Backdoor.BeastDoor.206.b |
||
|---|---|---|
| #0
| ||
|
27.06.2004, 23:45
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
28.06.2004, 13:37
Ehrenmitglied
 Beiträge: 29434 |
#2
#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Lade escan `mwav.exe http://www.mwti.net/antivirus/free_utilities.asp #Gehe in den abgesicherten Modus...F8 beim Booten druecken #C:, D: und E wird svhost.exe nur 2 mal gefunden..loesche !! #scanne mit dem escan...stelle ein \alle Dateien scannen\ #Scanne mit dem Antivir..stelle ein \alle Dateien scannen\ Dann berichte, ob die Virenscanner etwas geloescht haben. MfG Sabina http://securityresponse.symantec.com/avcenter/venc/data/backdoor.socksbot.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.06.2004 um 13:40 Uhr von Sabina editiert.
|
|
|
|
|
|
|
29.06.2004, 00:19
...neu hier
Themenstarter Beiträge: 10 |
#3
svhost.exe 1 mal gefunden Windows\prefetch SVHOST.EXE-2153A0E5
gelöscht escan: Mon Jun 28 23:57:17 2004 => Total Number of Files Scanned: 10401 Mon Jun 28 23:57:17 2004 => Total Number of Virus(es) Found: 6 Mon Jun 28 23:57:17 2004 => Total Number of Disinfected Files: 0 Mon Jun 28 23:57:17 2004 => Total Number of Files Renamed: 6 Mon Jun 28 23:57:18 2004 => Total Number of Deleted Files: 0 Mon Jun 28 23:57:18 2004 => Total Number of Errors: 0 Mon Jun 28 23:57:18 2004 => Time Elapsed: 00:14:37 Mon Jun 28 23:57:18 2004 => Virus Database Date: 2004/06/20 Mon Jun 28 23:57:18 2004 => Virus Database Count: 95240 Leider hab ich vergessen mir rauszuschreiben, welche Dateien er umbenannt hat... Antivir: Nichts gefunden Neustart -> suche nach svhost.exe Nichts gefunden! *freu*. Scheint geklappt zu haben, vielen Dank! |
|
|
|
|
|
|
29.06.2004, 03:12
Smithi
zu Gast
|
#4
Ohje, wieviele Browser hast du denn auf deinem System (2)!? Einer reicht vollkommen, desinstalliere Opera - so vervielfältigst du nur deine Sicherheitslücken!!!!!!!! Benutze den Browser der auf dein System vorinstalliert war fertig.
Du sagst du hattest Sasser drauf, wieso hast du noch die Isass.exe am laufen? Sasser zielt auf Isass.exe - ich hoffe du hast dir einen Patch dafür heruntergeladen? Isass.exe kannst du löschen, falls das System in wieder braucht wird dieser Dienst manuell hochgefahren. Sorry Sabrina, man scannt nicht im Abgesicherten Modus - da laufen sowieso nur die Dienste die unbedingt benötigt werden und so lassen sich keine Viren finden!!!!!! Und svchost.exe ist schon richtig dort! Ich weiß zwar nicht viewiel Ahnung du hast - aber du erzählst nur Blödsinn! Also von Informatik hast du keine blasen schimmer ;-) Richtig ist es eine Virensoftware wie F-Port (Doslauffähig) zu benutzen ansonsten bringt das gar nichts! Schaue mal bei basic-security.de vorbei, die erklären wie es geht und dort kannst du auch das Tool herunter laden. @LordHost: Frage erstmal von wem du so einem Tipp erhälst bevor du in deiner Konfiguration dinge löscht die man nicht löschen sollte! |
|
|
|
|
|
|
29.06.2004, 10:05
Ehrenmitglied
Beiträge: 29434 |
#5
@Smithi
1.Die Isass.exe zu loeschen ist nun wahrlich eine traurige Idee, auch wenn sie von einem Informatikgenie kommt... Isass.exe ist ein Systemprogramm ISASS.EXE = Local Security Authority Server Process (Lokaler Sicherheit Berechtigungs Bediener-Prozeß) 2. geloescht werden sollte svhost.exe und nicht svchost.exe !!!!!...du musst wenigsten richtig lesen, bevor du deine Meinung zum Besten gibst. 3.Man sollte IMMER im abgesicherten Modus scannen . 4. Mit dem Updaten von Windows und dem IE , hast du recht. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.06.2004 um 10:10 Uhr von Sabina editiert.
