung von AntiVir:

Datei: bridge-c18[1].cab
Dieses Archiv enthält eine oder mehrere infizierte Dateien!
Infizierte Dateien in Archiven werden nicht repariert oder gelöscht!

Und was soll ich jetzt machen das er gelöscht wird?

Luke Filewalker zeigt den TR/Winrad.A als gefunden an, wie kann ich ihn entfernen?

Ihr macht super Support, schön das es sowas gibt!!!

mfg

freak

0. Falls es noch im Autostart ist (ich habe hier kein Log vom HijackThis)
Geh unter Start Ausführen - gib msconfig ein und gehe unter
Sytemstart, da findest du den eintrag bridge.
Gib einfach das Häckchen raus und starte den Computer neu.

1.bridge-c18[1].cab duerfte eine WinRaR -Datei sein, also gepackt.
.Suche in den cab.Dateien von Winrar und loesche sie.

2.Gehe auch in die Temp-Ordner :
Start<Ausfuehren<%temp% reinkopieren
Loesche alle einzelnen Dateien und leere die Ordner.

3.Loesche ebenfalls alles im Ordner von den TemporaryInternetfiles

C:\WINDOWS\Temporary Internet Files\ ...\Bridge-c18(1).CAB
C:\Documents and Settings\User\Local
Settings\Temporary Internet Files\Content.IE5\0PM30PYF\bridge-c18[1].cab

4.Start<Ausfuehren<regedit
Gib in die Suchfunktion der Registry ein :Bridge
und loesche alles, was du findest.
z.B.ScriptBridge.SciptBridge.1">>
\HKEY_CLASSES_ROOT\CLSID\{AE24FOAE-03C6-11D1-8B76-0080C744F389}\ProglD

5.Suche und loesche:brigde.dll
C\WINDOWS\Downloaded Programm Files\bridge.dll"
................................................................................................................................................
6. Lade AdAware (free)
<AdAware (free)
http://www.lavasoft.de/support/download/

mfg
Nikita

Problem behoben, herzlichen Dank für die schnelle Lösung!

mfg

freak

Hallo,

wie hast du denn wegbekommen@freak ich habe alles versucht was nikita geschrieben hat.. Habt ihr vielleicht noch einen guten Tipp

Hallo @Andreas2068

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)

mfg~
Nikita

danke das du mir Antwortest nikita, aber ich verstehe nicht was du meinst, ich habe das tool runtergeladen, aber ich weiss nicht was ich jetzt machen soll

Meintest du das?:

Logfile of HijackThis v1.98.2
Scan saved at 23:07:30, on 24.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Trend Micro\PC-cillin 2003\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2003\tmproxy.exe
C:\Programme\Trend Micro\PC-cillin 2003\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\sysgut.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Trend Micro\PC-cillin 2003\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2003\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2003\Pop3trap.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Andreas\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ebay.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ebay.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ebay.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] sysgut.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2003\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2003\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2003\Pop3trap.exe"
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sysgut.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - HKCU\..\Run: [Sygate Personal Firewall] sysgut.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Hallo@Andreas2068
Dein PC ist voellig ungeschuetzt und nicht auf dem notwendigen Sicherheitsstand.....demzufolge voellig verseucht !
Aendere alle wichtigen Passworte und versuche ihn zu reinigen.
Mache auch unbedingt die Windowsupdates !!!!!!!!!
http://www.sophos.com/virusinfo/analyses/w32rbotez.html
http://www.trendmicro.com/vinfo/virusen ... WM&VSect=T
______________________________________________________

#Win.ini
Eine der häufigsten Methoden ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht ! Manche Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort erkannt wird. Scrolle also mit dem unteren Balken einfach mal nach rechts (falls denn ein solcher Balken vorhanden sein sollte. Den besten Zugriff auf die Win.ini hast Du, indem Du auf Windows-Start gehst - Ausführen - sysedit.exe eingeben - OK klicken.

