Viren und spyware bleiben sogar nach formatierung |
||
---|---|---|
#0
| ||
23.07.2004, 22:48
Member
Beiträge: 23 |
||
|
||
24.07.2004, 01:26
Member
Beiträge: 5291 |
#2
@pzz
Lowlevel wäre wirklich nicht nötig gewesen ** Nach einer stink normalen formatierung wie du es kennst, ist ein komplett neues Dateisystem in die Partition geschrieben worden. Alle Zuordnungen der alten Dateien/Verzeichnisse gehen damit verloren. Es stimmt zwar das die Daten physisch erhalten bleiben, aber das heißt nicht das Viren etc. praktisch damit erhalten bleiben. Die einzige Möglichkeit wo bösartiger Code sich dann noch befinden kann ist der MBR (Master Boot Record) - der wird nämlich bei einer formatierung nicht angerührt - aber wenn du die gesamte Festplatte schon mit zero's beschrieben hast dürfte auch der hinüber sein Somit ist es technisch völlig ausgeschloßen das zusammenhängende Daten praktisch nach einer derartigen Bearbeitung noch "aktiv" bleiben. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
24.07.2004, 07:58
Moderator
Beiträge: 6466 |
||
|
||
27.07.2004, 14:08
Member
Themenstarter Beiträge: 23 |
#4
dieses log wurde nach einer Formatierung und nach einem Neustart erstellt!
es wurde nur providersoftware installiert und Hjackthis runtergeladen Dieser Beitrag wurde am 27.07.2004 um 14:16 Uhr von pzz editiert.
|
|
|
||
27.07.2004, 17:27
Member
Beiträge: 441 |
#5
@ pzz
Vor der ersten Internet Verbindung ist folgendes zu beachten: Entweder wird die interne Verbindungsfirewall aktiviert http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html und dann die Patches geladen. oder mit Hilfe dieser Programme http://www.dingens.org/ oder http://www.ntsvcfg.de/ deine NT-Dienste sicher konfigurieren und dann erst die Patches laden. Sinnvoll bei einem Neuaufsetzen ist auch deine anderen Partitionen zu formatieren und kein alten ausführbare Dateien mit ins neue System zu integrieren. Weiter Infos dazu, findest du hier: http://oschad.de/wiki/index.php/Kompromittierung http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
28.07.2004, 00:16
Member
Themenstarter Beiträge: 23 |
#6
es wurden immer beide partionen formatiert wie schon gesagt auch lowlevelformatiert
ich hab jetzt Norton spybot SD und TZ Spyware-Adware remover und stinger laufen lassen Norten hat garnichts gefunden stinger auch ned Spybot SD hat so um die 30 verschiedene files/einträge von 9 varianten gefunden von denen nur noch DSO exploit nicht gelöscht wird TZ SA remover hat 140 einträge gefunden wurden aber auch alle gelöscht dann Service Pack 2 runtergeladen und installiert neugestartet SP einstellungen durchgeführt und im abgesicherten Modus gestartet wieder alle viren und spyware progs laufen lassen nach neustart gabs dieses ergebnis Logfile of HijackThis v1.98.0 Scan saved at 00:03:27, on 28.07.2004 Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\II\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://teensx.org/best.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1090962933875 O17 - HKLM\System\CCS\Services\Tcpip\..\{88287BC5-11B3-41CE-B248-9DE76460B995}: NameServer = 217.237.151.97 194.25.2.129 |
|
|
||
28.07.2004, 00:49
Member
Beiträge: 441 |
#7
@ pzz
Hast du eine meiner beiden Varianten angewandt, ich denke nicht? Erklär uns bitte mal deine Vorgehensweise, wenn du dein System neuaufsetzt. Dein System ist nochmals reif, um neuaufgesetzt zu werden. O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe Ps. Das RC2 SP2 zu installieren halt mich mehr als bedenklich, warte noch bis August ab. http://www.heise.de/newsticker/meldung/49191 __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
