Viren und spyware bleiben sogar nach formatierung

#16 Hast du schon alle Dateien anzeigen eingeschaltet?
Geht im Explorer unter Extras/ordneroptionen/ansicht/versteckte Dateien und Ordner. Dort bei alle Dateien und Ordner anzeigen einen Haken setzen und bei geschuetzte Systemdateien ausblenden den Haken entfernen.

Waere nett, wenn du die Datei an virus@protecus.de schicken koenntest, bevor du sie loeschst.
__________
MfG Ralf
SEO-Spam Hunter

#17 1. Deaktiviere die Wiederherstellung
2. Lade eine Firewall, falls du keine hast.

3. C:\WINDOWS\System32\mswork.exe
ist vorhanden.
Also alles mit mswork im HijackThis-Log fixen, neustarten , dann in der Registry die Eintraege loeschen und dann die exe.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#18 systemwiederherstellung ist deaktiviert

versteckte dats werden auch angezeigt und in der windows suche wird auch nach diesen gesucht.

ich hab mir jetzt wieder die zonelabs firewall geladen. die hat gespert:

msework(hat sich anscheinend umbenannt)
ZielHP:217.233.34.0ort445

ausserdem komm ich über ZAP auch in die eigenschaften von msework
die ist in system32 aber finden kann ich sie trotzdem nicht.
in eigenschaften ist das häkchen bei schreibgeschützt und versteckt da aber ich kanns nicht wegklicken

#19 Ueber Windowssuche musst du unter erweiterte optionen auch die ersten drei Dinge anhaken. Such im abgesicherten Modus!
__________
MfG Ralf
SEO-Spam Hunter

#20 hab ich alles schon gemacht...

#21 http://www.diamondcs.com.au/index.php?page=apm
Lade dieses Tool und klicke die C:\WINDOWS\System32\mswork.exe an.
Dann kannst du die dazugehoerigen Prozesse sehen und dann loeschen.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#22 danke aber damit kann ich auch nur den prozess beenden

#23 Da ich da eher an ....Bot denke, ersuche es mal hiermit:
http://www.trojaner-info.de/hijacker/escan.shtml

wenn das nicht funktioniert, koennen wir immer noch Killbox nutzen, bzw du deinen Rechner neu aufsetzen!
__________
MfG Ralf
SEO-Spam Hunter

#24 http://www.diamondcs.com.au/index.php?page=apm

als ich schrieb <Dann kannst du die dazugehoerigen Prozesse sehen und dann loeschen.< meinte ich, das du die Prozesse, die zur exe gehoren, also dll, usw. erkennen und dann manuell loeschen kannst.

du kannst es auch mit Winpatrol versuchen, die Prozesse ausfindig zu machen.
http://www.winpatrol.com/winpatrol.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#25 ich hab windows jetzt nochmal aufgestetzt :

1. netverbindung:
svchost wieder 100% systemauslastung
dann wurden ständig ausgeführt und nach ca 1 min beendet:
7 auf einmal tftp.exe
6 auf einmal wininimil.exe
tikbvto.exe
cmd.exe (nicht kazza)
nvjtmw.exe

dann kam die Blaster- sasser meldung: system wird in 60 sekunden runtergefahren

ich hab mit stinger nach sasser gesucht aber nicht gefunden
aber dafür das:

Scan initiated on Sun Aug 01 21:33:58 2004

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0T2V412Z\x[1].exe
Found the W32/Korgo.worm.q virus !!!

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0T2V412Z\x[1].exe has been deleted.

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0T2V412Z\x[2].exe

Found the W32/Korgo.worm.r virus !!!

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0T2V412Z\x[2].exe has been deleted.

C:\WINDOWS\system32\directx32.exe\directx32.exe

Found the W32/Sdbot.worm.gen.g virus !!!

C:\WINDOWS\system32\directx32.exe\directx32.exe has been deleted.

C:\WINDOWS\system32\nvmjtmw.exe

Found the W32/Korgo.worm.r virus !!!

C:\WINDOWS\system32\nvmjtmw.exe has been deleted.

C:\WINDOWS\system32\TFTP2168

Found the W32/Sdbot.worm.gen.w virus !!!

C:\WINDOWS\system32\TFTP2168 has been deleted.

C:\WINDOWS\system32\TFTP3300

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINDOWS\system32\TFTP3300 has been deleted.

C:\WINDOWS\system32\tikbvto.exe

Found the W32/Korgo.worm.q virus !!!

C:\WINDOWS\system32\tikbvto.exe has been deleted.

C:\WINDOWS\system32\wininimil.exe

Found the W32/Sdbot.worm.gen.w virus !!!

C:\WINDOWS\system32\wininimil.exe has been deleted.

C:\WINDOWS\system32\wuam.exe

Found the W32/Sdbot.worm.gen.i virus !!!

C:\WINDOWS\system32\wuam.exe has been deleted.

C:\WINDOWS\system32\wuamgrd.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINDOWS\system32\wuamgrd.exe has been deleted.

Number of clean files: 63091

Number of infected files: 10

Number of files deleted: 10

die dinger immer zu löschen bringt nichts es ist so das entweder dats auf dem comp sind die nicht zu löschen sind (somit nicht auf der festplatte sondern in einem anderem speicher und nicht sichtbar sind. oder jemand von aussen haut die ganzen teile auf den PC).

was ich eigendlich mit der eröffnung dieses treads wissen wollt ist wie ich herausfinden kann wo diese dats herkommen

Was is Killbox

#26 @ pzz

Du sicherst dein System nicht ausreichend ab, bevor du die erste Internet Verbindung herstellst!

Setzte nochmals neu auf und vor der ersten Internet Verbindung bitte folgende Punkte abarbeiten:
1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. deine Passwörter ändern
6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
7. Image deiner Systempartition erstellen
8. Surfverhalten überdenken

Das Problem ist dann gelöst und du wieder auf der sicheren Seite.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#27 surfverhalten ist ein problem:

surfen tuh ich eigentlich nie eher im net zocken d.h. ich darf meine verbindung nicht alzusehr bestenfalls garnicht( geschwindigkeit=Ping)
einschräncken

14 exen werden aufeinmal ausgeführt: 6255_up exe

#28 @ pzz

Ich weiß nicht wo dein Problem bezüglich des Zockens liegt. Die Verbindungsfirewall kannst du danach wieder deaktivieren.

by the way: Wie lange frickelst du schon an deinem kompromittierten System rum?
Antwort:seit 23.07.04
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#29 was heisst den danach wieder deaktivieren

die windows firewall IST AKTIVIERT! und updates werden gerade geladen

#30 Setze Windows noch einmal neu auf,
#Lade ueber Diskette den Patch gegen den Sasser

#dann lade zuerst die Firewall Sygate
http://smb.sygate.com/products/spf_standard.htm
und Antivirus
http://www.free-av.de/
Nach dem Installationsscann stellst du ein
<alle Dateien<
<Guard aktivieren...den Guard konfigurierst du auch auf <alle Dateien<


Dann erst mache die WindowsUpdates.
MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit