Heyho,

Seit einiger Zeit hab ich das Problem, dass mein AV-Guard jedesmal, wenn ich den PC herunterfahre auf den Virus TR/Patched.BD.173 anschlägt.
Egal ob ich lösche, Zugriff verweigere, oder in Quarantäne verschiebe... beim nächsten mal Runterfahren ist die Warnung wieder da.
Mein Bruder hatte mir das Programm "Stinger" von Avert empfohlen, aber das hat nicht mal angeschlagen. Es gab lediglich wieder nen Anschlag von meinem AV-Guard, als das Stinger-Programm mein "System 32" im Windows-Ordner durchsucht hat.
Bei Google hab ich unter der Virusbezeichnung auch nichts gefunden...

Kann mir hier jemand sagen, wie ich den Virus loswerde?

Vielen Dank

Also probier es mal mit folgenden Virenscannern

NOD32
Bitdefender

damit sollte es klappen ;)

hab auch nix zu dem ding gefunden.
ich kann dir aber Trojaner - Viren - Spyware - entfernen - Trojaner-Info.de (http://www.trojaner-info.de/) empfehlen. da stehen einige gute tipps drinne.

ansonsten würde ich versuchen herauszufinden woher das programm kam und dann die festplatte löschen.
mit einem verseuchten pc online zu gehen halte ich für schlecht.

Kann mir hier jemand sagen, wie ich den Virus loswerde?

Vielen Dank

format C (ergo platte formatieren)

Also probier es mal mit folgenden Virenscannern

NOD32
Bitdefender

damit sollte es klappen ;)

beide probiert, beide nich so richtig funktioniert, wobei bitdefender angeschlagen hat, als mein normaler AV-Guard auch angeschlagen hat...
mal sehen was jetzt bei nem ganzen systemcheck mit antivir passiert.

@roland: formatiern will ich nur sehr ungerne, meine windows-cd is n bisschen beschädigt, so dass sich windows nur noch komplett neu installieren lässt :(

Die viel interessantere Frage ist doch, auf welchen Seiten hast du dir den Trojaner eingefangen ;)

Die viel interessantere Frage ist doch, auf welchen Seiten hast du dir den Trojaner eingefangen ;)

bin eigentlich kaum auf bösen seiten :D

mein antivir spuckt aus, dass der trojaner die datei C:\\Windows\system32\sens.dll wäre, es die datei aber nich löschen könnte, weil es unter umständen nicht die nötigen rechte hätte...
ich versuch die datei jetzt nach nem neustart manuell zu löschen und hoffe, dass es keine wichtige war, oder? :D

bin eigentlich kaum auf bösen seiten :D

mein antivir spuckt aus, dass der trojaner die datei C:\\Windows\system32\sens.dll wäre, es die datei aber nich löschen könnte, weil es unter umständen nicht die nötigen rechte hätte...
ich versuch die datei jetzt nach nem neustart manuell zu löschen und hoffe, dass es keine wichtige war, oder? :D

klar :) lösche ruhig die sense.dll ist ja keine Systemdatei...

will ja nicht so sein:

Trojan.patched.bd - BitDefender Forum (http://forum.bitdefender.com/index.php?showtopic=4672)

klar :) lösche ruhig die sense.dll ist ja keine Systemdatei...

will ja nicht so sein:

Trojan.patched.bd - BitDefender Forum (http://forum.bitdefender.com/index.php?showtopic=4672)

dankeschön, n kumpel, der n bisschen mehr ahnung von computern hat als ich konnte mir anhand von dem thread sagen was ich tun muss :D

hab die sens.dll-datei jetzt im abgesicherten modus gelöscht, bisher scheint mein pc weiterhin normal zu laufen und meine antivirenprogramme schlagen nicht mehr an

Hm, als ich "Trojaner loswerden" las, musste ich als erstes an meine Ex denken :p

dankeschön, n kumpel, der n bisschen mehr ahnung von computern hat als ich konnte mir anhand von dem thread sagen was ich tun muss :D

hab die sens.dll-datei jetzt im abgesicherten modus gelöscht, bisher scheint mein pc weiterhin normal zu laufen und meine antivirenprogramme schlagen nicht mehr an

a-virenprogramme??? hast du mehrere ?
wenn ja dann kommt dat nicht gut wenn mehrere parallel laufen:ups:

a-virenprogramme??? hast du mehrere ?
wenn ja dann kommt dat nicht gut wenn mehrere parallel laufen:ups:

ich hatte mir hier die ganzen vorschläge runtergeladen, bitdefender hatte nichts gesagt, von wegen, das andere antiviren-programme blöd wären und bei nod 32 hatte ich die anderen gelöscht und jetzt hab ich wieder nur antivir und das schlägt nicht mehr an *g* ;)

a-virenprogramme??? hast du mehrere ?
wenn ja dann kommt dat nicht gut wenn mehrere parallel laufen:ups:

