Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
25.03.2005, 12:35
Ehrenmitglied
Beiträge: 29434 |
||
|
||
25.03.2005, 22:39
...neu hier
Beiträge: 3 |
#47
Vielen Dank
Rootkitrevealer hat nix gefunden, genauso wie eScan.. Logfile of HijackThis v1.99.1 Scan saved at 22:38:14, on 25.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\ZoneAlarm\zapro.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Opera\opera.exe C:\Programme\mIRC\mirc.exe C:\Dokumente und Einstellungen\ollek\Desktop\HijackThis.exe O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3F03BE2A-4A50-4839-944B-60E3E212B5AD}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
25.03.2005, 22:43
Ehrenmitglied
Beiträge: 29434 |
#48
ollek
WindowsUpdates installieren Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. [B] Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2005, 04:29
...neu hier
Beiträge: 3 |
#49
Hi @ all und besonderst an dich sabina....
hoffe kannst mir weiterhelfen und zwar hab ich das problem mit msnupl...exe auch jedoch hab ich noch viren auf dem rechner die zb. outlookupdae3779 oder shage~1 zumindest vermute ich das es welche sind jedenfalls versuche ich diese zu entfernen (auch über regedit )werde sie aber nciht looooooos hab norton antivirus + firewall und antivir helfen aber mal nix ... hoffe das du mir helfen kannst hier die liste : Logfile of HijackThis v1.99.1 Scan saved at 04:05:36, on 26.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\Media Pass\MediaPass.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Program Files\Media Pass\MediaPassK.exe C:\WINDOWS\System32\SPOOLER.EXE C:\DOKUME~1\Fabrizio\LOKALE~1\Temp\SAHAGE~1.EXE C:\WINDOWS\ahorrq.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\msnupdate.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE c:\programme\t-online\t-online_software_5\browser\dlman.exe C:\Dokumente und Einstellungen\Fabrizio\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Microsoft ADservice] adservice.exe O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPass.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [NAV Auto Updates] slserver.exe O4 - HKLM\..\Run: [HydraVisionViewPort] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Windows System Gateway ] SPOOLER.EXE O4 - HKLM\..\Run: [McAfee Antivirus Protection] mcafeeAV.exe O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Fabrizio\LOKALE~1\Temp\SAHAGE~1.EXE run O4 - HKLM\..\Run: [q7MBC2g] C:\WINDOWS\ahorrq.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\RunServices: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKLM\..\RunServices: [McAfee Antivirus Protection] mcafeeAV.exe O4 - HKLM\..\RunServices: [Microsoft ADservice] adservice.exe O4 - HKLM\..\RunServices: [NAV Auto Updates] slserver.exe O4 - HKLM\..\RunServices: [Windows System Gateway ] SPOOLER.EXE O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NAV Auto Updates] slserver.exe O4 - HKCU\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKCU\..\Run: [McAfee Antivirus Protection] mcafeeAV.exe O4 - HKCU\..\Run: [Windows System Gateway ] SPOOLER.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BAC73FFF-287C-4C4E-9DB0-7916AB59B7C6}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
|
|
||
26.03.2005, 09:54
Ehrenmitglied
Beiträge: 29434 |
#50
Hallo@italian
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder) Laden Sie die Trial Version von tds-3 anti trojan von hier: http://www.diamondcs.com.au/tds/downloads/tds3setup.exe tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht. #Machen Sie ein Update. http://www.diamondcs.com.au/tds/radius.td3 #Um das Update durchzuführen --> [Rechts-klick] --> speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor installiert haben. Update radius.td3 (Die vorherige Datei radius.td3.wird so ueberschrieben ) #Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster, klicken Sie auf System testing --> full system scan #Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen. Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei). #Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread. --> dann alles loeschen #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKLM\..\Run: [Microsoft ADservice] adservice.exe O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPass.exe O4 - HKLM\..