|
|
|
|
|
|
|
29.06.2004, 11:11
...neu hier
Themenstarter Beiträge: 10 |
#6
Jo, ich hab 2 Browser, aus dem Grund, daß ich hauptsächlich mit Opera surfe, aber halt einige Seiten damit nicht richtig dargestellt werden. Dafür benutze ich dann kurzzeitig den IE.
|
|
|
|
|
|
|
29.06.2004, 12:03
Member
 Beiträge: 890 |
#7
Zitat Backdoor.BeastDoor.206.bEin jeder vernünftige AV sollte es entfernen können. Falls noch nicht behoben,würde ich es mit einer Testversion von KAV versuchen. @Smithi Wie wär's wenn Du deine bescheuerte Anweisungen für einen anderen Board aufhebst. Bei Google einfach das Wort Troll eingeben.Vielleicht werden welche auf andere Boards gesucht ? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe vor kurzem WinXP Pro installiert und beim runterladen eines Virenscanners hab ich mir Sasser eingefangen (welch Irnonie :-/ ). Den Sasser bin ich eigentlich recht schnell losgeworden (mit besagtem Virenscanner [AVPersonal Edition]), aber meine Firewall (ZoneAlarm, vorher hatte ich ATGuard, aber die wurde mir zu nervig ^^) meldete vorgestern, daß die Datei SVHOST (nicht SVCHOST) versucht, E-Mails zu versenden... ok, da es schon spät war und ich den PC eh kurz danach ausmachen wollte, hab ich erstmal auf "Zugriff erlauben (aber ohne das Häckchen bei "Diese Antwort immer bei diesem Programm verwenden).
Als ich heute wieder an den PC ging, kam die Meldung wieder "SVHOST versucht E-Mails zu versenden". Da ich heute ein wenig wacher war, als ich an den Rechner ging, dachte ich mir "Hä? Wieso will die E-Mails versenden?", also erstmal auf "Nein" geklickt und erstmal informiert, was das überhaupt für ne Datei ist. Dann bin ich halt drauf gekommen, daß das n Virus oder ein Trojaner sein könnte, aber mein Virenscanner findet nix (auch nicht, wenn ich die Datei manuell scanne [per Drag&Drop auf den AVGuard]). Bei http://www.kaspersky.com/remoteviruschk.html hab ich herausgefunden, daß in dieser Datei der Trojaner Backdoor.BeastDoor.206.b steckt.
Kurz bei Sophos reingeschaut: Aha, soll sich also in die Registry unter
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
COM Serice = <windows\command>\msptmf.com
und
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\
COM Serice = <windows\command>\msptmf.com
eintragen... aber da steht nix
Auch unter
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SVHOST
ist nix (könnte ja auch sein, daß es sich um W32/Mydoom-I handelt). Überhaupt sind keine Verweise auf SVHOST in der Reg enthalten und auch auf meinen Festplatten (C:, D: und E
Und wie werd ich Backdoor.BeastDoor.206.b wieder los?
Kleiner Nachtrag:
Hab auch mal HijackThis drüberlaufen lassen (man kann sich ja nie ganz sicher sein, was da sonst noch auf dem System rumfleucht).
Hier das Logfile
Logfile of HijackThis v1.97.7
Scan saved at 21:55:06, on 27.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
E:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\CTSvcCDA.exe
E:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
E:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
E:\Programme\Morgan\m3jpegV3\MMTray.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVGNT.EXE
E:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\WINDOWS\System32\msiexec.exe
E:\Programme\Opera\Opera.exe
D:\Eigene Dateien\hjt.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [LWBMOUSE] e:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CreativeMixer] E:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Morgan] E:\\Programme\\Morgan\\m3jpegV3\\MMTray.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38158.5693287037
O17 - HKLM\System\CCS\Services\Tcpip\..\{E597EB58-FA02-410A-A07F-B7A53FD6E259}: NameServer = 213.191.74.19 213.191.92.86
kenn mich nur nich ganz so gut damit aus :/, was davon ist jetzt schlecht und was ist gut?