Home » Viren, Trojaner & Malware Forum » Trojaner Dldr.PurScan.B.1 wird erkannt & gelöscht kommt immer wieder » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4

Antworten

Trojaner Dldr.PurScan.B.1 wird erkannt & gelöscht kommt immer wieder

30.06.2004, 21:47

Vrenni

...neu hier

Beiträge: 1

#1 hallo,

ich krieg nen koller!

habe laut antivir einen trojaner namens: Dldr.PurScan.B.1

ich sage überschreiben und löschen .... doch der taucht immer wieder woanders auf. ich habe ein programm namens trojan hunter, der findet nix, iich hab diverse andere programme die ich hier gelesen habe benutzt. irgendwie geht das ding nicht wirklich weg. für einen moment ist nach dem löschen ruhe und dann isser wieder da...

leider hab ich nicht so viel ahnung und will nicht einfach in der reg rumfummeln ....

würde michüber hilfe freuen .... nach fussball .. halbzeit ist rum.

bis später?! :-))

vrenni

02.07.2004, 10:45

Sabina

Ehrenmitglied

Beiträge: 29434

#2 http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum.

Mache einen Scann mit dem Antivir. im abgesicherten Modus...F8 beim Booten druecken.

Und druecke die Daumen fuer Portugal...!!!!!!!
Gruss aus Lissabon
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

25.08.2004, 14:34

hen

...neu hier

Beiträge: 8

#3 Hallo Leute,

ich hoffe ihr könnt mir helfen. Ich habe das selbe Trojanerproblem, umgehe es aber weitestgehend indem ich mit zonealarm den Zugriff aufs Netz blocke und auf Mozilla als Browswer umgestiegen bin. Es sieht so aus als wäre es am schlimmsten mit dem IE.
Hier ist mein HiJackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 13:30:10, on 25.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Wsr\WinsysRsr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ntcp32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Private User\Lokale Einstellungen\Temp\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {820586BE-64E2-A18D-10CE-EE429E06F227} - (no file)
O2 - BHO: (no name) - {9FF525C4-DA3A-A482-0793-0178BE517407} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {B7C5F0FA-A733-E146-85CE-933DC6846D60} - C:\WINDOWS\iekz32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ntcp32.exe] C:\WINDOWS\system32\ntcp32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093187688196

Ich hoffe es kann mir einer sagen wie ich diese Trojaner jetzt richtig loswerde.

Danke!!!!

25.08.2004, 14:46

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Hallo @hen
Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

fixe mit dem HijackThis, dann neu starten

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {820586BE-64E2-A18D-10CE-EE429E06F227} - (no file)
O2 - BHO: (no name) - {9FF525C4-DA3A-A482-0793-0178BE517407} - (no file)
O2 - BHO: (no name) - {B7C5F0FA-A733-E146-85CE-933DC6846D60} - C:\WINDOWS\iekz32.dll
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKLM\..\Run: [ntcp32.exe] C:\WINDOWS\system32\ntcp32.exe

neustarten

C:\Programme\Wsr\WinsysRsr.exe
ZITAT:
hatte seit paar tagen auch des file..
anscheinend wurde es mit der software/treibern installiert
fuer meinen mp3-player (ca-t100).
das ding hat sich unter 3 locations reinkopiert
c:\win
c:\win\winsys
c:\programme\wsr
selbst beschreibt es sich als Mp3FileMonitoring MFC
naja.. man kann sich jetzt selbst einen reim darauf machen
habse einfach entfernt und auch aus der registry.
Start<Ausfuehren<regedit

#Loesche unter <Internetoptionen< die TemporaryInternetfiles
##Lade eScan (entpacke in C:\bases
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

---Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.

NEUSTARTEN

noch mal mit mwav.exe scannen
Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird)

Und poste das neue Log noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 25.08.2004 um 14:48 Uhr von Sabina editiert.

25.08.2004, 16:38

hen

...neu hier

Beiträge: 8

#5 Hallo Sabina,

erstmal vielen Dank für Deine prompte Antwort. Habe jetzt alles so gemacht, wie Du es beschrieben hast. Das sind die Ergebnisse:

2004 => Scanning File C:\WINDOWS\appno32.dll
Wed Aug 25 14:20:40 2004 => File C:\WINDOWS\appno32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.

