Home » Viren, Trojaner & Malware Forum » [Microsoft Update Time] wuam.exe » Themenansicht

[Microsoft Update Time] wuam.exe
#0
19.08.2004, 00:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1 LOG VON @Glehn

Tach auch,

habe mir wohl einen Trojaner eingefangen, dadurch habe ich wahrscheinlich nur noch ISDN Speed anstatt DSL!!!!
Habe schon AntiVir drüberlaufen lassen und es kann den Trojaner nicht löschen weil es ein Archiv ist oder so.
Kann mir jemand helfen?????

Habs schon mal gescant.

Logfile of HijackThis v1.98.2
Scan saved at 19:30:55, on 18.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

MfG
Glehn

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\winusb.exe
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Andretti\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft DirectX] firefox.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [win update] wupda32.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Zone Alarm] vsmon.exe
O4 - HKLM\..\Run: [Microsoft AUT Update] MSlti32.exe
O4 - HKLM\..\Run: [WIN USB 2.0] winusb.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\RunServices: [Microsoft DirectX] firefox.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [win update] wupda32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Zone Alarm] vsmon.exe
O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe
O4 - HKLM\..\RunServices: [WIN USB 2.0] winusb.exe
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [win update] wupda32.exe
O4 - HKCU\..\Run: [WIN USB 2.0] winusb.exe
O4 - HKCU\..\Run: [Microsoft AUT Update] MSlti32.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.08.2004 um 00:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.08.2004, 00:13
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Hi @Glehn

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Ohne Garantie, dass der Computer nach der Reinigung noch funktioniert......
Neuaufsetzen waere besser......

#Fixe
O4 - HKLM\..\Run: [Microsoft DirectX] firefox.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [win update] wupda32.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Microsoft AUT Update] MSlti32.exe
O4 - HKLM\..\Run: [WIN USB 2.0] winusb.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] firefox.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [win update] wupda32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe
O4 - HKLM\..\RunServices: [WIN USB 2.0] winusb.exe
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [win update] wupda32.exe
O4 - HKCU\..\Run: [WIN USB 2.0] winusb.exe
O4 - HKCU\..\Run: [Microsoft AUT Update] MSlti32.exe


neustarten

#Lade den Stinger
http://vil.nai.com/vil/stinger/

#Lade eScan (entpacke in C:\bases
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

---Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird)

Und poste das neue Log noch mal.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.08.2004 um 00:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.08.2004, 03:04
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#3 Habe alles so gemacht wie beschrieben.
Hier die Virus Log Information:

[0x00000350] 19/08/2004 18:13:12:390 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com
[0x00000350] 19/08/2004 18:13:12:406 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x00000350] 19/08/2004 18:13:14:937 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x00000350] 19/08/2004 18:13:14:937 :[msvLclnt.dll]Mode ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x00000350] 19/08/2004 18:13:14:937 :[msvLclnt.dll]TimeOut : ffffffff
[0x00000350] 19/08/2004 18:13:14:937 :[msvLclnt.dll]Priority : NORMAL
[0x00000350] 19/08/2004 18:13:15:531 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x000003fc] 19/08/2004 18:16:04:765 :[msvLclnt.dll][00000001] File C:\WINDOWS\System32\wupdate.dat infected by Backdoor.SdBot.kn
[0x000003fc] 19/08/2004 18:16:05:156 :[msvLclnt.dll][00000001] File C:\WINDOWS\System32\wupdate.dat infected by Backdoor.SdBot.kn
[0x000003fc] 19/08/2004 18:18:01:781 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Andretti\wupdate.dat infected by Backdoor.SdBot.kn
[0x000003fc] 19/08/2004 18:18:02:140 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Andretti\wupdate.dat infected by Backdoor.SdBot.kn
[0x000003fc] 19/08/2004 18:23:21:140 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2FYLUBE7\MediaTicketsInstaller.cab infected by not-a-virus:AdvWare.MediaTickets.c
[0x000003fc] 19/08/2004 18:23:21:171 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2FYLUBE7\MediaTicketsInstaller.cab infected by not-a-virus:AdvWare.MediaTickets.c
[0x000003fc] 19/08/2004 18:33:46:281 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\firefox.VIR infected by Backdoor.SdBot.jt
[0x000003fc] 19/08/2004 18:33:46:640 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\firefox.VIR infected by Backdoor.SdBot.jt
[0x000003fc] 19/08/2004 18:33:47:031 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\firefox.VIR00 infected by Backdoor.SdBot.jt
[0x000003fc] 19/08/2004 18:33:47:359 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\firefox.VIR00 infected by Backdoor.SdBot.jt
[0x000003fc] 19/08/2004 18:33:47:593 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\snlogsvc.VIR infected by Backdoor.Rbot.gen
[0x000003fc] 19/08/2004 18:33:47:843 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\snlogsvc.VIR infected by Backdoor.Rbot.gen
[0x000003fc] 19/08/2004 18:33:48:390 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\VSMON.EXE.VIR infected by Backdoor.Rbot.gen
[0x000003fc] 19/08/2004 18:33:48:906 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\VSMON.EXE.VIR infected by Backdoor.Rbot.gen
[0x000003fc] 19/08/2004 18:33:49:109 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\WUAM.EXE.001 infected by Backdoor.Spyboter.cf
[0x000003fc] 19/08/2004 18:33:49:234 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\WUAM.EXE.001 infected by Backdoor.Spyboter.cf
[0x000003fc] 19/08/2004 18:33:49:390 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\WUAM.EXE.002 infected by Backdoor.Spyboter.cf
[0x000003fc] 19/08/2004 18:33:49:515 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\WUAM.EXE.002 infected by Backdoor.Spyboter.cf
[0x000003fc] 19/08/2004 18:33:49:671 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\WUAM.EXE.003 infected by Backdoor.Spyboter.cf
[0x000003fc] 19/08/2004 18:33:49:796 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\WUAM.EXE.003 infected by Backdoor.Spyboter.cf
[0x000003fc] 19/08/2004 18:33:49:953 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\WUAM.EXE.VIR infected by Backdoor.Spyboter.cf
[0x000003fc] 19/08/2004 18:33:50:078 :[msvLclnt.dll][00000001] File D:\Programme\AVPersonal\INFECTED\WUAM.EXE.VIR infected by Backdoor.Spyboter.cf
[0x000003fc] 19/08/2004 18:34:42:718 :[msvLclnt.dll][00000001] File D:\Programme\INFECTED\rjelgwi.VIR infected by Worm.Win32.Padobot.m
[0x000003fc] 19/08/2004 18:34:42:734 :[msvLclnt.dll][00000001] File D:\Programme\INFECTED\rjelgwi.VIR infected by Worm.Win32.Padobot.m
[0x000003fc] 19/08/2004 18:34:42:765 :[msvLclnt.dll][00000001] File D:\Programme\INFECTED\yyvltl.VIR infected by Worm.Win32.Padobot.n
[0x000003fc] 19/08/2004 18:34:42:781 :[msvLclnt.dll][00000001] File D:\Programme\INFECTED\yyvltl.VIR infected by Worm.Win32.Padobot.n
[0x000003fc] 19/08/2004 18:54:48:968 :[msvLclnt.dll][ScanFile] kavScanAndCleanFile Failed. Function returns [80070057] [E_INVALIDARG]
[0x000003fc] 19/08/2004 18:54:49:015 :[msvLclnt.dll]Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist.

[0x000003fc] 19/08/2004 18:54:49:015 :[msvLclnt.dll]ERROR !!!! ScanFile Function MSV_ScanAndCleanFile FAILS!!! and return [ffffffff]. Reason above
[0x000003fc] 19/08/2004 19:02:02:796 :[msvLclnt.dll][00000001] File G:\Overnet\incoming\Win RAR 8.0 deutsch.exe infected by not-a-virus:RiskWare.Monitor.Perflogger.k
[0x000003fc] 19/08/2004 19:14:08:250 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x00000350] 19/08/2004 19:31:50:546 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19


Zweiter Log folgt! Zuviel Zeichen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2004, 03:04
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 und dann noch den Hijackthis Log:
Logfile of HijackThis v1.98.2
Scan saved at 19:41:13, on 19.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
D:\Programme\RAM Defrag V2.55\RAM_DEFRAG.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Andretti\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RAM_DEFRAG] "D:\Programme\RAM Defrag V2.55\RAM_DEFRAG.EXE"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [win update] wupda32.exe
O4 - HKCU\..\Run: [Microsoft AUT Update] MSlti32.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{498BE8BA-E15A-4BC1-860C-90F0FE2C1283}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{498BE8BA-E15A-4BC1-860C-90F0FE2C1283}: NameServer = 217.237.150.97 194.25.2.129

Ich hoffe das war es, hat nämlich ganz schön lange gadauert.