28.07.2004, 19:47
Member
Themenstarter Beiträge: 23 |
#8
ich hab Xp nochmal aufgesetzt:
mit win98 cd formatiert weil ich einen Sony VAIO PC und somit keine WinXP cd sondern 3 Vaio Systemrecovery Cds hab. beide partionen wurden gelöscht ausserdem hab ich aus den beiden nur noch 1 gemacht . Die recovery cds haben die option vor dem neu ausetzen *alle Sectoren mit Null überschreiben* hab ich wie immer gewählt.(alles wird aber nicht mit zero überschrieben weil das ungefär genauso lag wie eine formatierung dauert- richtiges Lowlevel hat bei mir ca 8 Std gedauert-allerdings auch nichts genützt) bei der win einrichtung hab ich den comp namen geändert firewall für Lan und 1394 verbindungen aktiviert providersoftware installiert und alles wieder beim alten... svchost.exe 100% systemauslastung alles andere ist auch wieder da und wieder extreme internet aktivität 10 kb download 90 kb upload ohne im browser zu sein Logfile of HijackThis v1.98.0 Scan saved at 19:46:32, on 28.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\System32\wuam.exe C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\msconfg.exe C:\WINDOWS\System32\svchosting.exe C:\Dokumente und Einstellungen\IS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O17 - HKLM\System\CCS\Services\Tcpip\..\{7E33CAE5-A2D4-47C1-A2F2-95C604EB6611}: NameServer = 217.237.151.97 194.25.2.129 |
|
|
||
28.07.2004, 21:14
Member
Beiträge: 441 |
#9
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp Beende diese Prozesse: C:\WINDOWS\System32\wuam.exe C:\WINDOWS\System32\msconfg.exe C:\WINDOWS\System32\svchosting.exe Wichtig: Ab hier alle Browser Fenster schließen und Internet Verbindung trennen Fixe diese Einträge: O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm Wechsle in den abgesicherten Modus und lösche diese Dateien: C:\WINDOWS\System32\wuam.exe C:\WINDOWS\System32\msconfg.exe C:\WINDOWS\System32\svchosting.exe - Temporäre Internet Files löschen - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) - Neustart - dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp - neues Log-File posten __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
29.07.2004, 18:06
...neu hier
Beiträge: 4 |
#10
Hallo zusammen,
kann mir jemand helfen??? ich würde gerne meinen MBR neu überschreiben aber ich bekomme immer die Meldung das dies wegen schreibschutz nicht möglich ist. Ich habe das ganze Bios abgesucht aber ich finde nichts wo ich den Schreibschutz (wenn überhaupt einer aktiviert ist) der Platte aufheben kann. Außerdem würde ich gerne eine lowlevel und komplette "0" Beschreibung machen. Kann mir jemand erklären wie das funktioniert??? Ich habe eine Maxtor Platte. Bin für jeden Hinweis dankbar....... |
|
|
||
30.07.2004, 17:38
Member
Themenstarter Beiträge: 23 |
#11
leider kann ich das escan log nicht posten.
Logfile of HijackThis v1.98.0 Scan saved at 17:33:20, on 30.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\taskmgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\IS\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Microsoft Update Machine] guard32.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] guard32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O17 - HKLM\System\CCS\Services\Tcpip\..\{7E33CAE5-A2D4-47C1-A2F2-95C604EB6611}: NameServer = 217.237.151.97 194.25.2.129 10 min nach der 1. netverbingung wieder 50 kb upload und spybot Sd findet 13 einträge @ daniel http://www.zenerino.ch/computer/software/lowlevel.php Dieser Beitrag wurde am 30.07.2004 um 17:55 Uhr von pzz editiert.
|
|
|
||
30.07.2004, 17:46
Ehrenmitglied
Beiträge: 29434 |
#12
@pzz
fixe O4 - HKLM\..\Run: [Microsoft Update Machine] guard32.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] guard32.exe neustarten #Gehe in die Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice und loesche jeweils auf der rechten Seite der Registry<[Microsoft Update Machine] guard32.exe schliesse die Registry #Loesche guard32.exe MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.07.2004 um 17:47 Uhr von Sabina editiert.
|
|
|
||
30.07.2004, 22:15
Member
Themenstarter Beiträge: 23 |
#13
ok guard ist nicht mehr da aber dafür aber dafür:
Norton: svchosting.exe ist zurück: Bloodhound.packed ftpupd.exe: W32.Korgo.S x[1].exe: W32.Korgo.S W32.Spybot.Worm escan: ntsystem.exe: backdoor.Rbot.gen besonders die hier!? BridgeX.dll: TrojanDownloader.Win32.a motor[1].exe TrojanDownloader.Win32.Small.qd over[1].exe und mt[2].exe haben auch den ´´Small.qd das krasseste: browser ging garnicht mehr und speedmanager zeigte einen upload von 9000 - 10200 kb !!! das stimmt wahrscheinlich nicht aber wie gesagt der Browser ging garnicht mehr und der comp hatte eine auslastung von 100 % und zwar wegen einer neuen dat namens mswork.exe ausserdem hab ich 3 neue anwendungen die kommen. als Symbol haben sie einen Strichcode und heissen mot ovr und demtee2 . wenn ich die letzte starte stratet sich der int.explorer und ich werde auf die http://404.cjb.net/ Logfile of HijackThis v1.98.0 Scan saved at 22:15:12, on 30.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\taskmgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe C:\Dokumente und Einstellungen\IS\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://oldgamechathere.cjb.net/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [mswork Service] mswork.exe O4 - HKLM\..\RunServices: [mswork Service] mswork.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [mswork Service] mswork.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db O17 - HKLM\System\CCS\Services\Tcpip\..\{7E33CAE5-A2D4-47C1-A2F2-95C604EB6611}: NameServer = 217.237.151.97 194.25.2.129 |
|
|
||
30.07.2004, 22:22
Member
Beiträge: 441 |
#14
@ pzz
Fixe diese Einträge: O4 - HKLM\..\Run: [mswork Service] mswork.exe O4 - HKLM\..\RunServices: [mswork Service] mswork.exe O4 - HKCU\..\Run: [mswork Service] mswork.exe Überprüfe diese mswork.exe bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 30.07.2004 um 23:12 Uhr von Cidre editiert.
|
|
|
||
31.07.2004, 02:01
Member
Themenstarter Beiträge: 23 |
#15
hab mir die kaspersky 5.0 trail geladen weil man online nur einzelne dats scanen und ich msworks.exe NICHT FINDEN kann.
hat ne menge gefunden aber nach 2. neustart Logfile of HijackThis v1.98.0 Scan saved at 01:49:42, on 31.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\mswork.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Dokumente und Einstellungen\IS\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://oldgamechathere.cjb.net/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [mswork Service] mswork.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\RunServices: [mswork Service] mswork.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [mswork Service] mswork.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db |
|
|
||
ich hab ein riesiges problem mit spyware viren...
ich kann zwar manchen davon Löschen aber es bleibt trotzdem immer irgendwas auf meinem rechner. Sogar nach ner Formatierung!!
Ich habs auch schon mit lowlevel und mit einer kompletten `0` beschreibung mit software vom festplattenhersteller probiert, hatt alles nicht viel gebracht nach der formatierung verbraucht svchost.exe 100% der Prozessor leistung.
Nach neustart sind alle möglichen viren und Spyware wieder da.
kann mir da irgendeiner helfen???
Logfile of HijackThis v1.98.0
Scan saved at 22:01:21, on 23.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\II\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.casinopalazzo.com/index.php?sourceid=102920
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{88287BC5-11B3-41CE-B248-9DE76460B995}: NameServer = 217.237.151.97 194.25.2.129