Wed Aug 25 14:20:41 2004 => Scanning File C:\WINDOWS\system32\ntcp32.exe
Wed Aug 25 14:20:41 2004 => File C:\WINDOWS\system32\ntcp32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted.

Wed Aug 25 14:21:00 2004 => Scanning File C:\WINDOWS\iekz32.dll
Wed Aug 25 14:21:01 2004 => File C:\WINDOWS\iekz32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.

Wed Aug 25 14:21:01 2004 => Scanning File C:\WINDOWS\rqudim.dat
Wed Aug 25 14:21:01 2004 => File C:\WINDOWS\rqudim.dat infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.

Das sind die 4 Viren die im abgesicherten Modus Durchlauf gefunden und gelöscht wurden.

Einen Error zeigt escan immer noch an:

Wed Aug 25 14:20:49 2004 => ERROR!!! Invalid Entry C:\WINDOWS\system32\ntxr.exe /s in SYSTEM\CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó...

Hier noch der neue Log von Hijack This:

Logfile of HijackThis v1.98.2
Scan saved at 15:37:25, on 25.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Private User\Lokale Einstellungen\Temp\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093187688196

Ist der Trjaner damit jetzt endgültig erledigt?

Vielen Dank!

hen

25.08.2004, 17:43

Sabina

Ehrenmitglied

Beiträge: 29434

#6 @hen

1.)geh mal in die Registry
Start<Ausfuehren<regedit

suche:
CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó
FINDEST DU ES ?
wenn ja, loesche s , schliesse die Registry und starte neu.

2.)suche mit der Suchfunktion von Windows (AUCH IN GESCHUETZTEN UND VERSTECKTEN ORDNERN)
C:\WINDOWS\system32\ntxr.exe
gibt es diese exe ?..loeschen

Dann scanne noch mal mit der mwav.exe und poste das Ergebnis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 25.08.2004 um 17:45 Uhr von Sabina editiert.

25.08.2004, 21:47

hen

...neu hier

Beiträge: 8

#7 Dieser Trojaner ist echt ein zäher Hund.

Habe in der registry den CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó gelöscht und zwei Einträge, in denen diese seltsame ntxr.exe vorkam.

Vorher hab ich schon nach dieser Datei gesucht, sie aber nirgendwo gefunden (auch nicht in den versteckten Ordnern)

Hab dann wieder neu gestartet und gescannt

es wird jedoch exact der syelbe fehler wieder mit der O?’ŽrtñåÈ²$Ó angezeigt, obwohl in der registry mit der suchfunktion weder das noch ntxr.exe mehr zu finden ist.

Was kann ich denn jetzt tun?

25.08.2004, 23:39

Sabina

Ehrenmitglied

Beiträge: 29434

#8 Gehe mal in Systemsteuerung<Verwaltung<Computerverwaltung <Dienste und schau, ob so ein Dienst aktiviert ist.
Wenn ja....deaktivieren
Dann suche noch mal in der Registry, nach dem Loeschen booten und dann die
ntxr.exe suchen.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 25.08.2004 um 23:40 Uhr von Sabina editiert.

26.08.2004, 01:37

hen

...neu hier

Beiträge: 8

#9 In den Diensten war nix was annähernd ntxr.exe oder wie der Zeichensalat hieß.

Hab die Registry wieder nach ntxr.exe durchsucht und hab an den selben Stellen wieder zwei Einträge gefunden. Nach dem Löschen erneuern sie sich wohl wieder beim Booten. auf der platte finde ich aber immer noch nichts, dass ntxr heißt.

Weißt Du vielleicht noch was anderes?

Vielen Dank für die Hilfe!

26.08.2004, 02:09

Sabina

Ehrenmitglied

Beiträge: 29434

#10 Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe:
R3 - Default URLSearchHook is missing
neustarten

IM ABGESICHERTEN MODUS !!!!!!!
Poste mal, unter welchem Eintrag du CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó findest.

