Home » Viren, Trojaner & Malware Forum » Kann kein Anti-Virus/Anti Trojan/.../Taskmanager öffnen! » Themenansicht
Kann kein Anti-Virus/Anti Trojan/.../Taskmanager öffnen!Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
25.07.2004, 12:41
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
25.07.2004, 14:08
Moderator
Beiträge: 7805 |
#17
Hallo syswolf,
mein Posting sollte keine Kritik sein, mehr Neugier. Man lernt nie aus und ich bin immer froh, wenn viele Leute helfen., Denn das ist leider bitter noetig, so wie es zur Zeit mit diese Art von Malware ab geht. Wenn man vor ca 1,5 bis 2 Jahren so die einzelnen Threads und Foren durch ging, konnte man noch relativ einfach helfen. Nun ist man ohne Hijackthis, findnfix oder den PV tool aufgeschmissen. Ich hoffe das wird nicht schlimmer und mit dem SP2 von Windows etwas eingedaemmt. Die Hoffnung stirb zuletzt!  __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
28.08.2004, 10:13
...neu hier
Beiträge: 4 |
#18
Hallo Leute!
Hab eigentlich das selbe Problem wie die anderen hier. Hoffe es kann mir jemand dabei helfen. Hier mein Hijackthis Log. Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\msnmsgr.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe C:\Programme\WinZip\WZQKPICK.EXE C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Windows Media Player] jqbmlx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe O4 - HKLM\..\RunServices: [Windows Media Player] jqbmlx.exe O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows Media Player] jqbmlx.exe O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe O4 - HKCU\..\RunServices: [Windows Media Player] jqbmlx.exe O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab |
|
|
|
|
|
|
28.08.2004, 11:15
Ehrenmitglied
 Beiträge: 29434 |
#19
@Cochrain
Hake an, was ich poste, fix und neustarten (vorher im Taskmanager deaktivieren)--(04) O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O4 - HKLM\..\Run: [Windows Media Player] jqbmlx.exe O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe O4 - HKLM\..\RunServices: [Windows Media Player] jqbmlx.exe O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows Media Player] jqbmlx.exe O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe O4 - HKCU\..\RunServices: [Windows Media Player] jqbmlx.exe O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: Image Transfer.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab Fixe auch (ist nicht <bad< O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE NEUSTARTEN #Ueberpruefe mit Kaspersky (poste das Ergebnis) http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS\System32\msnmsgr.exe C:\Programme\Messenger\msmsgs.exe #Lade den Stinger http://vil.nai.com/vil/stinger/ #Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ___________________________________________________________________ Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und: poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal.(plus Infos von Kaspersky) (es kann sein, dass du dann nach dem Fixen deinen Messenger wieder aktivieren musst. Aber es scheint, du hast einen Virus, der neben dem Namen [Windows Media Player] auch den Namen vom [Msn Messenger) verwendet..... mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.08.2004 um 12:59 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.08.2004, 22:02
...neu hier
Beiträge: 4 |
#20
hallo sabina.
danke für das posting. ich hab, nachdem ich hier geposted hab bei meinem virenscanner ein update gemacht und nochmal gestartet. dabei hab ich zwei virus gefunden und entfernt. jetzt funktioniert der taskmanger auch wieder. soll ich dann deine tipps trotzdem ausführen oder nicht. trotzdem danke. mfg cochrain |
|
|
|
|
|
|
28.08.2004, 22:24
Ehrenmitglied
Beiträge: 29434 |
#21
@Cochrain
Natuerlich, alles ausfuehren ! UNBEDINGT Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.08.2004 um 22:26 Uhr von Sabina editiert.
|
|
|
|
|
|
|
29.08.2004, 11:01
...neu hier
Beiträge: 4 |
#22
@sabina
Scanned file: msnmsgr.exe msnmsgr.exe - infected by Backdoor.Win32.Rbot.bi aber die msmsgs.exe konnte nicht überprüft werden - ist zu groß. hab aber bei meinem virenscanner auch kaspersky dabei und der konnte bei der datei keinen virus finden. hoffe das hilft mfg cochrain |
|
|
|
|
|
|
29.08.2004, 11:46
Moderator
Beiträge: 7805 |
||
|
|
|
|
|
29.08.2004, 11:52
Ehrenmitglied
Beiträge: 29434 |
#24
@Cochrain
#Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ___________________________________________________________________ Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und: poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.08.2004 um 11:52 Uhr von Sabina editiert.
|
|
|
|
|
|
|
29.08.2004, 12:21
...neu hier
Beiträge: 4 |
#25
so hab jetzt dass gemacht wass du gesagt hast.