Bildhaft gesprochen, hauen die sich dann gegenseitig auf die Schnauze, wer den Trojaner zuerst vermöbeln darf ;)

Daher nur einen Virenscanner verwenden ;)

Scan mal deinen Rechner mit "Hijack-This" durch und poste das Log ggf. hier in den Thread wenn du selbst damit nichts anfangen kannst.

Probier einmal das hier ActiveScan 2.0 - A second opinion on the security of your PC (http://www.pandasecurity.com/activescan/index/)

Probieren geht über studieren!

Bildhaft gesprochen, hauen die sich dann gegenseitig auf die Schnauze, wer den Trojaner zuerst vermöbeln darf ;)

Daher nur einen Virenscanner verwenden ;)

:yeaha:

Scan mal deinen Rechner mit "Hijack-This" durch und poste das Log ggf. hier in den Thread wenn du selbst damit nichts anfangen kannst.

Die hatten mir vor ca. 2 Jahren mal mit einem besonders hartnäckigen Mistdings super geholfen. Seit wann gibts die auf Deutsch?

Ich hab meine Trojaner gezippt und denen per E-mail geschickt nachdem die gängigen Methoden nicht gegriffen haben. Zurück kam die Lösung wie ich das Ding loswerde.

Scan mal deinen Rechner mit "Hijack-This" durch und poste das Log ggf. hier in den Thread wenn du selbst damit nichts anfangen kannst.

im sense.dll fall bringt ein hijack this log nicht, da eine legitime MS System dll infiltriert ist
Aber klar wo ein trojaner haust, gibts nachbarn :D

es gibt auch trojaner und gewürm, das sich selbst durch festplatten-formatierung nicht mehr löschen lässt oder die scanner einfach linkt und sich unsichtbar macht, ne?^^

hachja, ein hoch auf linux! hipp hipp hurra! :p

Probier einmal das hier ActiveScan 2.0 - A second opinion on the security of your PC (http://www.pandasecurity.com/activescan/index/)

Probieren geht über studieren!

ui, läuft noch, aber bisher steht da "Infizierte Dateien: 84" :ups:

:respekt:

:respekt:

:thx:

*edit: während dem online-scan hat mein av-guard jetzt nen anderen trojaner erkannt und (hoffentlich) gelöscht.

:thx:

*edit: während dem online-scan hat mein av-guard jetzt nen anderen trojaner erkannt und (hoffentlich) gelöscht.

Gerne!

Mir hat der Panda auch schon geholfen!

Scheiss ***** Seiten! :D

im sense.dll fall bringt ein hijack this log nicht, da eine legitime MS System dll infiltriert ist
Aber klar wo ein trojaner haust, gibts nachbarn :D

Naja, löschen kann man sie ja trotzdem, mal sehen was dabei rauskommt... ;)

Scan mal deinen Rechner mit "Hijack-This" durch und poste das Log ggf. hier in den Thread wenn du selbst damit nichts anfangen kannst.
Auf der Hijack-This Seite stand in meiner logfile wär nix böses.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:12:33, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Antivirus 2008\pavsrv51.exe
C:\Programme\Panda Security\Panda Antivirus 2008\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Antivirus 2008\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Antivirus 2008\PsCtrls.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Security\Panda Antivirus 2008\ApvxdWin.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\ICQLite\ICQLite.exe
E:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Panda Security\Panda Antivirus 2008\WebProxy.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search (http://go.microsoft.com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search (http://go.microsoft.com/fwlink/?LinkId=54896)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FlashGet] "E:\Programme\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://philatelie-gaertner.dyndns.org/Remote/msrdp.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Security\Panda Antivirus 2008\PsCtrls.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Security\Panda Antivirus 2008\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Security\Panda Antivirus 2008\PsImSvc.exe

--
End of file - 8342 bytes

Auf der Hijack-This Seite stand in meiner logfile wär nix böses.
Jo, sieht Ok aus.

