C:\WINDOWS\system32\VSL07.exe

Diskutiere C:\WINDOWS\system32\VSL07.exe im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hi Leute, hab mal ne Frage Bei meinem letzten Virenscan wurde die VSL07.exe als infiziert gemeldet. Und zwar mit den nachfolgenden Trojanern...
D

das_opimon

Threadstarter
Mitglied seit
14.05.2006
Beiträge
251
Alter
44
Hi Leute, hab mal ne Frage

Bei meinem letzten Virenscan wurde die VSL07.exe als infiziert gemeldet.
Und zwar mit den nachfolgenden Trojanern
C:\WINDOWS\system32\VSL07.exe=>(NSIS o)=>zlib_nsis0003 Infiziert mit: Trojan.Downloader.VB.QB
C:\WINDOWS\system32\VSL07.exe=>(NSIS o)=>zlib_nsis0004 Infiziert mit: Trojan.Downloader.Small.AJC
Desinfizieren bzw. Verschieben der Datei ist fehlgeschlagen!

Bisher habe ich weder zur Datei VSL07.exe noch zu den beiden Trojanern irgendwo was gefunden :wut

Wäre super, wenn mir jemand von Euch mal auf die Sprünge helfen könnte und mir mal sagen kann, ob ich die VSL07.exe gefahrlos löschen kann bzw. was die so macht!

Danke vorab! :up

/edit Sorry, hab den Bereich für Viren und Trojaner zu spät gesehen! :friede :friede Bitte einer der Admins den Post in den richtigen Bereich zu verschieben /edit
 
Zuletzt bearbeitet:
R

Ronny

SPONSOREN
Mitglied seit
07.08.2004
Beiträge
12.311
Standort
Rheinland
Ins richtige Forum...

--- verschoben ---
 
J

Jonas

Mitglied seit
08.07.2006
Beiträge
474
Wenn der TrojanDownloader also die Datei VSL07.exe in einem kritischen Prozess wie WinLogon eingenistet ist dann musst du wohl dein Betriebssystem neu installieren!!!!
 
U

UFC

Gast
Jonas schrieb:
Wenn der TrojanDownloader also die Datei VSL07.exe in einem kritischen Prozess wie WinLogon eingenistet ist dann musst du wohl dein Betriebssystem neu installieren!!!!
Quatsch! Du hast Keine Ahnung!

Wie entfernt man Schrott!
Man downloade sich folgende tools
Spybot S&D
Ad Aware
Ewido (Test Version reicht dabei aus, kannst sie ja nacher wieder deinstallieren)
Avira Antivir (Ohne Guard Installieren)
Stinger
HJackThis und unlocker koennen dir auch ein wenig weiterhelfen falls die *.exe schreibgeschutz hat und nicht entfernt werden kann!

Installiert es update es und startet den Rechner neu!

Beim Neustart F8 abgesicherter Modus
Computer vom Internet trennen!
Anmelden also Administrator!
Nun die Programme starten nach einander biss der Computer sauber ist.
Das kann mehere Stunden dauern weil du immer wieder neu starten musst!
Immer im Abgesicherten Modus bleiben.

Wenn alles verschwunden ist, dann gehe nach Neustart im normalen Modus in dein benutzer Konto!

Sollte nun sauber sein!
 
Fireblade

Fireblade

Grüßt die Winboarder
Mitglied seit
10.12.2004
Beiträge
19.623
Poste ,mal ein komplettes HJT Logfile @das_opimon
 
H

HWFlo

Mitglied seit
04.09.2005
Beiträge
5.271
Alter
31
Mal abgesehen von dem schreibstil den UFC an den Tag legt und den ich jetzt absolut nicht kommetieren will
muss ich sagen das es bei infizierung eines PCs mit Viren, Trojanern etc immer die bessere Wahl ist in neu zu installieren
Tools wie Virenscanner usw sind nur dafür gedacht eine Infektion zu verhindern bzw diese zu erkennen
zum Begeben einer solchen sind sie nur bedingt geeignet
 
W

Wanderfalke

Mitglied seit
20.04.2005
Beiträge
652
Standort
Wien
Wenn, dann würd ich ein befallenes System mit einer Live-Linux scannen. Von einem befallenen System einen Scann zu starten hat noch nie viel Sinn gemacht.

Zu der Wortwahl von UFC hat Ronny schon alles gesagt, kann man nur zustimmen.
 