Logfile of HijackThis v1.98.2 Scan saved at 12:23:59, on 29.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\msnmsgr.exe C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm Scanned file: msnmsgr.exe msnmsgr.exe - infected by Backdoor.Win32.Rbot.bi nichts neues leider. |
|
|
|
|
|
|
29.08.2004, 12:47
Moderator
Beiträge: 7805 |
#26
Es waere nett von dir, wenn du diese Datei an virus@protecus.de schicken koenntest:
C:\WINDOWS\system32\SiKernel.dll __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.08.2004, 13:03
Ehrenmitglied
Beiträge: 29434 |
#27
@Cochrain
Wenn du den Trojaner nicht wegbekommst, musst du alles neu installieren ! _______________________________________________________________ FIXE O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll ----vor dem Fixen im Taskamanger deaktivieren---- O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe NEUSTARTEN 1.)Suche und schicke die C:\WINDOWS\system32\SiKernel.dll C:\WINDOWS\system32\SiPlugins.dll gezippt an virus@protecus.de #Dann loesche sie #aktualisiere den <eScan< (mit kavupd.exe ) 2.) Gehe in die Registry Start<Ausfuehren<regedit oben links ist die Suchfunktion der Registry Suche und loesche alle Eintraege mit:<[Msn Messengers] msnmsgr.exe neustarten und wieder in den abgesicherten Modus gehen. #Loesche C:\WINDOWS\System32\msnmsgr.exe #scanne noch mal mit der mwav.exe und poste, was der Scanner gefunden hat. #(und das neue Log ) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.08.2004 um 13:11 Uhr von Sabina editiert.
|
|
|
|
|
|
|
20.09.2004, 13:21
...neu hier
Beiträge: 1 |
#28
hab das selbe prob .. hier mal mein log ..
Logfile of HijackThis v1.98.0 Scan saved at 13:13:03, on 20.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\System32\vpc32.exe C:\WINDOWS\System32\atwtusb.exe C:\WINDOWS\System32\TBLMOUSE.EXE C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE C:\Programme\FlatRate Manager 2001\FlatRate Manager.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\Programme\Calling-Us\bin\callmon.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Panda Software\Panda Platinum Internet Security\passrv.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe C:\Programme\Panda Software\Panda Platinum Internet Security\psimsvc.exe C:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe C:\Programme\Internet Explorer\IEXPLORE.EXE G:\Excursion9.5\mIRC.ExCurSioN.exe D:\Download\programme\treiber\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [FlatRate Manager] C:\Programme\FlatRate Manager 2001\FlatRate Manager.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\kdancct.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - Global Startup: Calling-Us Home.lnk = C:\Programme\Calling-Us\bin\callmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2E9296CA-0B72-4A80-8285-DC1C70C74C72}: NameServer = 195.50.140.250 145.253.2.203 O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Pkeqcclk.dll kann wer weiterhelfen bitte ? |
|
|
|
|
|
|
20.09.2004, 13:53
Ehrenmitglied
Beiträge: 29434 |
#29
Hallo@xBlacky33
#Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen http://www.firebird-browser.de/ 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten 9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen http://www.free-av.de/ 10) alle Passworte aendern ___________________________________________________________________________ Wenn du die Reinigung dennoch versuchen willst: #Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe: O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\kdancct.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Pkeqccl.dll neustarten 1.Entlade : Start<Ausfuehren< reinkopieren: regsvr32 /u c:\system32\Pkeqccl.dll «Enter --««und PC neustarten 2.Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" 3.Loesche: C:\WINDOWS\System32\Pkeqccl.dll C:\WINDOWS\System32\vpc32.exe C:\WINDOWS\System32\atwtusb.exe C:\WINDOWS\System32\kdancct.exe 4.CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm 5.#AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. 6.Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken. Poste danach Virus Log Information: was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal ............................................................................................................................... 7.TCPview (Systemprozesse, laufende) finden..ob die Backdoors nicht mehr aktiv sind.... http://www.sysinternals.com/ntw2k/source/tcpview.shtml mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.09.2004 um 13:59 Uhr von Sabina editiert.
|
|
|
|
|
|
|
20.09.2004, 14:11
Member
Beiträge: 48 |
#30
@ Cochrain
Für dich gilt dassselbe, was Sabina ein Posting vorher zu Blacky geschrieben hat: dein System ist durch ein Trojanisches Pferd kompromittiert. Außerdem fehlen anscheinend sämtliche Patches für XP und den IE, damit sind einige längst gefixte Sicherheitslücken nach wie vor da. Daher solltest du dich an die obigen 10 Punkte halten. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
wen ein Virus das Erstemal auftritt und kein Virenscanner ihn erkennt,
ist es nicht so einfach ihn eindeutig einer bestimmten Kategorie zuzuordnen.
Mein Anliegen war es, befallene User von geeigneten Gegenmaßnahmen
in Kenntnis zu setzen. Die Analyse überlasse ich gern den Profis, und habe die Datei deswegen an mehrere Unternehmen gesendet, die sich mit Antivirenprogrammen beschäftigen.
mfG. syswolf