MfG
Glehn
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2004, 03:07
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#5 fixe

O4 - HKCU\..\Run: [win update] wupda32.exe
O4 - HKCU\..\Run: [Microsoft AUT Update] MSlti32.exe............W32/Rbot-X

neustarten

1)Deinstalliere den Antivirus (ist verseucht)...deshalb kann der <eScann< nichts loeschen

---gehe in den abgesicherten Modus

Gehe in die Registry
Start<Ausfuehren<regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft AUT Update = MSlti32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft AUT Update = MSlti32.exe
and delete them if they exist.
Each user has a registry area named HKEY_USERS\[code number indicating user]\. For each user locate the entry:
HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\Microsoft AUT Update = MSlti32.exe

neustarten
und wieder in den abgesicherten Modus:

#loesche:manuell:
<C:\WINDOWS\System32\wupdate.dat
<C:\Dokumente und Einstellungen\Andretti\wupdate.dat
<wupda32.exe
<MSlti32.exe
<C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2FYLUBE7\MediaTicketsInstaller.cab
loesche auch manuell alles, falls es nach dem Deinstallieren von Antivirus noch drauf ist:
z.B.
D:\Programme\AVPersonal\INFECTED\WUAM.EXE
z.B.
D:\Programme\INFECTED\rjelgwi.VIR

#scanne noch mal mit mwav.exe

normal neustarten

Poste wieder das Virenlog und das Log vom HijackThis

#mache Onlinescanns
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/com/
..........................................................................................................

Wenn du den Wurm nicht wegbekommst, musst du wohl neu installieren.
Dazu holst du dir dann Tipps bei @Cidre.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.08.2004 um 03:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
24.08.2004, 01:26
Glehn
...neu hier

Beiträge: 5
#6 Hier der Viren Log:

[0x0000055c] 24/08/2004 00:02:41:562 :[msvLclnt.dll]The function failed.
[0x0000055c] 24/08/2004 00:02:41:609 :[msvLclnt.dll]ERROR!!! Function CancelScan Fails return 80004005 and Reason above
[0x000005c0] 24/08/2004 00:02:42:062 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x0000055c] 24/08/2004 00:02:54:921 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x000007d0] 24/08/2004 00:03:18:859 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com
[0x000007d0] 24/08/2004 00:03:18:859 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x000007d0] 24/08/2004 00:03:21:296 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x000007d0] 24/08/2004 00:03:21:296 :[msvLclnt.dll]Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x000007d0] 24/08/2004 00:03:21:296 :[msvLclnt.dll]TimeOut : ffffffff
[0x000007d0] 24/08/2004 00:03:21:296 :[msvLclnt.dll]Priority : NORMAL
[0x000007d0] 24/08/2004 00:03:21:859 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x00000150] 24/08/2004 00:03:40:468 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x000007d0] 24/08/2004 00:03:43:781 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x00000328] 24/08/2004 00:04:39:234 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x000007d0] 24/08/2004 00:04:41:859 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x00000338] 24/08/2004 00:08:37:500 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com
[0x00000338] 24/08/2004 00:08:37:515 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x00000338] 24/08/2004 00:08:41:625 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x00000338] 24/08/2004 00:08:41:625 :[msvLclnt.dll]Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x00000338] 24/08/2004 00:08:41:625 :[msvLclnt.dll]TimeOut : ffffffff
[0x00000338] 24/08/2004 00:08:41:625 :[msvLclnt.dll]Priority : NORMAL
[0x00000338] 24/08/2004 00:08:42:281 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x000003dc] 24/08/2004 00:51:21:281 :[msvLclnt.dll][ScanFile] kavScanAndCleanFile Failed. Function returns [80070057] [E_INVALIDARG]
[0x000003dc] 24/08/2004 00:51:21:312 :[msvLclnt.dll]Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist.

[0x000003dc] 24/08/2004 00:51:21:312 :[msvLclnt.dll]ERROR !!!! ScanFile Function MSV_ScanAndCleanFile FAILS!!! and return [ffffffff]. Reason above
[0x000003dc] 24/08/2004 01:10:22:609 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19
[0x00000338] 24/08/2004 01:12:27:968 :[msvLclnt.dll]VirusCount = 101301 Latest Date = 2004/08/19

Hijackthis Log:

