ComputerBase Menü
Aktuelles

Virus in AppData\Roaming

A

Alch7

Banned
Registriert
Juli 2011
Beiträge
4
Hi wollte was installieren und diese schöne .exe (vorher mit MSE getestet) hat mir meine UAV ausgeschaltet und wollte doch gerne das ich neustarte. Das habe ich nicht getan, UAV auf höchste Stufe und neugestartet (vorher noch .exe + Ordner gelöscht).

Beim neustart dann: 7dUiTbU48CHi.exe will Administrator rechte (war klar, deswegen hat mir die .exe auch UAV runtergesetzt und den TaskManager gekillt) da aber beides wieder da (TaskManager per regedit zurückgeholt) dachte ich mir, ok einfach die .exe löschen und sollte funken.

Jetzt wirds brenzlig: Ich finde die .exe nicht! Wenn ich neustarte will sie jedesmal wieder Admin rechte, ich sage natürlich nein aber bei den Details (pfeil/button nach unten) sehe ich folgenden Pfad : "C:\Users\Loader\AppData\Roaming\7dUiTbU48CHi.exe"
Doch dort ist keine .exe und MS Tool zum entfernen bösartiger Software findet dort auch nicht (komplette Roaming Ordner).

Was jetzt? Ich habe keine wirklich lust neu aufzusetzen, den dann kommt das übliche auf einen zu: Daten, Daten und noch mehr Daten sichern!

Bitte dringend um Hilfe!
Ich denke übrigens nicht das der Virus ausser der versuchten einnistung bisher was erreicht hat, oder?


Hijackthislog
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:00:16, on 21.07.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe
C:\Program Files (x86)\Razer\DeathAdder\razertra.exe
C:\Program Files (x86)\Razer\DeathAdder\razerofa.exe
C:\Program Files (x86)\Razer\DeathAdder\vdDaemon.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Loader\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hiergehtslos.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {f999a48b-1950-4d81-9971-79018f807b4b} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Graphic Driver] C:\Users\Loader\AppData\Roaming\7dUiTbU48CHi.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [GameTracker] F:\Programme\GameTracker\GTLite.exe
O4 - HKCU\..\Run: [Audio Device] C:\Users\Loader\AppData\Roaming\7dUiTbU48CHi.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MIF5BA~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - F:\Game Install\Dragon Age Ultimate Edition\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7611 bytes

(Avast hat zwar 3 "infizierte Dateien" entdeckt allerdings hat dies an der 7du.... .exe nichts geändert)

Alch

(Win7 64bit)
 
Zuletzt bearbeitet:
Lad dir ne Live-CD von Avira, Kaspersky und Co (Links verrät dir Google) und starte von dieser. Alternativ wäre auch Malwarebytes eine Option, aber eigentlich sollte man den Rechner platt machen und Backups zurückspielen (die du anscheinend nicht besitzt)...
Und nur weil die UAC anspringt, heißt es nicht, dass der Virus noch nicht aktiv ist. Unter Organisieren\Ansicht kannst du mal folgende Punkte (de)aktivieren:
- Geschützte Systemdateien ausblenden (empfohlen) <- Haken raus
- Ausgeblendete Dateien, Ordner und Laufwerke anzeigen <- Punkt setzen
 
direkt mal malwarebytes getestet + "- Geschützte Systemdateien ausblenden (empfohlen) <- Haken raus" (des andere ist standard bei mir) und so die .exe gelöscht

Scheint als wäre er futsch :) Ausem Hijack iser auch raus!

Danke dir aber jetzt sind die "Audio Device" und "Graphic Driver" Einträge aus dem Hijackthislog raus... Jeweils neu installieren oder passt des so?

Alch
 
Neuinstallieren... kannst ja dann gleich noch die aktuellsten Treiber installieren (aber fang dir dabei keine neuen Viren ein ;-) )
Übrigens, nur weil die Malware in dem HT-Log nicht mehr auftaucht, heißt es nicht das der PC virenfrei ist... aber wenn es dir reicht, dann ist es OK.
 
Hallo Leutz,

Auch ich habe seit gestern Probleme mit einem noch recht neuen Virus:

ich habe ein schwerwiegendes Problem mit einem, erst seit 2 Tagen existierenden Virus. Ich dachte das Mircosoft Security Essential und Spybot sowie regelmäßige Komplettscanns meines System, gegen solche Viren vorsorgen würden. Dem ist aber nicht so.

Was mach der Virus?

Er gibt mir anfangs eine Fehlermeldung von Driver Genius, (Exe hat ein Problem festgestellt usw.) obwohl das Programm nicht mehr auf der Platte ist. Auch MSE scheint angegriffen zu werden, da ich jetzt andauern die Meldung bekomme, das mein System seit Ewigkeiten nicht mehr durchgescannt wurde. (Letzter Scann war heute um 11:02!).

Der Virus heisst Worm:Win32/Wootbot.EI und ist laut dieser Analyse erst seit dem 21.07. im Umlauf.

Ich habe in der letzten Zeit keine besonderen Seiten aufgerufen, der Virus soll auch PCs im Netzwerk angreifen können.

Auch das "mehrfache Löschen" durch MSE bringt nichts.

Der Virus erscheint immer wieder in diesem Pfad:
file:C:\Users\Dante2000\AppData\Local\Temp\msdump1 50auro.tmp

Was kann ich tun, habt ihr eine Idee?
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Danke für die Antworten!

Kaspersky brachte nichts, da würde wohl nur deren Vollversion helfen...also Daten sichern und System neu aufsetzten...-.-
 
Wenn du zusätzlich einen Scann mittels einer Rescue-CD durchgeführt hast, würd ich dein System für sicher halten. Lade dir eine der folgenden Rescue-CD images runter, brenn eine CD und boote von ihr.
Bitte lies vorher auch die Anleitung.
(Bei Kaspersky kann auch ein Signaturupdate via USB Stick eingebunden werden, wie das bei den anderen funktioniert must du selbst schauen)

Kaspersky:http://support.kaspersky.com/viruses/rescuedisk?level=2
AVG:http://www.avg.com/us-en/avg-rescue-cd
Avira:http://www.avira.de/de/support/support_downloads.html
F-Secure:http://www.f-secure.com/linux-weblog/2009/09/22/rescue-cd-311/
Bitdefender:http://download.bitdefender.com/rescue_cd/
Dr.Web:http://www.freedrweb.com/livecd/?lng=en
Knoppicillin:http://www.heise.de/software/download/knoppicillin_download_edition/37894
Mcafee:http://www.mcafee.com/us/downloads/free-tools/how-to-use-stinger.aspx
Emisoft:https://www.computerbase.de/downloads/sicherheit/antimalware/emsisoft-emergency-kit/
Symantec/Norton:http://security.symantec.com/sscv6/WelcomePage.asp
 
Nocheinmal ein kurzes Update:

Ich habe den Virus nocheinmal mit der CB NotCD gelöscht, dieser hat leider 1/3 meiner E-Mails aus Thunderbird mit ins Nirvana gezogen.
Anschleßend habe ich mal das neuste Trend Micro Titan Maximum Security installiert. Dieser hat 103 Spyware Viren gefunden und gelöscht. Das hat weder AVG, Avira, MSE noch Kaspersky geschafft. Ich würde also jedem zu Trend Micro raten. :)
 
@ Dante2000
Dann würde ich Daten sichern und neuaufsetzen, denn 103 Viren etc. ist schon übel (sicher das da kein Fehlalarm dabei war (.heur bzw .gen sind gerne Fehlalarme, falls etwas dabei war mit der Endung).
 
Hallo Zusammen ich brauche mal einen kleinen Rat

Vor 2Tagen hat Avira Antivvir mir gemeldet das ich Viren haben TR/Agenten und Banker mit verscheiden endungen die habe ich in die Qarantine verschoben nach dem ich das gemacht habe habe ich einfach mal alle Ordner in AppData gescannt am ende sind über 18 stuck von denn raus gekommen das kann aber nicht sein also habe ich ein Freund gefragt er sagte das er sagte mir das er diese mal hatte aber mit Comodo los würde das habe ich auch gemacht Comodo hat mir aber dann eine Bilddatei loaupdt.JPEG eine Virus ist gemeldet und noch eine 2. kann mir jemand mal sagen was das sein soll ich weiß das Antivir ein schlechtes Programm ist und was noch eigenartiger ist das Antivir plotzlich nach einem Monat sagt das \Appdata\Roaming voller vieren ist und Comodo sagt das es nur eine Datei ist....

