PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Win:32Agent-Met (Rtk) und Win32:Tiny-II (Trj)



Biggi
16.12.07, 14:03
Halloo - bin verzweifet - gestern war mein Browser-Server den ganzen Tag gestört- und heute bekomme ich zwei Viruswarnungen die ich mit Avast nicht wegbekomme:

Win:32Agent-Met (Rtk) und Win32:Tiny-II (Trj)

C:\WINDOWS\system32\drivers\symavc32.sys

beim hochfahren meines pc mit XP - kommt eine windowsmeldung server ausgelastet - und das Kästchen von meiner DVÜ-Verbindung - wenn ich ins internet einsteige läuf avast und meldet ständig diese virus - mit "scanne" aus- und eingehende emails - mit adressen die ich wirklich nicht kenne!" was soll ich machen? ich bekomme den virus nicht weg - hab auch schon die systemwiederherstellung ausgeschaltet, 2x bootscann - geht nicht weg!

danke - eine verzweifelte! :roll:

Biggi
17.12.07, 14:27
hallo - alle zusammen - habe meinen pc 2x neu installiert - und mein virus ist immer noch da - scheint anscheinend aus meiner leitung tonenweise MB´s zu holen! Was soll ich machen - imm avast scanner sehe ich die ganze zeit - scanne email: ...... von: .... an: - das sind namen die hab ich noch nicht gehört - habe meine festplatte formatiert- -was soll ich noch machen???

Catweezel
18.12.07, 10:27
Hallo Biggi,

die Aktion, den PC neu aufzusetzen, war bei den Problemen schon o.k.
Aber, wie hast du das gemacht ???
Wenn du die Festplatte formatierst, ist alles weg - da kann dann nichts mehr drauf sein. Es sei denn, du spielst Datensicherungen wieder rauf, auf denen der Schädling mit abgespeichert ist.

Gruß Catweezel

lomitas2
04.01.08, 10:51
Hallo,
habe auch ständig u.a. diese Virusmeldung (immer 3x hintereinander). Er wird auch erkannt und in den Containerverschoben.
Ich habe die C-Partition inzwischen dennoch auch mal formatiert, nachdem die Internetverbindung erschreckend langsam wurde. Jetzt hab ich den EIndruck, dass alles gut läuft, aber der Virus hat mich ziemlich schnell wieder gefunden. Dabei habe ich eigentlich nur (aus meiner Sicht) sichere Seiten angesteuert.
Wieso krieg ich den Besucher nicht los? Hab ich doch eine bestimmte Seite besucht, die mir den Gast schickt, oder "kennt" der mich jetzt einfach?
Gruss
Michael
Iffezheim/Baden

Catweezel
04.01.08, 13:50
Wieso krieg ich den Besucher nicht los? Hab ich doch eine bestimmte Seite besucht, die mir den Gast schickt, oder "kennt" der mich jetzt einfach?

Hallo lomitas,
wenn auf deinem Rechner alles sauber ist, erkennt dich keiner anhand der IP-Adresse von "draußen" einfach so.
Zu deinem Problem fällt mir das gleiche ein, wie bei Biggi :

Es sei denn, du spielst Datensicherungen wieder rauf, auf denen der Schädling mit abgespeichert ist.

Aber bei den dünnen Informationen sind das reine Mutmaßungen.
Wie sieht dein Sicherheitskonzept aus ? Wie wird dein Internetzugang realisiert ? Welche Firewall hast du am laufen ?

Und wie immer... Ein Hijackthis-Logfile bringt u.U. etwas Klarheit in die Geschichte :wink:

Gruß Catweezel

lomitas2
08.01.08, 10:55
Hallo,
ich habe mal den Hijack-File erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:48:04, on 08.01.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\dllcache\mravsc32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\dllcache\msfav32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\s ystem32\ntos.exe,
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programme\Helper\superfindout.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINNT\system32\dllcache\mravsc32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FFI - Unknown owner - C:\WINNT\system32\svchost.exe:exm.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINNT\system32\dllcache\msfav32.exe

--
End of file - 3383 bytes



Gruss
Michael Leuchtner
(Külwalda sagt: quack)

Catweezel
08.01.08, 20:20
Hi Michael,

diese Sachen müssen raus - also fixen



O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programme\Helper\superfindout.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=


Danach dann mal eine Boot-Zeit-Prüfung machen.

Wobei mich wundert, dass nach dem Formatieren der Festplatte alsbald gleich wieder Probleme auftauchen...
Da fällt mir hierzu eigentlich nicht die Benutzung des Browsers ein, sondern wie ist dein System ansonsten abgesichert ?
Ich bin zwar kein leidenschaftlicher Verfechter von Desktop-Firewalls, aber läuft bei dir sowas ? Oder hast du einen Router ?

-------------------------------------------------------------------------------------------------------------------------------

(Külwalda sagt: quack) :mrgreen:
...obwohl nicht ganz originalgetreu - das Original heißt ja Catwaezle (Salmei,Dalmei, Adomei) :wink:

lomitas2
09.01.08, 00:18
Fixen heißt das löschen?
und wo finde ich die hier?
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

was ist die boot-zeit-prüfung?

bei mir läuft "avast v.4.7 residenter schutz"
und ich mach mit avast immer mal wieder ein Viren-Scan.
Ins Netz geh ich über ein Modem/Router von D-Link (DSL-380T)
Provider ist T-Online

Gruss
Michael

Catweezel
09.01.08, 16:16
Fixen heißt das löschen?
und wo finde ich die hier?
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Hi Michael, Vorgehensweise - schaust du den Link in meiner Signatur


was ist die boot-zeit-prüfung?

