Forum
Tipps
News
Menu-Icon

Fehlermeldung gefolgt von NOD32-Warnung! Was tun?!

Seit einigen Tagen erfolgen bei mir, sobald einer Internetverbindung hergestellt, sehr seltsame Dinge.
Zuerst erscheint eine Fehlermeldung:

Fehler!
C:\Users\xxx\AppData\Roaming\nig98B6.tmp.bat

Ein bis zwei Sekunde später meldet NOD32 folgendes:

http://rs681l3.rapidshare.com/files/340484335/Roboticz.exe in Quarantäne kopiert

Grund: Variante von Win32/Cimag.BM Trojaner

Jetzt würd ich gern wissen, wie das eine mit dem anderen zusammenhängt, und was ich tun sollte, damit dieser Fehler/Warnungs-Terror aufhört (und ich mir keine Angstschübe um meinen Lappy merh schieben  muss).

btw...BS Windows 7

Um Hilfe wird gebeten.
Bedanke mich schon jetzt!


 



Antworten zu Fehlermeldung gefolgt von NOD32-Warnung! Was tun?!:

 

Zitat
Jetzt würd ich gern wissen, wie das eine mit dem anderen zusammenhängt
Ganz einfach:
Du warst auf eben jener Seite bei Rapidshare und wolltest dir dort (illegal) etwas saugen ;)
Leider war dieser Download, wie fast 90% aller illegalen Downloads, verseucht.

Auf den Gedanken, die unter dam angegeben Pfad C:\Users\Dein Benutzername\AppData\Roaming\nig98B6.tmp.bat zu löschen, bist du schon gekommen?

Auch mal bei Start->Ausführen: >  msconfig  < eingeben, ok, dann Reiter "Systemstart", dann bei dem dir unbekannten Eintrag den Haken rausnehmen.

Jetzt die Systemwiederherstellung deaktivieren.

Danach mit der Taste F8 beim Booten in den "Abgesicherten Modus" wechseln, mit NOD32 scannen, die Datei löschen lassen.
 

hmmm...
deine analyse ist zwar zutreffend, allerdings war das in einem zeitraum der schon mindestens 4-6 wochen zurückliegt...
deshalb wundert es mich, dass das erst jetzt passiert ist...
wusste nicht, was das für dateien sind und ob ich die einfach so löschen kann, kenn mich da nicht so gut aus, wede das jetzt aber mal machen...
ty

auf EXAKT der oben genannten rapidshare seite war ich allerdings meines wissens nach nicht...

so, hab die dateien gelöscht und deiner anleitung folge geleistet. beim normalen neustart grade blieg zwar die fehlermeldung aus, die NOD32 warnung kam aber trotzdem.
mah!
werde mich jetzt mal dem nächsten post widmen...

 

Zitat
ob ich die einfach so löschen kann
Zumindest die in diesem Pfad kannst du löschen!

Kann aber sein, es geht so nicht.
Dann musst du die Reihenfolge verändern:

Erst das mit msconfig machen, dann in den Taskmanager gehen, die roboticz.exe beenden, dann den Ordner in C:\Users\Dein Benutzername\AppData\Roaming\nig98B6.tmp.bat löschen, dann Systemwiederherstellung ausschalten, dann abgesichert starten, dann scannen.
Zitat
hab die dateien gelöscht und deiner anleitung folge geleistet
UNMÖGLICH in dieser kurzen Zeit!!
Du hast nicht abgesichert gestartet und dann einen Vollscan gemacht! Kann nicht sein!!


 

@Carpenter
..da muß ich dir echt mal Recht geben ;D8)
nicht in dieser kurzen Zeit ;)
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:43, on 29.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Windows\svchost.exe
C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe
C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\uTorrent\uTorrent.exe
C:\Program Files (x86)\ICQ7.0\ICQ.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/8
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/USCON/8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [Desktop Disc Tool] "C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe"
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Corp] C:\Windows\svchost.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Microsoft Corp] C:\Windows\svchost.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATICAE.EXE /FU "C:\Windows\TEMP\E_S4271.tmp" /EF "HKCU"
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Corp] C:\Windows\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (User 'Default user')
O4 - Startup: Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe
O4 - Global Startup: Update ESET's license.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{12CC6C35-58B0-4991-B84B-1EAB49926676}: NameServer = 192.168.1.1,194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{12CC6C35-58B0-4991-B84B-1EAB49926676}: NameServer = 192.168.1.1,194.8.194.60
O17 - HKLM\System\CS2\Services\Tcpip\..\{12CC6C35-58B0-4991-B84B-1EAB49926676}: NameServer = 213.168.112.60,194.8.194.60
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RPB.EXE
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_afc3018f8cfedd20\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Program Files\Dell\Dell Wireless WLAN Card\WLTRYSVC.EXE
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9576 bytes
 

..und Malewarebytes Report

 

Zitat
da muß ich dir echt mal Recht geben
Kannst du eigentlich in 100% aller Fälle so machen :-*

Das sollte mal aus dem Autostart:

C:\Program Files (x86)\uTorrent\uTorrent.exe

Ja, ich weiß, es tut weh...  :-[
Aber damit öffnest du weiteren Schädlingen Tür und Tor ;)

Filesharing = absoluter Virenhost Nr.1 !!!!!!!!!

