Virus? oO

W

Wizo

0
Heyho. Meine Freundin hat ein paar Probs mit dem PC, wo ich mir auch nicht so ganz weiterhelfen kann. Sie bekommt häufig im offline sowie im onlinemode von ZoneLabs Nachrichten dass Project1 auf dass Internet zugreifen will.

Zonelabs meint das das Programm welches den Zugriff Versucht Project1 heisst. Ein bisschen Googeln zeigte mir, dass das der Standart Programmname bei ,....VisualBasic wars glaub ich, ist. So, nun kann ja auch sein, dass irgendein Fuzi n Virus, Trojaner etc. geschrieben hat und einfach zu faul war, den Namen zu ändern (korrigiert mich wenn ich was falsches sage, hab auf dem Gebiet nicht viel Ahnung). Die *.exe Datein warun unter anderem dfndra_1.exe und kybrd.exe.

Kennt werd diese Anwendungen? Und kann mir evtl wer sagen wie ich meiner Freundin helfen kann? Danke schonma für die Antworten

mfg Wizo
 
msconfig eingeben und im autostart die programme deaktivieren.
danach neustartet und löschen.
 
Ich hab ihr jetzt den Vorschlag von Void per Telefon durchgesagt, und die besagten Datein sind mittlerweile gelöscht....so, wie Frauen nunmal zu sind kommt gleich kläckerweise neue Datein die doch irgendwie "komisch" sind ^^. Eine ist drsmartload1.exe.

bei Sophos fand ich dann folgende Seite

Troj/AdlowDl-A ist ein Trojaner für die Windows-Plattform.

Troj/AdlowDl-A enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Wenn Troj/AdlowDl-A gestartet wird, erstellt er die Dateien <Windows-Systemordner>\dlrvn.htm und <Windows-Temp-Ordner>\del.bat. Er versucht dann, folgende Dateien und alle verbundenen Ordner zu löschen:

adtech2005.exe
drsmartload.exe
drsmartload1.exe
minigolf_affiliate.exe
s2vubnk
timesquare1.exe
timessquare.exe

Die Datei <Windows-Systemordner>\dlrvn.htm ist harmlos und kann einfach gelöscht werden.

Troj/AdlowDl-A versucht dann, weitere Dateien von einem remoten Speicherort herunterzuladen. Daraufhin löscht Troj/AdlowDl-A sich selbst und die Datei del.bat.

Folgende Registrierungseinträge werden erstellt und wirken sich auf die Internet-Sicherheit aus:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
http
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
1201
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
1004
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
1201
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1004
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1201
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1004
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1201
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1406
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1001
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1004
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1200
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1201
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1400
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1606
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1607
0
Zum Vergrößern anklicken....


Mhm, für mein Verständnis. Heisst es, dass wenn ich drsmartload.1exe auf dem PC habe, auch der Trojaner auf dem PC sein muss?
Auf der Seite -->klick fand ich die Angabe, dass die Datei von einem Hersteller unbekannter Firma kommt, aber auch oft als Tarnname für Viren/Trojaner dient. Was meint ihr?
 
einfach löschen.
bzw nen virenscanner runterladen und laufen lassen.
interessant wäre, wie die programme überhaupt drauf kommen. kannst deine freundin ja mal aufklären, was sie machen darf und was nicht.
 
mhm....was sie darf und nicht darf....da sie eh sehr selten im Inet surfed (56k Modem noch) denke ich nicht, dass sie auf irgendwelche illegalen Seiten rumschwirrt. Meist schaut sie sich nur Bilder an. Ich denke ma es liegt daran, dass sie weder Sicherheits Updates noch SP2 installiert hat und somit ihr PC in etwa so offen und anfällig wie ein Scheunentor sein dürfte
 
-Lade dir Hijackthis, entpacke in einen neuen Ordner und öffne Hijackthis. Bitte alle nicht benötigten Programme schließen. Klicke auf ?Do a system scan and save a Logfile?. Die Logfile bitte (komplett) hier posten.

Gruß
Cage
 
Zu deiner/ihrer 56k/B Leistung:
--> Viren sind ziemlich klein ;)
(und Viren gibts nicht nur auf "illegalen Seiten")
MfG

IsNull
 
also ich kenne diese drmssmartload oda sovon einer Spyware namens "SpySherriff".
(zumindest mein ich das) ich hatte SpySherrif ungewollt aufm PC und wurde es nicht mehr los (obwohl ich irgentwie glaube das Spysherrif auch son bisschen Synonüm(ich weeiss das das falsch geschrieben ist)für unbelkannte Spyware is.)

naja ich hatte es drauf und das war auch dabei und ich musste win neuinstallieren. Sag mal deiner freundin da das sie (wenn sie SICHER sein will das keine [nicht windows spyware] ihr windows wohl reinstallieren MUSS!)

sry für meine lecht durcheinander getippten aber Harten worte doch das selbe wurde mir hier auch gesagt...
 
hallo, das gleiche problem habe ich seit heute auch und ich habe "hijackthis" benutzt.
leider kenne ich mich nicht so gut aus :( aber wenn ich darf, dann würd ich gerne das ergebnis posten.

D:\Programme\WinRar\WinRAR.exe
C:\DOKUME~1\Claudi\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.incredimail.com/english
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQLite\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Programme\Acronis\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e17.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e17.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\MESSEN~1\YPAGER.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{A06E7B09-7D6D-44EC-AF65-AD0D30626AFC}: NameServer = 213.191.74.18 213.191.92.86
O20 - Winlogon Notify: lgn1216a - C:\WINDOWS\SYSTEM32\lgn1216a.dll
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\ktjql7151.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


so das kam dabei raus und gerade ging mein zonealarm an und da stand " services.exe" versucht auf das internet zuzugreifen *seuftz*
kann mir bitte wer helfen?

vielen lieben dank sagt sumi
 
Bitte beim nächsten mal den HijackThis-Sammelthread benutzen!

jetzt zu deinem problem:

du musst folgende sachen fixen

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e17.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e17.exe

O20 - Winlogon Notify: lgn1216a - C:\WINDOWS\SYSTEM32\lgn1216a.dll

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\ktjql7151.dll
 
ups...sorry das wußte ich nicht :(
öhm was muß ich mit den sachen machen, die du unten nochmal aufgeführt hast?
bin in sachen pc-sprache net so bewandert *schäm*

liebe grüße von sumi
 
du hast ja hijackthis bereits verwendet. dies tust du einfach nochmal. am ende bekommst du zum einen ja das log, zum anderen auch alles nochmal in listenform angezeigt, wo du kästchen davor hast. vor die einträge die ich dir genannt habe machst du ein häkchen hin und guckst dann unten. da steht sowas wie fixen. das klickst du an und dann erklärt dir hijackthis alles weitere. danach machst dann mal n neustart vom system
 
hab vielen lieben dank :)
ich hab es nochmal gemacht aber die sachen stehen nicht mehr drin *freu*
habe gestern aus verzweiflung zu "a-squared anti dialer und hijackfree" gegriffen und nun ist alles weg. *hüpf spring* :)

dickes dankesknuddelz an dich von sumi
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben