Trojaner gefunden! wie löschen? |
||
---|---|---|
#0
| ||
04.07.2004, 16:42
...neu hier
Beiträge: 3 |
||
|
||
04.07.2004, 22:56
Ehrenmitglied
Beiträge: 29434 |
#2
http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.07.2004 um 22:56 Uhr von Sabina editiert.
|
|
|
||
05.07.2004, 16:42
...neu hier
Themenstarter Beiträge: 3 |
#3
hier is die aktuellse Log datei. ich habe das allerdings schon mal gemach und es mir auf so einer seite interpretiren lassen. Und was ist mit dem Explorer los?
log: Logfile of HijackThis v1.98.0 Scan saved at 16:39:11, on 05.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q815021_XPSP2_WinSE_44054\Q815021_WXP_SP2_x86_DEU.exe d:\179776458bc82877748042346c5ab9f1\xpsp1hfm.exe d:\179776458bc82877748042346c5ab9f1\sp1\update\update.exe D:\Felix Ordner\Internet\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://warcraft3.ingame.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKLM\..\RunServices: [Windows Firewalll] scvhost.exe O4 - HKCU\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Zone Labs Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab |
|
|
||
05.07.2004, 17:58
Ehrenmitglied
Beiträge: 29434 |
#4
Strahler
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 fixe mit dem HijackThis O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKLM\..\RunServices: [Windows Firewalll] scvhost.exe neustarten Lade mwav.exe ...30 Tage free und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Lade Antivirus http://www.free-av.de/ Konfiguriere den Antivirus: Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt #scanne mit dem Antivirus...kann lange dauern normal neustarten Lade Sygate Firewall, falls du keinen Router oder Firewall hast. http://smb.sygate.com/products/spf_standard.htm Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.07.2004 um 18:05 Uhr von Sabina editiert.
|
|
|
||
05.07.2004, 22:40
...neu hier
Themenstarter Beiträge: 3 |
#5
Wiederherstellung war deaktieviert. Habe einträge gefixd, scan im Abgesicherten Modus gemacht und der Trojaner im Archiv ist immer noch da.
was ist diese mwav.exe? Bei mir zeigt er an, das die datei gefählich sei?!? aktueller Log: Logfile of HijackThis v1.98.0 Scan saved at 22:39:01, on 05.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\devldr32.exe D:\Felix Ordner\Internet\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://warcraft3.ingame.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Zone Labs Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{586BFEF3-1C67-41E4-AE31-7223139D97E2}: NameServer = 217.237.151.97 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{586BFEF3-1C67-41E4-AE31-7223139D97E2}: NameServer = 217.237.151.97 194.25.2.129 |
|
|
||
05.07.2004, 23:04
Ehrenmitglied
Beiträge: 29434 |
#6
@Strahler
mwav.exe ist ein Virenscanner...sehr effizient , aber nur 30 Tage free. Eigentlich muesste er den Virus loeschen. Wenn nicht, musst du es manuell machen. Gehe in die Registry und loesche auf der rechten Seite die Eintraege Start<Ausfuehren<regedit reinschreiben es oeffnet sich die Registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run loesche : [Microsoft Update] [Windows Firewalll] schliesse die Registry Loesche : C:\WINDOWS\System32\snlogsvc.exe C:\WINDOWS\System32\scvhost.exe........genau diese loeschen und nicht verwechseln mit anderer aehnlichen Namens !!!! Tipp: Der Antivirus hat einen Guard, der muesste im Systemstart erscheinen in der Taskleiste als "aufgespannter Regenschirm" Stelle bitte den Antivirus im <Menue< so ein. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.07.2004 um 23:16 Uhr von Sabina editiert.
|
|
|
||
Wie entfehrne ich den jetzt? Und noch eine frage: Wenn der PC längere zeit an ist (und das ist er sehr oft ). Der Internet Explorer fängt an zu spinnen, d.h. er zeigt nahezu alle seiten die ich besuchen will fehlerhaft(fehlende bilder, usw.) oder garnicht an. oft erst nach mermaligen aktuelisieren. Nun die Frage: Gibt es einen zusammenhang zwischen den IE Problem und dem Trojaner oder ist das wider was anderes?
Ich hatte vor ein paar wochen ein ähnliches Porblem mit dem IE. Habe dann C: ganz formatiert und alles neu afgespielt. Wieso habe ich jetzt schon wieder so was?
ich habe keine ahnung von den ganzen viren zeug und wäre über Hife sehr Dankbar.