Viren und spyware bleiben sogar nach formatierung |
||
---|---|---|
#0
| ||
31.07.2004, 05:40
Moderator
Beiträge: 7805 |
||
|
||
31.07.2004, 09:05
Ehrenmitglied
Beiträge: 29434 |
#17
1. Deaktiviere die Wiederherstellung
2. Lade eine Firewall, falls du keine hast. 3. C:\WINDOWS\System32\mswork.exe ist vorhanden. Also alles mit mswork im HijackThis-Log fixen, neustarten , dann in der Registry die Eintraege loeschen und dann die exe. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.07.2004 um 09:08 Uhr von Sabina editiert.
|
|
|
||
31.07.2004, 15:33
Member
Themenstarter Beiträge: 23 |
#18
systemwiederherstellung ist deaktiviert
versteckte dats werden auch angezeigt und in der windows suche wird auch nach diesen gesucht. ich hab mir jetzt wieder die zonelabs firewall geladen. die hat gespert: msework(hat sich anscheinend umbenannt) ZielHP:217.233.34.0ort445 ausserdem komm ich über ZAP auch in die eigenschaften von msework die ist in system32 aber finden kann ich sie trotzdem nicht. in eigenschaften ist das häkchen bei schreibgeschützt und versteckt da aber ich kanns nicht wegklicken |
|
|
||
31.07.2004, 15:42
Moderator
Beiträge: 7805 |
#19
Ueber Windowssuche musst du unter erweiterte optionen auch die ersten drei Dinge anhaken. Such im abgesicherten Modus!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
31.07.2004, 20:44
Member
Themenstarter Beiträge: 23 |
#20
hab ich alles schon gemacht...
|
|
|
||
01.08.2004, 12:02
Ehrenmitglied
Beiträge: 29434 |
#21
http://www.diamondcs.com.au/index.php?page=apm
Lade dieses Tool und klicke die C:\WINDOWS\System32\mswork.exe an. Dann kannst du die dazugehoerigen Prozesse sehen und dann loeschen. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2004, 19:21
Member
Themenstarter Beiträge: 23 |
#22
danke aber damit kann ich auch nur den prozess beenden
|
|
|
||
01.08.2004, 19:29
Moderator
Beiträge: 7805 |
#23
Da ich da eher an ....Bot denke, ersuche es mal hiermit:
http://www.trojaner-info.de/hijacker/escan.shtml wenn das nicht funktioniert, koennen wir immer noch Killbox nutzen, bzw du deinen Rechner neu aufsetzen! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.08.2004, 20:02
Ehrenmitglied
Beiträge: 29434 |
#24
http://www.diamondcs.com.au/index.php?page=apm
als ich schrieb <Dann kannst du die dazugehoerigen Prozesse sehen und dann loeschen.< meinte ich, das du die Prozesse, die zur exe gehoren, also dll, usw. erkennen und dann manuell loeschen kannst. du kannst es auch mit Winpatrol versuchen, die Prozesse ausfindig zu machen. http://www.winpatrol.com/winpatrol.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2004, 21:57
Member
Themenstarter Beiträge: 23 |
#25
ich hab windows jetzt nochmal aufgestetzt :
1. netverbindung: svchost wieder 100% systemauslastung dann wurden ständig ausgeführt und nach ca 1 min beendet: 7 auf einmal tftp.exe 6 auf einmal wininimil.exe tikbvto.exe cmd.exe (nicht kazza) nvjtmw.exe dann kam die Blaster- sasser meldung: system wird in 60 sekunden runtergefahren ich hab mit stinger nach sasser gesucht aber nicht gefunden aber dafür das: Scan initiated on Sun Aug 01 21:33:58 2004 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0T2V412Z\x[1].exe Found the W32/Korgo.worm.q virus !!! C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0T2V412Z\x[1].exe has been deleted. C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0T2V412Z\x[2].exe Found the W32/Korgo.worm.r virus !!! C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0T2V412Z\x[2].exe has been deleted. C:\WINDOWS\system32\directx32.exe\directx32.exe Found the W32/Sdbot.worm.gen.g virus !!! C:\WINDOWS\system32\directx32.exe\directx32.exe has been deleted. C:\WINDOWS\system32\nvmjtmw.exe Found the W32/Korgo.worm.r virus !!! C:\WINDOWS\system32\nvmjtmw.exe has been deleted. C:\WINDOWS\system32\TFTP2168 Found the W32/Sdbot.worm.gen.w virus !!! C:\WINDOWS\system32\TFTP2168 has been deleted. C:\WINDOWS\system32\TFTP3300 Found the W32/Sdbot.worm.gen.h virus !!! C:\WINDOWS\system32\TFTP3300 has been deleted. C:\WINDOWS\system32\tikbvto.exe Found the W32/Korgo.worm.q virus !!! C:\WINDOWS\system32\tikbvto.exe has been deleted. C:\WINDOWS\system32\wininimil.exe Found the W32/Sdbot.worm.gen.w virus !!! C:\WINDOWS\system32\wininimil.exe has been deleted. C:\WINDOWS\system32\wuam.exe Found the W32/Sdbot.worm.gen.i virus !!! C:\WINDOWS\system32\wuam.exe has been deleted. C:\WINDOWS\system32\wuamgrd.exe Found the W32/Sdbot.worm.gen.h virus !!! C:\WINDOWS\system32\wuamgrd.exe has been deleted. Number of clean files: 63091 Number of infected files: 10 Number of files deleted: 10 die dinger immer zu löschen bringt nichts es ist so das entweder dats auf dem comp sind die nicht zu löschen sind (somit nicht auf der festplatte sondern in einem anderem speicher und nicht sichtbar sind. oder jemand von aussen haut die ganzen teile auf den PC). was ich eigendlich mit der eröffnung dieses treads wissen wollt ist wie ich herausfinden kann wo diese dats herkommen Was is Killbox Dieser Beitrag wurde am 01.08.2004 um 22:05 Uhr von pzz editiert.
|
|
|
||
01.08.2004, 22:03
Member
Beiträge: 441 |
#26
@ pzz
Du sicherst dein System nicht ausreichend ab, bevor du die erste Internet Verbindung herstellst! Setzte nochmals neu auf und vor der ersten Internet Verbindung bitte folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp 5. deine Passwörter ändern 6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder Browserwechsel wie z.B. Mozilla oder Firefox 7. Image deiner Systempartition erstellen 8. Surfverhalten überdenken Das Problem ist dann gelöst und du wieder auf der sicheren Seite. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
01.08.2004, 22:10
Member
Themenstarter Beiträge: 23 |
#27
surfverhalten ist ein problem:
surfen tuh ich eigentlich nie eher im net zocken d.h. ich darf meine verbindung nicht alzusehr bestenfalls garnicht( geschwindigkeit=Ping) einschräncken 14 exen werden aufeinmal ausgeführt: 6255_up exe Dieser Beitrag wurde am 01.08.2004 um 22:13 Uhr von pzz editiert.
|
|
|
||
01.08.2004, 22:31
Member
Beiträge: 441 |
#28
@ pzz
Ich weiß nicht wo dein Problem bezüglich des Zockens liegt. Die Verbindungsfirewall kannst du danach wieder deaktivieren. by the way: Wie lange frickelst du schon an deinem kompromittierten System rum? Antwort:seit 23.07.04 __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
01.08.2004, 22:36
Member
Themenstarter Beiträge: 23 |
#29
was heisst den danach wieder deaktivieren
die windows firewall IST AKTIVIERT! und updates werden gerade geladen |
|
|
||
01.08.2004, 22:40
Ehrenmitglied
Beiträge: 29434 |
#30
Setze Windows noch einmal neu auf,
#Lade ueber Diskette den Patch gegen den Sasser #dann lade zuerst die Firewall Sygate http://smb.sygate.com/products/spf_standard.htm und Antivirus http://www.free-av.de/ Nach dem Installationsscann stellst du ein <alle Dateien< <Guard aktivieren...den Guard konfigurierst du auch auf <alle Dateien< Dann erst mache die WindowsUpdates. MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.08.2004 um 22:48 Uhr von Sabina editiert.
|
|
|
||
Geht im Explorer unter Extras/ordneroptionen/ansicht/versteckte Dateien und Ordner. Dort bei alle Dateien und Ordner anzeigen einen Haken setzen und bei geschuetzte Systemdateien ausblenden den Haken entfernen.
Waere nett, wenn du die Datei an virus@protecus.de schicken koenntest, bevor du sie loeschst.
__________
MfG Ralf
SEO-Spam Hunter