Logfile of HijackThis v1.98.2
Scan saved at 01:21:52, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
D:\Programme\RAM Defrag V2.55\RAM_DEFRAG.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Dokumente und Einstellungen\Andretti\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SuperBar - {136A9D1D-1F4B-43D4-8359-6F2382449255} - C:\Programme\_SUPERBAR\_SUPERBAR.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SuperBar - {325F48CA-7542-4658-8776-FF89197E12B2} - C:\Programme\_SUPERBAR\_SUPERBAR.dll
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [RAM_DEFRAG] "D:\Programme\RAM Defrag V2.55\RAM_DEFRAG.EXE"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [My Search Bar Eq] "C:\Programme\MySearch\bar\s4bareq.exe" /r
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ebates - file://C:\Programme\EbatesMoeMoneyMaker\System\Temp\ebates_script0.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{498BE8BA-E15A-4BC1-860C-90F0FE2C1283}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{498BE8BA-E15A-4BC1-860C-90F0FE2C1283}: NameServer = 217.237.150.97 194.25.2.129
Seitenanfang Seitenende
24.08.2004, 13:17
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#7 Hallo @Glehn, wo hast du dich im Net "rumgetrieben " ???? ;)

fixe
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: SuperBar - {136A9D1D-1F4B-43D4-8359-6F2382449255} - C:\Programme\_SUPERBAR\_SUPERBAR.dll
O3 - Toolbar: SuperBar - {325F48CA-7542-4658-8776-FF89197E12B2} - C:\Programme\_SUPERBAR\_SUPERBAR.dll
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [My Search Bar Eq] "C:\Programme\MySearch\bar\s4bareq.exe" /r
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

neustarten

#deinstalliere
C:\Programme\_SUPERBAR\_SUPERBAR.dll
C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
C:\WINDOWS\System32\P2P
C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

#Wenn es deinstalliert ist, suchst du mit der Suchfunktion von Windows:
SUPERBAR.dll
S4BAR.DLL
PERFEC~1.DLL
windows\system32\1cd_clint.dll
NPMYWAY.DLL in Programme\MyWay\mybar\1.bin
TopSearch.dll in Programme\Kazaa.

Dann lade Antispyware-tools und scanne
AdAware (free)
http://www.lavasoft.de/support/download/

Spybot
http://www.safer-networking.org/de/download/index.html

Spysweeper(free)
http://www.spysweeper.com/

#loesche die mwav.exe und alles vom <eScan< (ist zerstoert)
Dann lade das Tool neu und scanne.
http://www.mwti.net/antivirus/free_utilities.asp
Poste dann das Virenlog vom escan und das Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.08.2004 um 13:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.08.2004, 00:41
Glehn
...neu hier

Beiträge: 5
#8 Hallo Sabina,
hier die Logs:
Logfile of HijackThis v1.98.2
Scan saved at 00:39:53, on 28.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
D:\Programme\RAM Defrag V2.55\RAM_DEFRAG.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andretti\LOKALE~1\Temp\Rar$EX00.515\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
R3 - Default URLSearchHook is missing
O2 - BHO: NavErrRedir Class - {00d6a7e7-4a97-456f-848a-3b75bf7554d7} - (no file)
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {325F48CA-7542-4658-8776-FF89197E12B2} - (no file)
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RAM_DEFRAG] "D:\Programme\RAM Defrag V2.55\RAM_DEFRAG.EXE"
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{498BE8BA-E15A-4BC1-860C-90F0FE2C1283}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{498BE8BA-E15A-4BC1-860C-90F0FE2C1283}: NameServer = 217.237.150.97 194.25.2.129


eScan:
[0x0000013c] 27/08/2004 04:14:04:062 :[msvLclnt.dll]ModuleName = C:\Bases\mwav\mwavscan.com
[0x0000013c] 27/08/2004 04:14:04:062 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x0000013c] 27/08/2004 04:14:04:703 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x0000013c] 27/08/2004 04:14:04:718 :[msvLclnt.dll]Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x0000013c] 27/08/2004 04:14:04:718 :[msvLclnt.dll]TimeOut : ffffffff
[0x0000013c] 27/08/2004 04:14:04:718 :[msvLclnt.dll]Priority : NORMAL
[0x0000013c] 27/08/2004 04:14:05:046 :[msvLclnt.dll]VirusCount = 101060 Latest Date = 2004/08/27
[0x000006b4] 27/08/2004 14:15:45:406 :[msvLclnt.dll]ModuleName = C:\Bases\mwav\mwavscan.com
[0x000006b4] 27/08/2004 14:15:45:406 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x000006b4] 27/08/2004 14:15:46:125 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x000006b4] 27/08/2004 14:15:46:125 :[msvLclnt.dll]Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x000006b4] 27/08/2004 14:15:46:125 :[msvLclnt.dll]TimeOut : ffffffff
[0x000006b4] 27/08/2004 14:15:46:125 :[msvLclnt.dll]Priority : NORMAL
[0x000006b4] 27/08/2004 14:15:46:531 :[msvLclnt.dll]VirusCount = 101060 Latest Date = 2004/08/27
[0x00000380] 27/08/2004 14:50:39:265 :[msvLclnt.dll]VirusCount = 101060 Latest Date = 2004/08/27
[0x000006b4] 27/08/2004 14:52:08:343 :[msvLclnt.dll]VirusCount = 101060 Latest Date = 2004/08/27
Seitenanfang Seitenende
28.08.2004, 00:57
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#9 @Glehn
So langsam hast du wieder einen PC ;)

