Trojaner wuauclt.exe und integrator.exe |
||
|---|---|---|
| #0
| ||
|
15.09.2004, 17:17
Member
Beiträge: 14 |
||
 
|
|
|
|
16.09.2004, 13:27
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo @Ziehler
1.Hast du <SIS-Treiber installiert< installiert ? 2.C:\PROGRAMME\GEIZKRAGEN\_GEIZKRAGEN.EXE ist ein Dialer (gewollt ??) ........................................................................................................ Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. Poste danach Virus Log Information. und das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.09.2004 um 13:39 Uhr von Sabina editiert.
|
|
|
|
|
|
|
17.09.2004, 12:37
Member
Themenstarter Beiträge: 14 |
#3
Hi Sabina,
was ist SIS-Treiber??? keine Ahnung ob ich sowas installiert habe. Geizkragen ist gewollt. __________ ---------- ...und jetzt machen wir alle zusammen FENG-SHUI |
|
|
|
|
|
|
17.09.2004, 14:02
Ehrenmitglied
Beiträge: 29434 |
#4
Hi@Ziehler
Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. Poste danach Virus Log Information. und das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
18.09.2004, 09:27
Member
Themenstarter Beiträge: 14 |
#5
Hi, hab alles gemacht.
Logfile of HijackThis v1.98.2 Scan saved at 09:17:50, on 18.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\S3hotkey.exe C:\WINDOWS\system32\S3tray2.exe C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\dcfssvc.exe C:\Programme\AMD\PowerNow!\GemServ.exe C:\Programme\AMD\PowerNow!\gemback.exe C:\WINDOWS\System32\ircomm2k.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Owner\Eigene Dateien\Communication\Downloads\Sicherheit und Reinigung\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab File C:\WINDOWS\system32\drivers\svchost.exe infected by "Worm.Win32.Welchia.e" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Owner\Eigene Dateien\Communication\Downloads\EXES\PENG.EXE tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken. File C:\Dokumente und Einstellungen\Owner\Eigene Dateien\Communication\Downloads\EXES\SHEEP.EXE tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken. File C:\Dokumente und Einstellungen\Owner\Eigene Dateien\Communication\Downloads\EXES\u-bahn[1].exe tagged as not-a-virus:Joke.Win32.RideRoof. No Action Taken. File C:\Dokumente und Einstellungen\Owner\Eigene Dateien\Communication\Downloads\freibier.zip tagged as not-a-virus:Joke.Win32.FreiBier. No Action Taken. File C:\Dokumente und Einstellungen\Owner\Eigene Dateien\Communication\Fels\metro[1].exe tagged as not-a-virus:Joke.Win32.RideRoof. No Action Taken. File C:\Programme\AVPersonal\INFECTED\SVCHOST.EXE.VIR infected by "Worm.Win32.Welchia.e" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\!IMPORTANT!.EXE.VIR infected by "I-Worm.Cissi.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{74E7C293-D9DB-4878-AB37-89BBC7F633C6}\RP85\A0088333.exe infected by "I-Worm.Cissi.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{74E7C293-D9DB-4878-AB37-89BBC7F633C6}\RP93\A0101690.exe infected by "Worm.Win32.Welchia.e" Virus. Action Taken: File Deleted. woher kommen denn die Viren? Antivir und Kerio sind doch aktuell! __________ ---------- ...und jetzt machen wir alle zusammen FENG-SHUI |
|
|
|
|
|
|
18.09.2004, 11:24
Ehrenmitglied
Beiträge: 29434 |
#6
Hi@Ziehler
W32/Nachi-E:\Worm.Win32.Welchia.e Der Wurm verbindet sich mit zufälligen IP-Adressen an Port 135 oder 445 und nutzt die Buffer-Overflow-Schwachstellen, um eine kleine Menge Code auf Computern auszuführen, die nicht gepatcht sind. Der Buffer-Overflow-Code lädt den Wurm herunter und startet ihn. Der Wurm ermöglicht, dass er über einen zufälligen Port über 1024 heruntergeladen wird. Der Wurm verbreitet sich auf Computer an zufälligen IP-Adressen, die mit W32/MyDoom-A infiziert sind, mittels einer Backdoor-Komponente, die von W32/MyDoom-A installiert wurde und die Zugriff auf Port 3127 ermöglicht. Wenn er erstmals ausgeführt wird, kopiert sich der Wurm nach <system>\drivers\svchost.exe und erstellt einen neuen Dienst namens "WksPatch", für den der Starttyp auf Automatisch eingestellt ist, so dass der Dienst automatisch bei jedem Start von Windows aktiv wird. http://www.sophos.de/virusinfo/analyses/w32nachie.html Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. UEBERPRUEFEN ! #Windows-Dienste abschalten"! http://www.dingens.org/ ............................................................................................................................... 1.Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 2.ALTERNATIVBROWSER : zum IE #Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe 3.#RegSupreme: http://www.computerbase.de/downloads/software/systemprogramme/regsupreme/ RegSupreme Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt. Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann. 4. Deinstalliere den Antivirus und lade ihn neu. #Antivirus (free) http://www.free-av.de/ 5.schwere Sicherheitslücke in Windows XP SP2 http://www.pcwelt.de/news/sicherheit/103013/index.html Wählen Sie dazu aus der Systemsteuerung "Windows-Firewall", dort die Registerkarte "Ausnahmen". Markieren Sie hier "Datei- und Druckdienste" und klicken Sie den Button "Bearbeiten". Nun sehen Sie vier Ports, die von der Datei- und Druckerfreigabe verwendet werden. Um Sie nach außen zu sperren und nur im internen LAN zuzulassen, müssen Sie jeden einzeln markieren und über den entsprechenden Button seinen Bereich ändern. Unserem Leser Yves Jerschow verdanken wir folgenden Warnhinweis: Hier lauert ein weiterer Bug, und der Wert für den voreingestellten Bereich "Nur für eigenes Netzwerk (Subnetz)" funktioniert nur dann, wenn die Internetverbindungsfreigabe aktiviert ist. Ist das nicht der Fall, sind Ihre Freigaben weltweit sichtbar. Abhilfe schaffen Sie, indem Sie jeweils "Benutzerdefinierte Liste" wählen und hier die IP-Adressen, also die Ihres LANs, eintragen, die wirklich Zugriff haben sollen. Einen ganzen IP-Bereich tragen Sie übrigens als "192.168.x.0/255.255.255.0" ein, wenn die zugehörigen Adressen mit 192.168.x beginnen. Nach diesen Maßnahmen haben Sie dann wieder die Sicherheit, die vor SP1 vorhanden war _______________________________________________________________________________________________________ #Nach allem scanne noch mal mit mwav.exe im Normalmodus und poste das Virenlog. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 11:39 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.09.2004, 13:49
Member
Themenstarter Beiträge: 14 |
#7
So,
wieder alles erledigt. eScan ist clean. Surfen tu ich eh mit mozilla. hjt Logfile of HijackThis v1.98.2 Scan saved at 12:23:07, on 18.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\drivers\dcfssvc.exe C:\WINDOWS\system32\S3hotkey.exe C:\Programme\AMD\PowerNow!\GemServ.exe C:\WINDOWS\system32\S3tray2.exe C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\ircomm2k.exe C:\Programme\AMD\PowerNow!\gemback.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Dokumente und Einstellungen\Owner\Eigene Dateien\Communication\Downloads\Sicherheit und Reinigung\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab Muß ich wenn regsupreme gelaufen ist die 1074 einträge die er aufschreibt alle markieren und dann entfernen? Soll ich mich das trauen? mein laptop hängt nicht am netzwerk. was soll ich denn für IP's eintragen bei diesem Windows-Firewall Bug? @sabina du bist ein schatz __________ ---------- ...und jetzt machen wir alle zusammen FENG-SHUI |
|
|
|
|
|
|
18.09.2004, 15:58
Ehrenmitglied
Beiträge: 29434 |
#8
Hi@Ziehler
 #Sicherheitslücke in Windows XP SP2 Der PC muss lediglich für ein internes LAN Freigaben zur Verfügung stellen Bei einem Einzelplatzrechner besteht wahrscheinlich keine Gefahr (?) #regsupreme Wenn du auf die Eintraege klickst<loeschen, erstellt das Tool erstellt als erstes eine Sicherungsdatei der Registry, Wenn du aufgefordert wirst, der Datei einen Namen zu vergeben,denk dir einen schoenen aus. Falls es dann spaeter Probleme geben sollte, kannst du mit Hilfe dieser Datei alles wieder in den urspruenglichen Zustand versetzen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 16:00 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.09.2004, 16:28
Member
Beiträge: 48 |
||
|
|
|
|
|
18.09.2004, 16:41
Ehrenmitglied
Beiträge: 29434 |
#10
Zitat boghog posteteMit solchen "hingestreuten" Aussagen kann ich nicht viel anfangen. Poste bitte das Log vom HijackThis dazu. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 16:42 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.09.2004, 16:48
Member
Beiträge: 48 |
#11
hi sabina,
ok sry, bei sowas verlier ich den verstand , kann sein dass ichs schon gelöscht hab, und glaub hijack sieht nix gut aus :-O, viel zu kurz.hier mein hijack: Logfile of HijackThis v1.98.2 Scan saved at 16:45:56, on 18.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\ups.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\MegachAos\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O17 - HKLM\System\CCS\Services\Tcpip\..\{BAB323A5-B6B4-4F3F-8976-221C6B744459}: NameServer = 217.237.151.97 217.237.150.33 |
|
|
|
|
|
|
18.09.2004, 16:56
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo @boghog
Fixe: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com neustarten 1.Loesche: C:\WINDOWS\System32\ups.exe 2.Deaktivieren Wiederherstellung XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 3)Hoster-Tool laden und die Hosts-Datei wieder in den Originalzustand versetzen http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 4)Antivirus (free http://www.free-av.de/ konfiguriere:"alle Dateien"und "Heuristik:mittel" im Scanner und im Guard und mache im abgesicherten Modus und im Normalmodus einen Komplettscann. Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 16:58 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.09.2004, 17:50
Member
Beiträge: 48 |
#13
hi sabina,
jo Respekt Respekt³  geht wieder, thx  greetz and kisses boghog Dieser Beitrag wurde am 19.09.2004 um 14:01 Uhr von boghog editiert.