Ich weiß nicht mehr weiter ich habe deswegen auch kaum geschlafen (bewerbungsstress und Diese angeblichen Viren)

tut mir also leid für meine Miese rechtschreibung.
 
a) AntiVir wird mehr Viren als Comodo erkennen
b) das Appdata nach einem Monat voller Viren ist, lieht vermutlich daran, dass dein Rechner mit noch mehr Malware verseucht ist und er fleißig nachlädt -> Rechner neuaufsetzen
c) beim nächsten Mal die exakten Namen der Viren angeben ( bei *.heur bzw. *.gen ist die Wahrscheinlichkeit eines False Positives rel. groß)
 
Hallo

Antivir hat Folgende Viren Entdeckt und

TR/Spy.Banker.Gen2 das ganze hat er 4mal aufgelistet
TR/Spy.Agent.bvmw 3 mal
TR/Spy.Agent.bvni.1 denn auch 1 mal
TR/Spy.Agent.bvlt 1 mal
TR/Spy.Agent.bvni 2mal
TR/Spy.Agent.bvmx 1 mal
TR/Spy.Agent.bvlu.1 1 mal
TR/Spy.Agent.bvmv 1 mal
TR/Spy.Agent.bvnj 2 mal
TR/Dropper.Gen 1 mal
EXP/CVE-2010-0840.EO
EXP/Pidief.aga 2 mal

Braucht ihr dazu noch die Parts wo sie genau gefunden worden sind?

Comodo hat nur eine Bilddatei mit dem Namen loaupdt.jpeg und appconf32.exe als Feindlich eingestuft und die waren wirklich alle im appdata Roaming drin

Wo die herkommen oder ob das Fehlalarme sind weiß ich nicht ich passe eig. Grundsätzlich auf welche seiten ich besuche allerdings weiß ich auch das man nicht immer sicher ist.

Ich weiß zwar wir man das sytem neu macht aber das ist mein erster Win7ner und von Acer gekauft und hatte einmal schon einen Festplatten Fehler und jetzt wo er wieder da ist nach einem Monat kann das nicht sein das ich ihn wieder platt machen muss wegen sowas was villeicht Fehlealarme sind wie gesagt ich habe keine ahnung von Vieren nur das mit der Neuinstallation kann Problemmatisch werden ich hab zwar die Backup am anfang vor Ca einem Halben jahr gemacht aber ob ich die richtig gesichert habe ist fraglich.

mfg
 
Zuletzt bearbeitet:
Das sind Trojaner, keine Viren. Hier sollte das System neu aufgesetzt werden, es ist kompromitiert, alle deine Paßwörter, egal ob vom Windows oder z.Bsp. hier von CB müßen als unsicher weil möglicherweise Dritten bekannt eingestuft werden, dein PC kann, von dir unbemerkt, sobald du im Netz bist, als SPAM Schleuder benutz werden, etc. pp.
http://oschad.de/wiki/Kompromittierung
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Habe den Appdata Ordner verloren
Antworten
4
Aufrufe
1.062
Dr. McCoy
Dr. McCoy
K
Trojaner ändert Dateien in exe um WindowsService
2
Antworten
32
Aufrufe
4.162
CMDCake
CMDCake
T
Anwendungen in Windows plötzlich super langsam
Antworten
13
Aufrufe
4.025
Teinsmo
T
C
Maleware, WindowsApps, TrustedInstaller, RouterHack, System Shutdown
Antworten
11
Aufrufe
1.871
brianmolko
B
E
Firefox lässt sich nicht mehr richtig öffnen + wie Lesezeichen sichern?
Antworten
7
Aufrufe
3.050
Erotiksound
E
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz