Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

W32.Blaster

Hallo,

Ich habe den W32.Blaster auf meinem PC, kann ihn jedoch mit diversen Tools(FixBlast, Stinger, AntiVir) nicht finden,bzw. entfernen. Das ich ihn mit ziemlicher Wahrscheinlichkeit hab, stellte sich mit der Restart-Meldung heraus. Daraufhin habe ich mir den Patch, sowie die Programme Stinger und Fixblast heruntergeladen und ausgeführt. Die Programme konnten jedoch keinen Wurm finden.
Jedoch ist mir etwas aufgefallen, das sich auf Laufwerk C eine .exe Datei befindet, welche voher noch nicht da war. Sie heißt 9r2h2z5l7v8.exe und das Icon ist ein rotes Kreuz auf schwarzem Hintergrund. Daraufhin habe ich diese Datei manuell gelöscht. Soweit so gut... Doch dann ist mir im Task-Manager ein Programm aufgefallen, was ich voher noch nicht bermerkt hatte. Es heißt VTTray.exe. Diesen Prozess habe ich beendet, woraufhin de merkwürdige Datei wieder auf Datenträger C erschien. Zudem erhielt ich nach kurzer Zeit diese Fehlermeldung:

Debugger detected-please close it down and restart

Kann mir jemand helfen?!

Vielen Dank im Vorraus.



Antworten zu W32.Blaster:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Mache bitte ein logfile mit hijackthis und poste es hier!

Download:
http://www.chip.de/downloads/c1_downloads_24575647.html

Klick:"Do a System scan and save Logfile"
Den text aus em Editor Komplett hier rein kopieren OHNE veränderungen!

Außerdem lasse deinen pc mal online scannen mit f-secure und panda:

http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(internet explorer)
solltest du antivire auf em pc haben,wird es dir sagen,dass es was gefunden hat,da gehst du auf ignorieren.

F-secure:(internet explorer)
http://support.f-secure.de/ger/home/ols.shtml

außerdem scanne deinen pc mit Cureit:
Cureit:
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !

Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

Poste alle weiteren funde.

gruß deniz

Was muss ich jetzt alles im abgesicherten Modus starten?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nur Cureit,aber den kannst du erstmal weglassen,alles andre im Normalmodus!!!


gruß deniz

Ich habe deinen Text nicht gelesen aber sich heute noch Blaster einzufangen ist doch schon sau schwer. Hast du schon mal was von Windowsupdates gehört??? oder von Antivirenprogrammen? 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Frag ich mich auch  :o

So, hier die Ergebnisse:


Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:40, on 25.10.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\VTTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Maschine\Desktop\Downloads\HiJackThis202.exe

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Dokumente und Einstellungen\Maschine\Desktop\Spiele\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINDOWS\VTTray.exe

--
End of file - 4490 bytes



 F-Secure:

Scanning Report
Friday, October 26, 2007 13:19:08 - 14:25:17

Computer name: OLLI
Scanning type: Scan target for viruses, rootkits, spyware
Target: C:\WINDOWS
Result: 46 malware found
Alexa (spyware)

    * System (Disinfected)

Backdoor.Win32.SdBot.cep (virus)

    * C:\WINDOWS\VTTRAY.EXE
    * C:\WINDOWS\SYSTEM32\ZQN.EXE (Renamed & Submitted)

H@tKeysH@@k (spyware)

    * System (Disinfected)

Tracking Cookie (spyware)

    * System (Disinfected)
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System

W32/HotKeys.A (virus)

    * C:\WINDOWS\SYSTEM32\H@TKEYSH@@K.DLL

Win32.Backdoor.SDBot (spyware)

    * System (Disinfected)

Windows
(spyware)

    * System (Disinfected)

Statistics
Scanned:

    * Files: 16186
    * System: 4507
    * Not scanned: 1

Actions:

    * Disinfected: 5
    * Renamed: 1
    * Deleted: 0
    * None: 40
    * Submitted: 1

Files not scanned:

    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hat sich erledigt du hast mehrere Backdoor trojaner drauf,setz dein System neu auf,so wie es in dem link hier steht!!!

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Pc sofort vom Netztrennen!!

Kann ich nicht eine Systemwiederherstellung machen?

Wenn das so einfach wäre, der Trojaner auf der Platte verschwindet einfach, den alten Zustand wiederherstellen, so schön, so einfach, so unmöglich.
 
Doch wie es so ist im Leben, schwerwiegende Fehler kann man nicht mehr rückgängig machen.

Der Trojaner ist im System, davor, danach, dahinter.

Ich liebe Trojaner, sie sind genial.

 


 
Zitat
Kann ich nicht eine Systemwiederherstellung machen?

Es ist deine Kiste und du kannst damit tun was immer auch du möchtest... 8)
Deine Frage sagt mir aber auch ,das du keine Ahnung hast ,wie schlecht es um dich bestellt ist..
Okay..wer Google und Suchwörter nicht zusammenbringt.....
Deswegen habe ich deinem I)nternetprovider eine Nachricht geschickt....
Wenn du deinen PC nicht neu aufsetzt,wird dir dein Internetprovider den Zugang zum Netz verweigern...
Du.mmköpfe muß man letztlich vor sich selbst beschützen... ::)
Auch bist du eine Gefahr für alle anderen im Internet...
Einen Link hierher habe ich auch nach Microsoft geschickt.
Ich bin nämlich ziemlich überzeugt das dein Betriebssystem geklaut ist...MS wird und kann das ja mal prüfen...hijackthis sei Dank.. ;D
Sir Reklov

@butthead912

Lass den Schwätzer einfach schwätzen.
Der braucht das.

 

 

Zitat
Lass den Schwätzer einfach schwätzen.
Der braucht das.
Er hat einfach nur recht. 

Der hat nicht Recht, sondern postet nicht umsonst mit Gast-Nick. Die Strafanzeigen summieren sich.

Das einzige Recht, was der noch kriegt, ist das Recht des Richters. Und hoffentlich Knast. Endlich!

Der ist gut ;D;D;D;D;D

Hoffentlich hat sich Sir Reklov nicht totgelacht :)


« Ihre Fragewie kann ich viren auf dem pc beseitigenVirus/Wurm???...Help!!! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Patch
Ein kleines Programm, das Programmfehler behebt, oder beheben soll. Siehe auch Update  ...

Patchkabel
Als Patchkabel oder Patch-Kabel bezeichnet man in der Netzwerktechnik in der Regel herkömmliche Netzwerkkabel mit RJ54 Stecker: Das sind die Kabel, die man zum Ansch...

Laufwerk
Generell gibt es verschiedene Arten von Laufwerken. Ein Laufwerk in der Computersprache ist ein Lese- und Schreibmedium. Bei den Computerbezogenden Laufwerken unterscheid...