Ein anderer "Trick": Wenn du Sachen wie Trojaner etc. löschen willst, immer im abgesicherten Modus machen.

Wenn das oder die Tipps hier aus dem Forum nichts nützen würd ich den Namen des Trojaners einfach bei Google eingeben. Es gibt immer Leute die dasselbe Problem haben und meist gibt's auch schon eine Lösung dafür. ;)

Irgendwann manipulieren die Rootkits dann nur noch die google-Treffer :D

Auf der Hijack-This Seite stand in meiner logfile wär nix böses.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:12:33, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal



Hast du den ganzen Mist jetzt weg gekriegt, paßt wieder alles?

Hast du den ganzen Mist jetzt weg gekriegt, paßt wieder alles?

ich glaube ja, also mein antivirenprogramm hat zumindest nichts mehr zu meckern :)

Besorg dir eine aktuelle Knoppicillin-CD, dann kannste mit größerer Sicherheit sagen ob die Kiste jetzt sauber ist oder nicht.
Knoppicillin – Wikipedia (http://de.wikipedia.org/wiki/Knoppicillin)

Besorg dir eine aktuelle Knoppicillin-CD, dann kannste mit größerer Sicherheit sagen ob die Kiste jetzt sauber ist oder nicht.
Knoppicillin – Wikipedia (http://de.wikipedia.org/wiki/Knoppicillin)

wo kiregt man so ne cd denn her? in google stehn ja recht viele download-links, aber ich bezweifle, dass man die cd selbst brennen kann, oder?

ui, läuft noch, aber bisher steht da "Infizierte Dateien: 84" :ups:

Mein Rekord liegt bei 1623 auf meinem alten PC :kaffeetri

Mein Rekord liegt bei 1623 auf meinem alten PC :kaffeetri

:D darauf wär ich auch stolz :p

wo kiregt man so ne cd denn her? in google stehn ja recht viele download-links, aber ich bezweifle, dass man die cd selbst brennen kann, oder?
wie die meisten linux-live-CDs lädst du dir das einfach kostenlos runter, brennst das als iso(!) und bootest den rechner vom CD/DVD-laufwerk (in dem sich die iso befinden sollte ;) ).
geh ich jedenfalls mal von aus, hab knopicilin noch nie benutzt. in dem kasten rechts auf WP steht ja auch, dass es kostenlos ist (hm komisch, aber proprietär? naja, kost trotzdem nix offenbar ;) )

Hallo,

eine weitere Alternative:

http://www.avira.com/de/support/support_downloads.html/
Avira AntiVir Rescue System

erstellt ein bootfähiges Medium mit aktuellen Viren-Signaturen.
Wenn Systemdateien manipuliert worden sind empfiehlt sich, über "Ausführen"
ein sfc /scannow mit eingelegter Windows CD, um die original Systemdateien
wieder herzustellen.

Viel Erfolg

Ist doch einfach...

Lösung aller Windows Probleme (http://www.pclinuxos.de/doku.php)

sag ich ja^^

wie die meisten linux-live-CDs lädst du dir das einfach kostenlos runter, brennst das als iso(!) und bootest den rechner vom CD/DVD-laufwerk (in dem sich die iso befinden sollte ;) ).
geh ich jedenfalls mal von aus, hab knopicilin noch nie benutzt. in dem kasten rechts auf WP steht ja auch, dass es kostenlos ist (hm komisch, aber proprietär? naja, kost trotzdem nix offenbar ;) )

Es ist aber keine der üblichen Linux-Live-CDs sondern eine bei der kommerzielle Virenscanner enthalten sind. Gibts jedes Jahr als Beilage zur ct kostenlos. Das letzte Mal in der Ausgabe 26/2007, im Dezember 2007. https://www.heise.de/abo/ct/hefte.shtml Da sollte man es sich für den Schnäppchenpreis von 3,30 nachbestellen können und soweit ich das sehe sogar versandkostenfrei.

ah stimmt, die download-edition ist ohne virenscanner. hatt ich nicht richtig geguckt

Ansonsten nutze ich seit Jahren den "Spybot". Unter security.kolla.de zu laden und so weit ich weiß empfohlen von diversen Stellen.

Im Normalfall im abgesicherten Modus hochfahren, scannen und gut.

Just my experience.

vergiss deinen rechner. du bist verdammt. VERDAHAHAMMT!!
ansonsten probier mal:
smithfraudfix
oder processexplorer in verbindung mit pocket kill box
damit hab ich bisher alles weg gekriegt