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DHCP
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DhcpServer
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ FTPSVC
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Lmhosts
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LPDSVC
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SimpTcp
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SNMP
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Wins
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ WinSock
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ WinSock2
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ 'NetDriver'x \ Parameters \ Tcpip
NetDriver" ist der Name der installierten Netwerkkarte, und "x" ist die Anzahl der Netzwerkadapter

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DhcpMibAgent
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DhcpServer
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ FTPSVC
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ LPDSVC
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ NetBT
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ RFC1156Agent
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ SNMP
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ SimpTcp
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Tcpip
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ TcpipCU
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ TcpPrint
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Wins
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WinsMibAgent

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEdsdm
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtLmSsp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PlugPlay
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCLOCATOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Replicator
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser

http://www.rrze.uni-erlangen.de/hilfe/security/it-sicherheitshandbuch/regeln/sicherheitsstandards/windows-workstations/services/windows-nt.shtml

dann suche noch mal nach einer
C:\WINDOWS\ntxr.exe

Erfolg ?
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 26.08.2004 um 02:36 Uhr von Sabina editiert.

26.08.2004, 13:50

hen

...neu hier

Beiträge: 8

#11 Hallo Sabina.,

ich glaube das Problem jetzt im Griff zu haben. Hab den service pack 2 installiert und der registry eintrag ist nach dem booten weg.

der Eintrag
R3 - Default URLSearchHook is missing

ist auch von selbst weg

war das es jetzt?

26.08.2004, 13:53

Sabina

Ehrenmitglied

Beiträge: 29434

#12 Hallo @hen
Mich wuerde mal interessieren, wo der Registry-Eintrag war.(CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó)

#war er unter

?)
HKEY_LOCAL_MACHINE \ Software \ Microsoft
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Deshalb habe ich dir das obere alles gepostet.

#wenn du noch mal mit mwav.exe scannst...wird da noch was angezeigt ?

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 26.08.2004 um 13:56 Uhr von Sabina editiert.

26.08.2004, 15:30

hen

...neu hier

Beiträge: 8

#13 Hallo Sabina,

diese seltsame Zeichenfolge war glaube ich allen der von Dir geposteten Verzeichisse drin.

Ich hab jetzt nochmal alles mit escan durchlaufen lassen und es wird weder ein Fehler noch ein Virus angezeigt.

Kann man den Virus damit als besiegt ansehen oder gibt es noch einen Haken?

26.08.2004, 18:31

Sabina

Ehrenmitglied

Beiträge: 29434

#14 Hallo@han
Im Prinzip duerfte der Virus weg sein.
Ueberpruefe dennoch die TCP-verbindungen (ob es was Ungewoehnliches gibt.

Oder du machst das mit diesem kleinen Tool
http://www.freeware.de/software/Download_netstat_ueber_Windowsoberflaeche_ausfuehren_15026.html

oder direkt :
#Start-->>Ausführen-->>Netstat -a eingeben-->>Enter

boote den PC, dann gehe nicht ins Net, sondern ueberpruefe die Verbindungen und Ports.
Dann poste, was angezeigt wird.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

27.08.2004, 01:06

hen

...neu hier

Beiträge: 8

#15 Hallo Sabina,

das ist gekommen, nachdem ich meine LAN verbindung deaktiviert und gescannt habe:

Proto Lokale Adresse Remoteadresse Status
TCP hen:135 0.0.0.0:0 ABHÖREN
TCP hen:445 0.0.0.0:0 ABHÖREN
TCP hen:5679 0.0.0.0:0 ABHÖREN
TCP hen:18350 0.0.0.0:0 ABHÖREN
TCP hen:1032 localhost:18350 HERGESTELLT
TCP hen:1034 0.0.0.0:0 ABHÖREN
TCP hen:18350 localhost:1032 HERGESTELLT
UDP hen:445 *:*
UDP hen:500 *:*
UDP hen:1036 *:*
UDP hen:1113 *:*
UDP hen:4500 *:*

Sind diese vielen 0 werte und * normal

Übrigens nochmal vielen vielen Dank für Deine Hilfe!

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

»
»
» TR/Dldr.agent.bca.13 uvm kommt immer wieder
» TR/Dldr.agent.9876 kommt immer wieder !!!
»

Seite(n): 1 2 3 4