Bullayer

Bullayer

Schwergewicht
Mitglied seit
19.07.2006
Beiträge
24.155
Standort
DE-RLP-COC
Bei einem befallenen System sollte der Anwender entscheiden, ob es nicht einfacher und schneller ist, den Rechner neu auzusetzen anstatt vielleicht stundenlang eine "Reinigung" zu machen. Ich setze seit geraumer Zeit Norton Ghost ein, um meinen Rechner alle paar Wochen zurückzusetzen. Das merkt man nachher vor allem in der Performance.
 
D

das_opimon

Threadstarter
Mitglied seit
14.05.2006
Beiträge
251
Alter
44
Hier der HiJackThis-Log

Hi Leute, vorab schon mal vielen Dank für die Mühe, die Ihr Euch macht! :up

Soweit ich das sehe, macht die Datei VSL07.exe nichts!! Sie ist halt "nur" mit diesem Trojaner-Downloader infiziert! Aber vielleicht hab ich auch nur was übersehen!


Logfile of HijackThis v1.99.1
Scan saved at 19:56:25, on 31.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\progra~1\softwin\bitdef~2\bdnagent.exe
C:\progra~1\softwin\bitdef~2\bdswitch.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ProcessGuard\pgaccount.exe
C:\Programme\ProcessGuard\procguard.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\DitExp.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~2\bdmcon.exe
C:\Dokumente und Einstellungen\MarioAdmin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18EDE44D-6E54-4BD7-9EEF-C5DD8F1AD268} - \
O2 - BHO: (no name) - {2C8178BD-2E76-47A9-AD89-A981EF7C39B2} - \
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: UberButton Class - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: YahooTaggedBM Class - {65D886A2-7CA7-479B-BB95-14D1EFB7946A} - C:\Programme\Yahoo!\Common\YIeTagBm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {C9C412E3-7FD2-41AC-AA02-9D722E01A455} - \
O2 - BHO: (no name) - {E1DDDD87-6AD0-4E90-AC6D-F94AAFC98559} - \
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~2\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~2\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~2\bdswitch.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Programme\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Programme\ProcessGuard\procguard.exe" -minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131046651328
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Programme\ProcessGuard\dcsuserprot.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
 
D

das_opimon

Threadstarter
Mitglied seit
14.05.2006
Beiträge
251
Alter
44
UltraVNC

Hi JollyRoger, danke für die prompte Auswertung! :repect

UltraVNC wurde von mir installiert!
Dient dazu, den Desktop im Browser darzustellen, falls ich von einem Internet-Cafe auf meinen Rechner zugreife und mal dummerweise keinen normalen VNC-Viewer laufen lassen kann!
Also diesbezüglich Entwarnung!
Auch der Rest der Proggies, die durch HJT aufgezeigt wurden, sind von mir installiert!

Also hatte ich ja mit meiner Vermutung recht gehabt, daß die VSL07.exe nicht ins Internet funkt bzw. mit irgendwas Kontakt aufnimmt!

Jetzt blieb halt nur noch die Frage, ob es eine Windows-Systemdatei ist oder ob ich diese gefahrlos löschen kann! Die Datei kann ich dummerweise nicht desinfizieren, der BitDefender packt das irgendwie nicht!
Und :google weigert sich irgendwie, mir sonst irgendwas zu dieser Datei auszuspucken! Vielleicht hat ja jemand von Euch einen Tip, wo ich noch Infos zum Ursprung bzw. Sinn und Zweck dieser Datei ergattern kann!

Bis denne
 
J

Jonas

Mitglied seit
08.07.2006
Beiträge
474
Also wenn es im Ordner C:\Windows\system32 ist, ist es eine sogenannte tarnende Systemdatei, weil die Datei ein Trojan Downloader ist und sich in diesem sich selbst entpackt hat. Guck mal in deiner Firewall ob du diese Datei zugriff ins Internet freigegeben hast. Und außerdem, wenn du Spybot hast, dann gehst du auf Werkzeuge Systemstart, BHOs, Hosts-Datei und ActiveX und guckst welche dieser Prozesse von der Datei VSL07.exe benutzt wird. Und dann beendest du einfach diese Prozesse und mit Strg+Alt+Entf beendest du die Prozessstruktur von der Atei, und wenn das nicht positiv ausging beende diese Prozesse im abgesicherten Modus!!!!

