Virus Generic.Malware.Tk.52B1D467 lässt sich nicht entfernen ... |
Willkommen, Gast ( Anmelden | Registrierung )
Virus Generic.Malware.Tk.52B1D467 lässt sich nicht entfernen ... |
02.02.2007, 16:37
Beitrag
#1
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 33 Mitglied seit: 14.02.2004 Mitglieds-Nr.: 419 Betriebssystem: Windows 7 Virenscanner: Bitdefender AV Plus 2012 Firewall: Hardware |
Hallo,
ZITAT auf meinem Notebook hat der aktuelle Bitdefender Onlinescanner heute folgenden Virus gefunden: Generic.Malware.Tk.52B1D467 Im WWW konnte ich bisher keine Information dazu abrufen. Bitdefender kann den Virus nicht löschen. F-Secure findet ihn gar nicht erst. Der Virus sitzt im Verzeichnis windows\mui\fallback\0414\ und hat dort die Datei taskkill.exe.mui befallen. Die Datei selbst scheint benötigt zu werden, im Verzeichnics \fallback\ gibt es neben dem Verzeichnis \0414\ noch andere Verzeichnisse, zum Beispiel \0413\ - \0419\ - \0C0A\ usw... Die Datei taskkill.exe.mui hat in jedem dieser Verzeihnisse allerdings eine unterschiedliche Größe, also kann ich sie nicht einfach aus einem anderen Verzeichnis nach \0414\ kopieren. Cu Tom Der Beitrag wurde von Tri-City-Maniac bearbeitet: 02.02.2007, 20:14 -------------------- |
|
|
Gast_rock_* |
02.02.2007, 17:35
Beitrag
#2
|
Gäste |
was soll denn das sein?
Der Virus sitzt im Verzeichnis windows\mui\fallback\0414\ und hat dort die Datei taskkill.exe.mui befallen ... poste sicherheitshalber einen hijackthis log. |
|
|
02.02.2007, 20:20
Beitrag
#3
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 33 Mitglied seit: 14.02.2004 Mitglieds-Nr.: 419 Betriebssystem: Windows 7 Virenscanner: Bitdefender AV Plus 2012 Firewall: Hardware |
Ok ... hier ...
Logfile of HijackThis v1.99.1 Scan saved at 20:04:30, on 02.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\avmclient\avmbtservice.exe C:\Program Files\avmclient\panapp.exe C:\Program Files\avmclient\AvmObexService.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE C:\Program Files\FIDTPU\WIN2K\FTMSFLTU.EXE C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\avmclient\bluefritz.exe C:\Program Files\avmclient\AvmObex.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Panasonic\TouchPad\Touchpad.exe C:\Program Files\avmclient\AvmObex.exe C:\WINDOWS\system32\RButton.exe C:\WINDOWS\system32\wscntfy.exe D:\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bitdefender.de/bd/site/page.php N3 - Netscape 7: user_pref("browser.startup.homepage", "file:///C:/pana_sonix/grafix/panastart/panastart.htm"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\ejhp2olg.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNe tscape_Germany.src"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\ejhp2olg.slt\prefs.js) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\system32\hkeyman.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PRunOnce] C:\util\prunonce\PRunOnce.exe O4 - HKLM\..\Run: [PCinfo] C:\Program Files\Panasonic\PCINFO\SetDiag.exe /FirstLogin O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Panasonic HotKey Manager] "C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE" O4 - HKLM\..\Run: [FTMSFLT(USB)] C:\Program Files\FIDTPU\WIN2K\FTMSFLTU.EXE O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AVMBlueClient] C:\Program Files\avmclient\bluefritz.exe O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Program Files\avmclient\AvmObex.exe -pushclient -ftpclient O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Touch Pad utility.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Program Files\avmclient\avmbtservice.exe O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Program Files\avmclient\panapp.exe O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Program Files\avmclient\AvmObexService.exe O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe Ach ja, dass ist nicht mein Laptop um den es geht, sondern der eines Bekannten aus nem anderen Forum ... das Logfile macht mich dieses Mal aber nicht wirklich schlauer, da es hier wegnig Anzeichen eines "Schädlings" gibt. Eventuell ein Fehlalarm des Onlinescanners? Der Beitrag wurde von Tri-City-Maniac bearbeitet: 02.02.2007, 20:42 -------------------- |
|
|
Gast_rock_* |
03.02.2007, 11:03
Beitrag
#4
|
Gäste |
hey tri,
ja..ich vermute auch einen fehlalarm..... jedoch kann ich dir trotzdem nicht sagen was das sein soll, welches progframm und was es macht: fallback\ gibt es neben dem Verzeichnis \0414\ noch andere Verzeichnisse, zum Beispiel \0413\ - \0419\ - \0C0A\ einzelne datein könnt ihr ja bei virustotal prüfen lassen.... www.virustotal.com ebenso diesen eintrag mal checken: soviel gleichnamige einträge hab ich eigentlich auch noch net gesehen... O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll könnte bitdefender angelegt haben oder es ist ein backdoor oder spyware??? kanns nicht 100% sicher agen! ich hab bitdefender onlinescan auch öfters genutzt...diese einträge hab ich NIE gemerkt. also wenn man es von daher vermutet... prüfe daher diese dll und diese taskill.exe.mui beim einzelonlinecheck von vtotal. Der Beitrag wurde von rock bearbeitet: 03.02.2007, 11:05 |
|
|
03.02.2007, 12:06
Beitrag
#5
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 33 Mitglied seit: 14.02.2004 Mitglieds-Nr.: 419 Betriebssystem: Windows 7 Virenscanner: Bitdefender AV Plus 2012 Firewall: Hardware |
Thanks ... hier das Ergebnis von virustotal ...
-------------------- |
|
|
Gast_rock_* |
03.02.2007, 12:41
Beitrag
#6
|
Gäste |
na das sagt wohl alles!
wenn ihr bitdefender online nicht mehr verwendet könnte man alle einträge davon entfernen. zwecks aufräumen aber nurmehr. diese socks datei mit den vielen gleichen einträgen würd ich auch noch prüfen vorher. zum allg. reinigen: www.ccleaner.com |
|
|
03.02.2007, 12:53
Beitrag
#7
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 33 Mitglied seit: 14.02.2004 Mitglieds-Nr.: 419 Betriebssystem: Windows 7 Virenscanner: Bitdefender AV Plus 2012 Firewall: Hardware |
Denke mal, dass die Socks-Einträge nach Entfernen von Bitdefender weg sind ... mal sehen.
Also wenn ich jetzt nach alldem gehe, dann sollte/könnte man die taskkill.exe.mui da lassen, wie sie ist. Laut User ist die Mui datei für die norwegische Sprache zuständig ... ich kenne nur die taskkill.exe und mui ... -------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 03.06.2024, 07:57 |