Hilfe! Problem Mit W32 Randex.gen |
||
---|---|---|
#0
| ||
21.08.2004, 14:21
...neu hier
Beiträge: 7 |
||
|
||
21.08.2004, 14:25
Member
Beiträge: 441 |
#2
Hallo,
erstelle ein Log-File mit HiJackThis und poste es hier rein. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
21.08.2004, 14:31
...neu hier
Themenstarter Beiträge: 7 |
#3
Logfile of HijackThis v1.98.2
Scan saved at 14:31:06, on 21.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe D:\Programme\Norton Personal Firewall\NISUM.EXE D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\System32\msconfg.exe D:\WINDOWS\System32\ctfmon.exe D:\WINDOWS\System32\RUNDLL32.EXE D:\Programme\Messenger\msmsgs.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe D:\Programme\Norton Personal Firewall\ccPxySvc.exe D:\Programme\Norton AntiVirus\navapsvc.exe D:\WINDOWS\System32\nvsvc32.exe D:\Programme\Norton AntiVirus\SAVScan.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE D:\PROGRA~1\ICQLite\ICQLite.exe D:\WINDOWS\explorer.exe D:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe D:\hijackthis1982\HijackThis.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRA~1\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035177123 O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF745D9-998B-4BD4-B846-087D0A849F05}: NameServer = 217.237.150.33 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{7FF745D9-998B-4BD4-B846-087D0A849F05}: NameServer = 217.237.150.33 194.25.2.129 |
|
|
||
21.08.2004, 14:54
Ehrenmitglied
Beiträge: 29434 |
#4
@BaSsI
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 fixe mit dem HijackThis...hake an, was ich poste und <fix<dann sofort neustarten) O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe fixe auch das, damit es aus dem Autostart kommt O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize neustarten #Lade den Stinger http://vil.nai.com/vil/stinger/ ##Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) .................................................................................................................... #Gehe in den abgesicherten Modus..WICHTIG (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #dann scanne mit deinem AntivirenTool-Symantec auch im abgesicherten Modus. normal neustarten #Poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.08.2004 um 14:58 Uhr von Sabina editiert.
|
|
|
||
21.08.2004, 16:53
...neu hier
Themenstarter Beiträge: 7 |
#5
bis jezt hat alles geklappt aber ich finde keine "kavupd.exe" ??
|
|
|
||
21.08.2004, 17:02
Ehrenmitglied
Beiträge: 29434 |
#6
Auch nicht mit der Suchfunktion von Windows ?
Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2004, 17:06
...neu hier
Themenstarter Beiträge: 7 |
#7
Nein ich gehe auch start>>>Suchen>>>dan auf dateien und ordner>>> dan gebe ich kavupd.exe ein und es kommt nichts !!!!
|
|
|
||
21.08.2004, 17:14
Ehrenmitglied
Beiträge: 29434 |
#8
findest du eine mwav.exe ?
Du hast doch hoffentlich vorher den Scanner geladen ?????????(eScan) http://www.mwti.net/antivirus/free_utilities.asp Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.08.2004 um 17:16 Uhr von Sabina editiert.
|
|
|
||
21.08.2004, 17:17
...neu hier
Themenstarter Beiträge: 7 |
#9
Also ich finde die zwei hier
MWAVE.EXE-02A9AAFD.pf MWAVE.EXE-053A58E5.pf und wenn ich upd.exe eingebe kommt eine hsupd.exe Dieser Beitrag wurde am 21.08.2004 um 17:21 Uhr von BaSsI editiert.
|
|
|
||
21.08.2004, 17:21
Ehrenmitglied
Beiträge: 29434 |
#10
MWAVE.EXE-02A9AAFD.pf
MWAVE.EXE-053A58E5.pf wenn du das anklickst...was passiert ? Wenn du das Tool laedst, muesste es auf dem Desktop oder in den Download-Dateien zu finden sein., je nachdem, wohin deine Downloads abgespeichert werden. ............................................................................................................... http://www.mwti.net/antivirus/free_utilities.asp Mit Hilfe von Winzip, Winrar !!!!!!oder vergleichbar muss der Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpackt und dort dann die Datei kavupd.exe ausgeführt werden. In einer DOS-Box laufend werden die neusten Virensignaturen heruntergeladen. Dann kann mit msavscan.com gescannt werden. So braucht man eScan nicht bei jedem Update komplett herunterladen. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.08.2004 um 17:25 Uhr von Sabina editiert.
