Forum
Tipps
News
Menu-Icon

Signatur des Droppers DR/Bridge.A.2

Hallo,
ich bekomme dauernd die Meldung von Antivir, daß unter Win Xp Pro C:\Dokumente und Einstellungen\nils\Lokale Einstellungen\Temp die 424 MB große Datei V43C3Ka02452 die Signatur des Droppers DR/Bridge.A.2 enthält. Wenn ich die Datei lösche, so ist sie nach kurzer Zeit wieder da und AntiVir schlägt erneut Alarm.

Anbei mal mei HijackThis Logfile, wäre klasse, wenn mir jemand nen Tipp geben könnte, was zu tun ist, um diesen Nervling in seine Schranken zu weisen.

Beste Grüße,
Nils

 Datei Logfile of HijackThis v1.97.7
Scan saved at 21:32:52, on 29.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\programme\u-storage tool2.91\ustorage.exe
C:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\nils\Desktop\Sicherheit\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tool2.91\ustorage.exe sys_auto_run C:\Programme\U-Storage Tool2.91
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F8818FC-2F2A-4003-84AF-46948FDBB3A6}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB6244F2-D98E-43CC-B472-7DF3D02EBC83}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F10B4E30-711C-42E2-BDD4-7E71D93A1AFB}: NameServer = 192.168.0.1



Antworten zu Signatur des Droppers DR/Bridge.A.2:

Benutz mal die Version 1.98.2, die 1.97 s schon ewig alt.

Haste den Virenscanner im abges.-Modus laufen lassen?

Gruß

Hier das aktualisierte Logfile.
Scan im abgesicherten Modus läuft gerade.
vieleicht hast du ja vorab schon eine Idee!?

Vielen Dank schon mal!
Nils


Logfile of HijackThis v1.98.2
Scan saved at 12:22:50, on 30.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\programme\u-storage tool2.91\ustorage.exe
C:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\INETUPD.EXE
C:\Dokumente und Einstellungen\nils\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tool2.91\ustorage.exe sys_auto_run C:\Programme\U-Storage Tool2.91
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {F2570A0D-001D-477D-93D1-D05EF5EB95CD} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096486410671
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F8818FC-2F2A-4003-84AF-46948FDBB3A6}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB6244F2-D98E-43CC-B472-7DF3D02EBC83}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F10B4E30-711C-42E2-BDD4-7E71D93A1AFB}: NameServer = 192.168.0.1

...so, scan lief durch, aber antivir hat diesen virus/trojaner nicht gefunden. jetzt sind die profis gefragt :-)

gruß,
nils

Naja musst ja eigentlich nur das Temp-Verzeichnis leeren:
C:\Dokumente und Einstellungen\nils\Lokale Einstellungen\Temp

Ansonsten:

Hier Escan runterladen->updaten wie beschrieben
Nach dem Updaten mit Kavupd.exe befinden sich die neuen Signaturen entwder in c:\downloads oder im Temp-Verzeichnis des jeweiligen Users:

Beispiel-Temp-Verzeichnis:
x:\Dokumente und Einstellungen\_Username_\Lokale Einstellungen\Temp\Kav Updater update Files

(x: = Laufwerksbuchstabe wo das Betriebsystem installiert ist, _Username_ = Profilname des jeweiligen Users)

Die Files müssen dann aus dem Ordner wo die neuen Signaturen liegen nach c:\bases kopiert werden.

Danach Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com in c:\bases)

Folgende Einstellungen Auswählen in Escan:
Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und Systemwiederherstellung wieder aktivieren.

Gruß

hallo,
wahnsinn, ich bin ja echt begeistert, der Plagegeist ist verschwunden, zumindest läßt er sich nicht mehr im temp Ordner blicken und auch Antivir meldet nichts mehr.

Ganz ganz lieben Dank und ein schönes We!
Nils


« IE Startseite und Pop UpsWin XP: Ständige Auslastung »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Provider
Ein Provider ist ein Zugriffs- oder Zugangsanbieter für Telefon- und Internetdienste. Ein Zugangsprovider erlaubt die Einwahl per Modem oder DSL, während ein Em...

Prozessfarben
Prozessfarben, auch Druckfarben genannt, werden durch Mischen der Gundfarben Cyan, Maganta, Gelb und Schwarz (CMYK-Farbraum) erzeugt. Diese Art der Farbmischung wird auch...

Prozessor
Der Prozessor (auch Hauptprozessor oder englisch CPU - als Abkürzung für "Central Processing Unit" - genannt) ist die zentrale Recheneinheit des Computers. Der ...