Daemontools = Rippen von illegal gesaugten ISOs ;)

Unnötige Autostarts: ITunes, Bonjour, Quicktime: raus aus dem Autostart, wenn auch nicht schädlich, aber belastend ;)

So, mal abwarten, was jetzt kommt ;)

also...
wenn ich nod32 im abgesicherten modus starte passiert folgendes:

schwarzes fenster
...
Prüfung gestartet
Name "C:\hiberfil.sys", Bedrohung="", Aktion="", Info="error opening"
Name "C:\pagefile.sys", Bedrohung="", Aktion="", Info="error opening"

und dann nix mehr...
soll das so?
muss ich einfach nur länger warten?
ich hab keine ahnung davon, leute... sorry. sah nur so aus, als würd halt nix mehr passieren, deshalb hab ichs wieder weggemacht

OK.
Dann mach das:

Lade dir (von einem sauberen Rechner) dies runter:

http://www.freedrweb.com/livecd/

Lies die Anleitung (Vorgehensweise) dazu, brenne es als ISO (bootfähig, langsame Stufe, kennst du ;))
Dann starte von dieser CD und lasse scannen.

Voraussetzung: dein Rechner kann von CD booten, notfalls im BIOS die Bootreihenfolge verändern auf 1.CD, 2.HDD usw.

 

jetzt läuft erstmal der malware-scan...sobald das duch ist poste ich den log und dann muss ich mich erstmal ausruhen von diesen ungeahnten strapazen hier.
das übersteigt meinen weiblichen minimaltechnologiebegreifenden horizont.
aber auf jeden fall schon mal ein dickes fettes dankeschön an euch!

 

Zitat
das übersteigt meinen weiblichen minimaltechnologiebegreifenden horizont
Dafür machst du aber sehr gut mit, großes Lob!!
Ganz ehrlich!

Das kennt man hier auch anders, leider....

Wenn es dir nicht zu viel zum Lesen ist, kannst du es evtl. ohne weitere Software und Downloads so schaffen:

Zuerst Systemwiederherstellung deaktivieren!!!

Jetzt im "Abgesicherten Modus" starten. Danach Start->Ausführen-> regedit <eingeben und ok. Nun zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run navigieren und die unbekannten Schlüssel zu unbekannten Programmen löschen.

Danach zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run und ebenfalls schauen und die unbekannten Schlüssel zu unbekannten Einträgen ebenfalls löschen.
Editor schließen.

Dann Start->Ausführen-> msconfig < eingeben und ok. Im Reiter Systemstart nach unbekannten Einträgen suchen. Haken rausmachen.
Neustarten.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3659
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.01.2010 22:35:53
mbam-log-2010-01-29 (22-35-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 246545
Laufzeit: 40 minute(s), 6 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
C:\Windows\svchost.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft corp (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\CryptLoad\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\Program Files\CryptLoad\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\Windows\svchost.exe (Trojan.Agent) -> No action taken.
 

sooo...lösch ich den ganzen schmock jetzt oder was?!

 

Zitat
lösch ich den ganzen schmock jetzt oder was
Was dachtest du? Natürlich!! ;););)

Nebenbei: es sind genau die gleichen Pfade, etwas erweitert allerdings, zum Virus, die auch ich dir angegeben habe! ;)

Fazit:
Sollte mal keine Software und / oder Internet-Vebindung bestehen, dann geht es zu 99% auch so. ;D

Ergo: Lass den Sche_iß löschen ;) 

ja, ich habs mir auch kurz nach dem post selbst beantwortet;)
nur bei diesem svchost wusste ich nicht so recht.
hab das jetzt gelöscht und danach nochmal das gemacht, was du mir davor gepostet hattest, und nix auffäliges gefunden.
und beim neustart grade kam auch keine fehlermeldung oder warnung mehr.
sieht so aus, als wär mein lappy jetzt wieder einigermaßen sauber.
yippie!
ihr seid die helden meines heutigen tages!
und auch wenn es schwer fällt, lass ich glaub ich in zukunft leiber die finger vom filesharing... oder halt mich an einwandtfreie quellen;)
ich bedanke mich nochmal recht herzlich und wünsche noch nen schönen abend!

Nochmals:
Filesharing ist die Virenschleuder Nr.1.
Also lass es.

Jetzt bereinige deinen Autostart.
Wie das geht, habe ich dir bereits beschrieben ;)

Und als Member kannst du auch eine PM an mich schicken, wenn du auf meinen Namen klickst.
Aber bitte nur für Notfälle oder seeeehr intime Fälle oder nette Nachrichten jeder Art.

Bis dann :) 


« Windows XP: Probleme mit TR\Hijacker.genInternetexplorer öffnet sich automatisch »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Grundstrich
Der Begriff des Grundstrichs im Bereich der Typografie, bezeichnet den senkrechten Strich der Buchstaben. Bei Schriftarten mit variabler Strichstärke, wie zum Beispi...

Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...

Download
Unter Download versteht man den Transport aller Dateien aus dem Internet auf Ihren Rechner. Mit "downloaden" wird also das Herunterladen von Dateien aus dem Web bezeichne...