FIXE
O2 - BHO: NavErrRedir Class - {00d6a7e7-4a97-456f-848a-3b75bf7554d7} - (no file)
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: (no name) - {325F48CA-7542-4658-8776-FF89197E12B2} - (no file)
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)

neustarten und poste das Log nach dem Neustart und deaktivieren\aktivieren der
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Wiederherstellung noch mal.

#mache alle diese Scanns und poste das Ergebnis:
http://scan.sygatetech.com/
_____________________________________________________________________
#Denk mal ueber eine Firewall nach (ganz unten ist die Free-Version)
http://www.sygate.de/
Dazugehoeriges Forum:
http://forum.webmart.de/wmmsg.cfm?id=2104181&d=30&a=1&t=2141055

#Lade TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
optimiere\reinige\ den PC (besser nicht die Internet-Optimierungstools verwenden, alles andere ja)

#Lade Firefox als Alternetivbrowser und surfe nur mit ihm.(ist sicherer als der IE)
http://www.firebird-browser.de/
(kannst auch du eine Startseite einstellen)
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 01:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.08.2004, 02:14
Glehn
...neu hier

Beiträge: 5
#10 @Sabina,

gibt´s eigentlich auch eine Zusammenfassung des Scans ????

mfg
Glehn
Seitenanfang Seitenende
28.08.2004, 02:18
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#11 @Glehn
Am Ende von jedem Scann wird eine Einschaetzung gegeben.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 02:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.08.2004, 02:36
Glehn
...neu hier

Beiträge: 5
#12 Results from scan of commonly used trojans at TCP/IP address: 217.226.46.209

Service Ports Status Possible Trojans
Trojan 1243 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 1999 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 6776 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 7789 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 12345 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 31337 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 54320 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 54321 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Results from scan of ICMP at TCP/IP address: 217.226.46.209


Protocol Type Status Additional Information
ICMP 8 OPEN An ICMP ping request is usually used to test Internet access. However, an attacker can use it to determine if your computer is available and what OS you are running. This gives him valuable information when he is determining what type of attack to use against you

Trojan 5000 OPEN Bubbel, Back Door Setup, Sockets de Troie

Location Service 135 OPEN Microsoft relies upon DCE Locator service (RPC) to remotely manage services like DHCP server, DNS server and WINS server.

Server Message Block 445 OPEN In Windows 2000, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NBT.

Results from UDP scan of commonly used trojans at IP address: 217.226.46.209
Service Ports Status Possible Trojan
Trojan 6776 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 12345 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 20034 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 31337 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 54320 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Trojan 54321 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
You are not fully protected:
We have detected that some of our probes connected with your computer.
Seitenanfang Seitenende
28.08.2004, 02:50
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#13 Morgen antworte ich dir auf diese Scannergebnisse.
Bis morgen
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 11:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.08.2004, 11:31
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#14 Hallo @Glehn

Dein PC steht offen wie ein Scheunentor ( ;) ) Zahlreiche Ports, die von Trojanerrn genutzt werden, stehen sperrangelweit offen !

#Lade unbedingt die Firewall Sygate (ganz unten ist die Free-Version)
http://www.sygate.de/
Dazugehoerige Konfigurationsanleitung:
http://forum.webmart.de/wmmsg.cfm?id=2104181&d=30&a=1&t=2141055

Dann mache die Test noch mal und poste das Ergebnis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 11:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.08.2004, 12:28
spunki
Member

Beiträge: 1516
#15 Bei Closed ist alles in bester Ordnung. Allerdings hast du recht, wenn ein Server gestartet wird, ist er von ausen erreichbar. Port 5000,135,445 sollten möglichst nicht aus dem Internet erreichbar sein. Entweder du entfernst sie (Anleitung auf dem Board), installierst eine Firewall oder installierst Service Pack2.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12