Backdoor? Seltsames in der Regiytry? |
||
---|---|---|
#0
| ||
10.07.2004, 03:15
Member
Beiträge: 23 |
||
|
||
10.07.2004, 04:53
Member
Beiträge: 1095 |
#2
@derBerserker
Hi und willkommen an Board Du hast dir was eingefangen Geh im abgesicherten Modus von XP Fixe bitte folgendes O4 - HKLM\..\Run: [Windows Firewalll] scvhost.exe O4 - HKLM\..\RunServices: [Windows Firewalll] scvhost.exe O4 - HKCU\..\Run: [Windows Firewalll] scvhost.exe Starte neu und poste noscmal das logfile Suche bitte die scvhost.exe und schick Sie gezippt an virus@protecus.de Dann lösch die Datei , aber Achtung achte genau auf die schreibweise Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
10.07.2004, 11:54
Member
Themenstarter Beiträge: 23 |
#3
Hallo!!
Erstmal vielen Danl pfaff!!! Wie das mit dem abgesicherten Modus geht, weiß ich ja inzwischen. Aber was ist mit "fixen" gemeint? Ich habe auch nochmal einen Onlinscan laufen lassen (von Pandasoftware), der hat das gefunden: Incident Status Location Virus:W32/Sasser.ftp Disinfected C:\WINDOWS\system32\cmd.ftp ---------------------- ---------------------- Und AntiVir hat im abgesicherten Modus noch was entdeckt: Zitat C:\Wieso sagt mir jeder Scanner immer etwas anderes? So langsam bin ich fertig . Viele Grüsse Peter Dieser Beitrag wurde am 10.07.2004 um 13:27 Uhr von DerBerserker editiert.
|
|
|
||
10.07.2004, 15:40
Ehrenmitglied
Beiträge: 29434 |
#4
DerBerserker
C:\WINDOWS\System32\scvhost.exe das muss raus. ........................................................................................................ Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe mit dem HijackThis O4 - HKLM\..\Run: [Windows Firewalll] scvhost.exe O4 - HKLM\..\RunServices: [Windows Firewalll] scvhost.exe O4 - HKCU\..\Run: [Windows Firewalll] scvhost.exe neustarten und in den abgesicherten Modus gehen http://www.bsi.de/av/texte/winsave.htm Gehe in die Registry Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run loesche.. [Windows Firewalll] scvhost. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices loesche.. [Windows Firewalll] scvhost. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run loesche .. [Windows Firewalll] scvhost. schliesse die Registry Suche scvhost.exe \nicht verwechseln mit anderen aehnlichen Namens \ und loesche Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen Mache einen Vollscann mit dem Antivirus Konfiguriere Antivirus-Einstellungen : Automatischen Scan stoppen, Internetupdate von Antivir starten, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) normal neustarten 1.Lade den Stinger http://vil.nai.com/vil/stinger/ 2.Scanne mit dem escann...mwav.exe <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Dann poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.07.2004 um 15:41 Uhr von Sabina editiert.
|
|
|
||
10.07.2004, 20:24
Member
Themenstarter Beiträge: 23 |
#5
Hallo!!!
So. Zitat Deaktiviere die WiederherstellungGemacht!!! Zitat Gehe in die RegistryDie drei Dateien waren nicht mehr da. Zitat Suche scvhost.exe \nicht verwechseln mit anderen aehnlichen Namens \Die einzige Datei war folgende: C:\Windows\Prefetch\scvhost.exe-2C8D7CBA.pf Hab ich gelöscht.... Zitat Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HostsWar soweit ok. Zitat Automatischen Scan stoppen,ANTIVIR: Zitat Start des Suchlaufs: 10.07.2004 18:32STINGER: Nichts gefunden EDIT!!!! ESCANN: Doch nichts gefunden. Nach dem ich Cookies und dergleichen gelöscht habe, haben eScan und BitDefender doch nichts mehr gefunden!! Nur Spybot zeigt den oben bereits geposteten Bericht!! Seltsam!!!! Hier nochmal das aktuelle Log: Zitat Logfile of HijackThis v1.98.0Sieht das gut aus??? Viele Grüsse Peter Dieser Beitrag wurde am 10.07.2004 um 23:32 Uhr von DerBerserker editiert.
|
|
|
||
11.07.2004, 14:55
Ehrenmitglied
Beiträge: 29434 |
#6
DerBerserker
Das Log ist sauber...die Viren weg!!!!!!!!! Das Eploid von Spyware ist ein Bug...also no Problem... Du solltest dich aber nur fuer einen Virenscanner im Autostart entscheiden...den anderen deaktivieren. Und falls du keinen Router hast, denke mal ueber eine Firewall nach, falls du noch keine hast. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.07.2004 um 14:57 Uhr von Sabina editiert.
|
|
|
||
11.07.2004, 15:18
Member
Themenstarter Beiträge: 23 |
#7
Hi!!!
Puh, da bin ich aber beruhigt!!!! Erstmal vielen vielen vielen lieben Dank!! Die Leute hier sind wirklich nett, und über Viren etc. und deren Bekämpfung hab ich auch was gelernt! Und das hier von Spybot ist also nur ein Bug (ansonsten erkennt das nämlich keiner): Zitat DSO Exploit: Data source object exploit (Registry change, fixed)Und woran erkenne, welche Virenscanner im Autostart laufen? Eigentlich läuft bei mir nur der Norton Antivirus mit Autoprotect, Scriptblockierung und E-Mailprüfung (ist ja auch wie eine Firewall, oder?). Die anderen rufe ich nur bei Bedarf mal auf. Viele Grüsse Peter |
|
|
||
12.07.2004, 00:52
Ehrenmitglied
Beiträge: 29434 |
#8
DerBerserker
Klar, da hab ich wieder mal nur auf einem Auge geguckt. Der Antivirus ist nicht im Autostart, unter 04, es ist also alles in schoenster Ordnung.Mit dem scannst du nur bei Bedarf...alles klar. Vergiss dann aber nicht ihn vorher zu updaten, denn wenn viel Zeit vergeht, ist er nicht mehr aktualisiert. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Folgendes Prpblem. Ich musste meinen Compi formatieren. Nachdem ich alles wieder installiert hatte und mich ins Internet eingewählt habe, warnte mich meine Norton-Firewall vor W32.Sasser.Worm, W.32.Spybot.Worm und W32.Randux.gen. Die Viren(?) sind isoliert und gelöscht worden. Danach kam nichts mehr. Allerdings erkennt der BitDefender folgendes:
-------------
Zitat
Der BitDefender sagt zwar, dass die infizierte Datei gelöscht wurde, allerdings ist sie nach jedem Scan wieder da. Im abgesicherten Modus läuft der BitDefender leider nicht, und Antivir und Norton erkennen diese Datei nicht!!!-----------
Und SpyBot hab ich auch nochmal laufen lassen, der erkennt das hier:
Zitat
----------Und das hier sagt Hijack this (hab gelesen, dass das vielleicht weiterhelfen kann)
Zitat
Ich möchte mich bereits schon im voraus bedanken und freue mich über Hilfe!!!!Viele Grüsse
Peter