|
|
|
||
21.08.2004, 17:32
Ehrenmitglied
Beiträge: 29434 |
#11
manuelle Entfernung:Win32.Rbot is an IRC controlled backdoor
Registry Start<Ausfuehren<regedit Loesche auf der rechten Seite: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update = "msconfg.exe". HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update = "msconfg.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update = "msconfg.exe" neustarten loesche: #mutex, 'rx01' l #msconfg.exe Firewall laden (falls du keinen hast) http://smb.sygate.com/products/spf_standard.htm ......................................................................................................... WindowsUpdates machen um folgende Loecher zu "stopfen"(Patches) Microsoft Windows ntdll.dll buffer overflow vulnerability (WebDav vulnerability) (TCP port 80) http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=7287 http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP ports 135, 445, 1025) http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=25454 http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx (supersedes original bulletin MS03-026) Microsoft Windows RPCSS malformed DCOM message buffer overflow vulnerabilities (TCP port 135) http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=25975 http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP port 1433) http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=5705 http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081 Note: The worm tries the same password list as that used for spreading through shares, including a blank password. The SQL server accounts it attempts to log in to are "sa", "root" and "admin". ............................................................................................................................. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.08.2004 um 17:57 Uhr von Sabina editiert.
|
|
|
||
21.08.2004, 17:54
Ehrenmitglied
Beiträge: 29434 |
#12
Deaktiviere deinen Virenscanner (ist wichtig) und lade Antivirus
http://www.free-av.de/ Nach dem Installationsscann, den du in Ruhe abwarten musst, konfiguriere unter <Options< --all file (alle Dateien) --Heuristic: Enable macro virus heuristic (Aktivieren Macro-Virus -Heuristic) --Win 32 File Heuristic Detection :level :high(hoch) Dann gehe in den abgesicherten Modus WICHTIG (!) http://www.bsi.de/av/texte/winsave.htm und mache dort einen Vollscann mit dem Antivirus. dann poste das Log noch mal. mfg __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2004, 12:23
...neu hier
Themenstarter Beiträge: 7 |
#13
Logfile of HijackThis v1.98.2
Scan saved at 12:23:09, on 22.08.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe D:\Programme\Norton AntiVirus\navapsvc.exe D:\Programme\Norton Personal Firewall\NISUM.EXE D:\WINDOWS\System32\nvsvc32.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe D:\Programme\Norton Personal Firewall\ccPxySvc.exe D:\Programme\Norton AntiVirus\SAVScan.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\Dit.exe D:\WINDOWS\mHotkey.exe D:\WINDOWS\system32\ctfmon.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\WINDOWS\DitExp.exe D:\WINDOWS\system32\wpabaln.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE D:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE D:\Programme\Messenger\msmsgs.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe D:\hijackthis1982\HijackThis.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035177123 O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF745D9-998B-4BD4-B846-087D0A849F05}: NameServer = 217.237.150.33 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{7FF745D9-998B-4BD4-B846-087D0A849F05}: NameServer = 217.237.150.33 194.25.2.129 |
|
|
||
22.08.2004, 14:25
Ehrenmitglied
Beiträge: 29434 |
#14
@BaSsI
es ist alles sauber Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.08.2004 um 14:25 Uhr von Sabina editiert.
|
|
|
||
22.08.2004, 14:37
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
ich hab ein prob. mit w32. ICh hab schon einige virescanns gemacht aber er ist immer noch drauf??? Es handelt sich um den W32 Randex.gen.
Der virenscanner sag er sei in der msconfig___????
Brauch dringend HILFE!!!
THX
Bassi