|
|
|
|
|
|
|
19.09.2004, 18:07
Member
Beiträge: 48 |
#14
hallo,
ist da alles ok bei mir? Erstellungsdatum der Reportdatei: Sonntag, 19. September 2004 17:48 AntiVir®/XP (2000 + NT) Personal Edition v6.27.00.03 vom 18.08.2004 VDF-Datei v6.27.0.67 (0) vom 18.09.2004 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 90547 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ EMail ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 1) Benutzername: MegachAos Prozessor: Pentium Arbeitsspeicher: 261616 KB frei Versionsinformationen: AVWIN.DLL : v6.27.00.00 524328 17.08.2004 15:01:46 AVEWIN32.DLL : v6.27.0.4 565760 05.08.2004 17:16:28 AVGNT.EXE : v6.27.00.00 122920 30.07.2004 10:03:22 AVGUARD.EXE : v6.27.00.02 237608 04.08.2004 12:35:34 GUARDMSG.DLL : v6.26.00.04 106536 04.08.2004 12:35:34 AVGCMSG.DLL : v6.27.00.00 253992 30.07.2004 09:23:56 AVGNTDD.SYS : v6.26.00.07 34016 25.05.2004 18:35:04 AVPACK32.DLL : v6.22.00.24 299048 09.06.2004 16:05:52 AVGETVER.DLL : v6.22.00.00 24576 20.01.2004 14:13:58 AVWIN.DLL : v6.27.00.00 524328 17.08.2004 15:01:46 AVSHLEXT.DLL : v6.22.00.00 57344 20.01.2004 14:14:00 AVSched32.EXE : v6.23.00.00 110632 20.01.2004 14:13:58 AVSched32.DLL : v6.23.00.00 122880 20.01.2004 14:14:00 AVREG.DLL : v6.27.00.01 41000 04.08.2004 12:15:34 AVRep.DLL : v6.27.00.20 639016 18.09.2004 17:30:18 INETUPD.EXE : v6.27.00.00 200704 02.08.2004 12:54:18 INETUPD.DLL : v6.27.00.00 1425408 02.08.2004 12:54:18 CTL3D32.DLL : v2.31.000 27136 18.08.2001 14:00:00 MFC42.DLL : v6.00.8665.0 995383 18.08.2001 14:00:00 MSVCRT.DLL : v7.0.2600.1106 (xpsp1.020828-1920 MSVCRT.DLL : v7.0.2600.1106 323072 29.08.2002 12:43:26 CTL3DV2.DLL : v2.31.000 27632 14.07.1995 01:43:30 Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [ ] Alle Dateien [X] Programmdateien Endungen: .386 .ACM .ADE .ADP .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PIF .PKG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\MEGACH~1\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom Start des Suchlaufs: Sonntag, 19. September 2004 17:48 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\MegachAos\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5YB07YP cax[1].cab ArchiveType: CAB (Microsoft) --> Ole32ws.inf HINWEIS! Der Archivheader ist defekt --> Ole32ws.dll HINWEIS! Der Archivheader ist defekt C:\Dokumente und Einstellungen\MegachAos\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WBYVG3Y5 MAILNEWS[1].CAB ArchiveType: CAB (Microsoft) --> msoe.chm HINWEIS! Der Archivheader ist defekt --> msoe.hlp HINWEIS! Der Archivheader ist defekt --> msoe50.inf HINWEIS! Der Archivheader ist defekt --> blank.htm HINWEIS! Der Archivheader ist defekt --> citrpun.htm HINWEIS! Der Archivheader ist defekt --> clearday.htm HINWEIS! Der Archivheader ist defekt --> fiesta.htm HINWEIS! Der Archivheader ist defekt --> glacier.htm HINWEIS! Der Archivheader ist defekt --> ivy.htm HINWEIS! Der Archivheader ist defekt --> leaves.htm HINWEIS! Der Archivheader ist defekt --> maize.htm HINWEIS! Der Archivheader ist defekt --> nature.htm HINWEIS! Der Archivheader ist defekt --> netblitz.htm HINWEIS! Der Archivheader ist defekt --> piechts.htm HINWEIS! Der Archivheader ist defekt --> sunflowr.htm HINWEIS! Der Archivheader ist defekt --> sweets.htm HINWEIS! Der Archivheader ist defekt --> tech.htm HINWEIS! Der Archivheader ist defekt --> msoe.dll HINWEIS! Der Archivheader ist defekt --> oeimport.dll HINWEIS! Der Archivheader ist defekt --> inetcomm.dll HINWEIS! Der Archivheader ist defekt --> mapistub.dll HINWEIS! Der Archivheader ist defekt --> msoeres.dll HINWEIS! Der Archivheader ist defekt --> inetres.dll HINWEIS! Der Archivheader ist defekt --> csapi3t1.dll HINWEIS! Der Archivheader ist defekt --> oemiglib.dll HINWEIS! Der Archivheader ist defekt --> fixmapi.exe HINWEIS! Der Archivheader ist defekt --> directdb.dll HINWEIS! Der Archivheader ist defekt --> 9xmig.dll HINWEIS! Der Archivheader ist defekt Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\SoftwareDistribution\EventCache {0E363586-EC3C-4001-B9D9-4A9271228DC3}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! {755EE00F-AE34-471E-BE18-4D95D8205E34}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Ende des Suchlaufs: Sonntag, 19. September 2004 17:59 Benötigte Zeit: 11:16 min 1688 Verzeichnisse wurden durchsucht 16466 Dateien wurden geprüft 8 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden Logfile of HijackThis v1.98.2 Scan saved at 18:05:46, on 19.09.2004 Platform: Windows XP SP1 (WinNT 5.01.**00) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.**06) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\System32\svchost.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\PROGRA~1\MOZILL~2\firefox.exe C:\Dokumente und Einstellungen\MegachAos\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O17 - HKLM\System\CCS\Services\Tcpip\..\{BAB323A5-B6B4-4F3F-8976-221C6B744459}: NameServer = 217.237.151.97 217.237.150.33 |
|
|
|
|
|
|
19.09.2004, 18:09
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo @Boghog
Es ist alles sauber Nun vergiss nicht, das Tool jeden Tag zu updaten. #Firefox (Neue,sicherere Version, allerdings nur in Englisch)) http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe #FIREWALLS, NETZWERK-SICHERHEIT UND DIE BÖSEN HACKER http://www.nickles.de/c/s/26-0015-204-1.htm Personal Firewalls http://www.joergkrusesweb.de/internet/sicherheit/index-2.html Such dir eine aus: Kerio Personal Firewall Kerio ist freeware für den privaten Gebrauch. Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal). Agnitum: Outpost Firewall Outpost von Agnitum gibt es auch als free-Version. Outpost Firewall Spezial Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de. Zone Labs ZoneAlarm von Zone Labs ist in der Grundversion kostenlos und besonders für Einsteiger geeignet. Zone Alarm Deutsche Bedienungsanleitung Kleines Manual auf trojaner-info.de, auch zum Download. ......................................................................................................................... PC Selbsttest Mit dem Online-Check des Landesbeauftragten für Datenschutz Niedersachsen kann man seinen Rechner auf potentielle Sicherheitslücken überprüfen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.09.2004 um 18:13 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe wohl trojaner auf meinem laptop. und das trotz neuer antivir-version und neuem kerio.
habe mal einen logfile beigefügt. vielleicht kann mir ja mal jemand helfen.
die prozesse s.o. treten immer mal auf und verschwinden dann wieder. wie bekomme ich die denn für immer ins jenseits?
Logfile of HijackThis v1.98.2
Scan saved at 17:01:54, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\S3tray2.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\WINDOWS\System32\ircomm2k.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Geizkragen\_Geizkragen.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA1.5\MOZILLA.EXE
C:\Dokumente und Einstellungen\Owner\Eigene Dateien\Communication\Downloads\Sicherheit und Reinigung\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6DFC1FF-CDCD-47DD-899F-F5113686DF33}: NameServer = 62.52.12.36 193.189.244.205
danke schon mal
__________
----------
...und jetzt machen wir alle zusammen FENG-SHUI