Suche und loesche:
win.ini: run=C:\WINDOWS\system32\mouse_configurator.win

#Oeffne noch mal das HijackThis, scan, dann hake an, was ich schreibe und druecke auf <fix<, dann den PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ebay.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ebay.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ebay.de
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
O4 - HKLM\..\Run: [Sygate Personal Firewall] sysgut.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE [W32/Rbot-EZ WORM]
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sysgut.exe [WORM_SDBOT.WM]
O4 - HKCU\..\Run: [Sygate Personal Firewall] sysgut.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

PC neustarten

Loesche:
C:\WINDOWS\System32\sysgut.exe (ist ein Backdoor)
http://www.trendmicro.com/vinfo/virusen ... WM&VSect=T

Deaktiviere deinen Virenscanner und lade:
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

#versuche in die Registry zu kommen:
Start<Ausfuehren<regedit (reinschreiben)
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 --setze diesen Wert auf 0

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM= N---AENDERN IN : 0
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous = 1 --AENDERN IN : 0
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = 1 --AENDERN IN 0

Dann poste das Log noch mal.
_____________________________________________________

Info:
#Backdoor Functionality
http://www.trojaner-board.de/showpost.p ... ostcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung
mutmaßlichen Entwickler des Trojaners "Randex" festgenommen.
dass Virenschreiber die Adressen von mit Trojanern infizierten Rechnern gegen Bezahlung an Spammer weitergeben. Diese nutzen die befallenen Systeme, um -- von den Besitzern der Rechner unbemerkt -- illegal Werbemails zu verteilen. Außerdem haben die Virenverbreiter mit ihrem Netzwerk aus Trojanern eine wirkungsvolle Waffe in der Hand, um etwa verteilte DoS-Attacken zu fahren.
http://www.heise.de/security/result.xht ... rds=Randex
Trojaner klauen Bank-Kunden PINs und TANs:
http://www.heise.de/newsticker/meldung/50793


Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/window ... rewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5)Antivirus installieren
http://www.free-av.de/
6) Sygate free installieren (
<Sygate (Deutsch)Firewall
http://www.sygate.de/
7.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren (Falls der Sygate installiert ist, ihn solange freischalten, weil sonst die Updates nicht funktionieren)
8.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Alternativ/Mail zum Outlook
http://www.alles-und-umsonst.de/kostenlos/email.html
Thunderbird Mail
http://www.mozilla.org/products/firefox ... 01.0PR.exe
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

9)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
10)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
11)TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
12) #AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
13) alles anhaken---protected
#Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html

mfg
Nikita

Halllo Nikita

ich habe denn AntiVirus runtergeladen und mein alten AntiVirus gelöscht:


Logfile of HijackThis v1.98.2
Scan saved at 13:23:41, on 25.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Andreas\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBFAD0AC-0BA1-49CD-B20A-F8FF4B46AA22}: NameServer = 62.53.239.4 193.189.244.205


mfg
Andi

Hallo@Andreas2068

< www.windowsupdate.com besuchen und alle Updates installieren (SP1)!!!!!!!!!!!!!!
<den IE aktualisieren auf SP1

sonst nutzt dir auch der beste Virensanner nichts.....

mfg
Nikita

Ich kann nur Service Pack 2 installieren, ich glaube SP1 hab ich schon.. Dieser Virus ist hartnäckig, er geht einfach nicht weg. Eigentlich ist er einmal verschwunden als ich deine Einweisungen befolgt habe, doch nach einem Tag ist er wieder gekommen und jetzt bleibt er auf meinem Rechner. Also nachdem ich SP2 installiert habe, was soll ich dann machen, damit der Virus verschwindet?

Hallo@Andreas2068

Immer wenn es Probleme gibt, poste das Log vom HijackThis, sonst kann ich garnichts machen.

mfg
Nikita

Hallo Nikita

Tausend Dank an dich, der Virus ist wieder weg und kommt wahrscheinlich nicht mehr, den der AntiVirus von dir hält alle Viren drausen und ich habe auserdem beim Arcor Online Butler den Firewall eingeschaltet.

Hallo@Andreas2068

Ich wiederhole es nochmal...poste das jetzige Log vom HijackThis...vielleicht finde ich noch was.

mfg
Nikita

Hallo Nikita

da ist das Log:

[Logfile of HijackThis v1.98.2
Scan saved at 14:02:24, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Andreas\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ebay.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ebay.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ebay.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = ebay.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBFAD0AC-0BA1-49CD-B20A-F8FF4B46AA22}: NameServer = 62.53.239.4 193.189.244.205

mfg
Andi