Findest du über das Menü im Programmhauptfenster. Der PC wird dann neu gestartet, damit die Prüfung ausgeführt werden kann, bevor das Betriebssystem startet.

Ins Netz geh ich über ein Modem/Router von D-Link (DSL-380T)
Provider ist T-Online
Router ist ja Firewalltechnisch schon mal voll o.k.
Hmm, T-Online... benutzt du den T-Onlinebrowser ? Dieser benutzt als Grundlage den Internetexplorer.
Ich gehe jetzt mal von WinXP aus...
Wenn es denn kein alternativer Browser sein soll, dann den IE 7 nur pur benutzen mit entsprechenden Sicherheitseinstellungen.

Gruß Catweezel

lomitas2
10.01.08, 12:03
Ich verwende Windows 2000 SP4 und gehe inzwischen im Grunde nur über Firefox-Browser. Den T-Onlinezugang hab ich garnicht installiert, sondern das Modem selbst konfiguriert.
Würdest du beim Betriebssystem einen Umstieg auf XP empfehlen?

Boot-Zeit-Prüfung ok. Keine fehlerhaften Dateien entdeckt.

hijackfix hat nur die erste Zeile (BHO: e404 ....usw.)rausgeschmissen die beiden anderen sind noch drin,s.u.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\s ystem32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programme\Helper\superfindout.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINNT\system32\dllcache\mravsc32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FFI - Unknown owner - C:\WINNT\system32\svchost.exe:exm.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINNT\system32\dllcache\msfav32.exe

--
End of file - 3630 bytes

lomitas2
10.01.08, 12:10
Zusätzliche ANmerkung:
Wenn ich "Hijack" schliesse kommt folgender Fehler(siehe Anhang):

Catweezel
10.01.08, 22:57
sorry, ich habe was übersehen... :oops:

diese hier sind auch nicht so richtig gut...


C:\WINNT\system32\dllcache\mravsc32.exe
C:\WINNT\system32\dllcache\msfav32.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINNT\system32\dllcache\msfav32.exe


versuche mal die EXE zu Jotti (http://virusscan.jotti.org/de/) hochzuladen

Das, was du nicht fixen kannst, funktioniert dann bestimmt im abgesicherten Modus
Die Fehlermeldung von Hijackthis - führst du das vielleicht mit eingeschränkten Rechten aus ?


Würdest du beim Betriebssystem einen Umstieg auf XP empfehlen?
kommt drauf an...
Wenn du den Rechner noch ein paar Jahre benutzen willst, lohnt sich das. Soweit ich weiß, werden bei Win2000 nur noch kritische Sicherheitsupdates gemacht. Der Support von XP geht noch eine Weile. Und XP in der Home-Version als Systembuilder kostet inzwischen unter 80 Euro
Bei einer Neuinstallation eines Betriebssystems würde sich dein oben genanntes Problem auch erledigen - ich habe so eine dunkle Ahnung... :(

Gruß Catweezel

lomitas2
12.01.08, 22:47
Hallo,
das Fixen hat nicht geklappt. Auch beim Fix im gesicherten Modus verschwanden die angegebenen Zeilen nicht. Vielleicht kam es deswegen heute zum Gau. Vireneinfall bis zum Exitus. Jetzt hab ichs mal mit WIndows XP versucht. Gleich als erstes AvastDownload und installiert. Boot von der Dell CD, alle noch notwendigen Treiber per Download. Dennoch kam ein Fenster (war mir schon vonW2000 bekannt) das behauptete, dass mein WIndows 55 Fehle habe und ich sofort auf einer angegebnen Seite http://www.helpfixpc.com ein Hilfsprogramm laden muss. Keine AHnung wie das den Weg auf meinen Rechner fand. Ich hab jetzt unter "Dienste" den Nachrichtendienst abgeschaltet, hat in W2000 funktioniert. Hier kommt die Meldung dennoch immer mal wieder.
Ich hab ein neues Hijack-Logfile erstell. Schaus bitt nochmal an.
Danke
Michael

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:45, on 12.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Update] ssms.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\RunServices: [Windows Update] ssms.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-117609710-1450960922-725345543-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 2563 bytes

lomitas2
13.01.08, 11:25
Das mir der Einstellung im "Nachrichtendienst" hat doch hingehauen.
Ich habe gerade noch Servicepack 2 aufgespielt. Windows hat jetzt einen eigene Firewall und Virenscann aktiv geschaltet. Stören sich Avast und Windows in diesem Fall?
Gruss
Michael

Catweezel
13.01.08, 14:03
Ich habe gerade noch Servicepack 2 aufgespielt.
hi Michael,

bevor das Servicepack 2 bei XP aufgespielt wird (sofern nicht gleich auf der WinInstallations-CD vorhanden) ist Internet verboten
XP unter SP1 ist offen wie ein Scheunentor !

das hier
O4 - HKLM\..\Run: [Windows Update] ssms.exe
O4 - HKLM\..\RunServices: [Windows Update] ssms.exe
kommt mir etwas faul vor (nicht zu verwechseln mit smss.exe)

Neu aufgesetzt und schon wieder Trödel :(

Ganz ehrlich... Wenn du noch keine Programme großartig installiert hast und der Rechner noch nicht aufwendig konfiguriert ist, einfach nochmal neu aufsetzen und erst nach Installation vom SP2 online gehen. Am besten solange Lan-Stecker ziehen.


Windows hat jetzt einen eigene Firewall und Virenscann aktiv geschaltet. Stören sich Avast und Windows in diesem Fall?
Nein, hier gibt es keinerlei Probleme

Gruß Catweezel