Gruß Jonas
 
D

das_opimon

Threadstarter
Mitglied seit
14.05.2006
Beiträge
251
Alter
44
Alles negativ

Also die Datei greift nicht auf i-net zu und hat keine Freigabe in der Firewall! Spybot zeigt mir auch nichts an dazu, dass irgendwelche Prozesse, BHO´s und ActiveX geteilt bzw. durch die Datei mitgenutzt werden!
Die Hosts ist auch sauber!
Also in dem Punkt auch volle Entwarnung!

Ich schlage dann damit mal vor, dass ich die Datei im abgesicherten Modus mal in den Papierkorb verschiebe und dann werde ich ja sehen, ob diese generell für Windows lebenswichtig ist!?
Bis jetzt ist mir ja kein Hinweis darauf ins Auge gesprungen, dass die Datei zum regulären Windows-Systemstamm gehört!
 
J

Jonas

Mitglied seit
08.07.2006
Beiträge
474
Ja, mach das!!!!
 
D

das_opimon

Threadstarter
Mitglied seit
14.05.2006
Beiträge
251
Alter
44
[gelöst]

Also ich hab die Datei jetzt mal gelöscht!
System scheint alles normal weiterzulaufen und keine meiner Standard-Anwendungen hat sich beklagt!

Ich danke Euch allen aber für die nette und prompte Unterstützung! :up
 
Thema:

C:\WINDOWS\system32\VSL07.exe

C:\WINDOWS\system32\VSL07.exe - Ähnliche Themen

  • Bei Windows 10 mehrere Remote-Desktop-Verbindungen herstellen

    Bei Windows 10 mehrere Remote-Desktop-Verbindungen herstellen: Hallo, ich habe gelesen, dass es eine eigene Windows 10 Version geben soll, bei der mehrere Clients gleichzeitig per Remote-Desktop auf den...
  • Windows 10 Aktivierungs problem

    Windows 10 Aktivierungs problem: Hi, ich habe mir einen neuen PC 2018 gekauft. Da war schon Windows 10 Professional 64 Bit drauf. Ich hab auch alles auf Microsoft angemeldet...
  • Windows 10 reaktivieren nicht möglich

    Windows 10 reaktivieren nicht möglich: Hallo, habe nun endlich meinen I7 2600K in Rente geschickt und auf einen Ryzen5-3600 upgradet. Meine Lizenz ist eine Pro Lizenz und schon älter...
  • Windows 10 Key

    Windows 10 Key: Ich habe das kostenlose Upgrade von Windows 7 auf Windows 10 genutzt und mir danach einen neuen PC geholt. Allerdings wird nun der Windows Key...
  • Erfahrung Windows Support - Surface Pro lädt nicht mehr (blinkender Stecker)

    Erfahrung Windows Support - Surface Pro lädt nicht mehr (blinkender Stecker): Hallo Leute, ich wollte auf diesem Weg mal meine letzte Erfahrung mit dem Windowssupport teilen. Ausgangssituation: Ich hatte Probleme mein...
  • Ähnliche Themen

    • Bei Windows 10 mehrere Remote-Desktop-Verbindungen herstellen

      Bei Windows 10 mehrere Remote-Desktop-Verbindungen herstellen: Hallo, ich habe gelesen, dass es eine eigene Windows 10 Version geben soll, bei der mehrere Clients gleichzeitig per Remote-Desktop auf den...
    • Windows 10 Aktivierungs problem

      Windows 10 Aktivierungs problem: Hi, ich habe mir einen neuen PC 2018 gekauft. Da war schon Windows 10 Professional 64 Bit drauf. Ich hab auch alles auf Microsoft angemeldet...
    • Windows 10 reaktivieren nicht möglich

      Windows 10 reaktivieren nicht möglich: Hallo, habe nun endlich meinen I7 2600K in Rente geschickt und auf einen Ryzen5-3600 upgradet. Meine Lizenz ist eine Pro Lizenz und schon älter...
    • Windows 10 Key

      Windows 10 Key: Ich habe das kostenlose Upgrade von Windows 7 auf Windows 10 genutzt und mir danach einen neuen PC geholt. Allerdings wird nun der Windows Key...
    • Erfahrung Windows Support - Surface Pro lädt nicht mehr (blinkender Stecker)

      Erfahrung Windows Support - Surface Pro lädt nicht mehr (blinkender Stecker): Hallo Leute, ich wollte auf diesem Weg mal meine letzte Erfahrung mit dem Windowssupport teilen. Ausgangssituation: Ich hatte Probleme mein...
    Oben