\Run: [NAV Auto Updates] slserver.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [Windows System Gateway ] SPOOLER.EXE O4 - HKLM\..\Run: [McAfee Antivirus Protection] mcafeeAV.exe O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Fabrizio\LOKALE~1\Temp\SAHAGE~1.EXE run O4 - HKLM\..\Run: [q7MBC2g] C:\WINDOWS\ahorrq.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\RunServices: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKLM\..\RunServices: [McAfee Antivirus Protection] mcafeeAV.exe O4 - HKLM\..\RunServices: [Microsoft ADservice] adservice.exe O4 - HKLM\..\RunServices: [NAV Auto Updates] slserver.exe O4 - HKLM\..\RunServices: [Windows System Gateway ] SPOOLER.EXE O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [NAV Auto Updates] slserver.exe O4 - HKCU\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKCU\..\Run: [McAfee Antivirus Protection] mcafeeAV.exe O4 - HKCU\..\Run: [Windows System Gateway ] SPOOLER.EXE PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\UNMT.EXE C:\WINDOWS\ahorrq.exe C:\DOKUME~1\Fabrizio\LOKALE~1\Temp\SAHAGE~1.EXE C:\Program Files\Media Pass\MediaPassK.exe C:\Program Files\Media Pass\MediaPass.exe C:\Program Files\Media Pass\MediaPassC.dll C:\Program Files\Media Pass\Info.txt C:\WINDOWS\temp\USB.exe C:\WINDOWS\temp\oddworldz.exe C:\WINDOWS\temp\istinstall.exe C:\WINDOWS\System32\msnupdate.exe C:\WINDOWS\System32\SPOOLER.EXE C:\WINDOWS\System32\mcafeeAV.exe C:\WINDOWS\System32\MSRSS.exe C:\WINDOWS\System32\slserver.exe C:\WINDOWS\System32\msnupdate.exe C:\WINDOWS\System32\adservice.exe PC neustarten <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS (scanne dann noch mal im abgesicherten Modus) http://www.kaspersky.com/de/removaltools?vtopen=146410248#open •Aktuelle Version der Shareware von F-PROT (DOS) Lade von dieser Seite:(scanne dann noch mal im abgesicherten Modus) http://www.f-prot.com/products/corporate_users/dos/ Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt. •Download NOD32 Antivirus System(scanne dann noch mal im abgesicherten Modus) http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten dann alles loeschen Start--> Ausfuehren--> cmd reinkopieren. cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit bitte posten, was angezeigt wird -------------------------------------------------------------------------- Download RootkitRevealer (270 KB) ** laden: http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml #Download RootkitRevealer (190 KB) #entpacken #RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus Onlinescanns --> dann alles loeschen/im abgesicherten Modus http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp -- WindowsUpdates installieren Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. [B] Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2005, 13:03
...neu hier
Beiträge: 3 |
#51
hey sabina danke für deine ausführliche beschreibung nungut wird ein ganzes stück arbeit zu sp2 auf meinem pc funktioniert er aber vom laptop hab ich ihn nach 3 mal instlaieren und entfernen ganz weggelassen denn trotz hilfe vom windows support hjatte sp2 probleme mit meiner internetverbinung seitenaufbau abgestürtzt usw najamainst du es geht einfacher wenn ich es einfach ncohmal formatiere die festplatte??? wenn eh schon soviele drauf sind ...
|
|
|
||
26.03.2005, 13:42
...neu hier
Beiträge: 3 |
#52
So, Hallo erstmal!
Mein Virenprogramm AntiVir hat mir gestern auch den Trojaner Lowzones.A angezeigt! Jedes mal beim Start werde ich jetzt daraufhingewiesen, da er sich immer neu zu entpacken scheint: aus outlookupdate3778 und outlookupdate 3779 scheinen sich dann re11.reg, re12.reg, blank.html und mtu.bat zu entpacken! Die Dateien zu suchen und zu löschen bringt nichts. Kann mir bitte jemnd helfen? Das Logfile aus Hijackthis habe ich hier auch schon: Logfile of HijackThis v1.99.1 Scan saved at 00:26:51, on 26.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\msnupdate.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\Programme\MSI\Core Center\CoreCenter.exe C:\Programme\MSI\DigiCell\DigiCell.exe C:\Dokumente und Einstellungen\Jannes\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=155473 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [mspd] C:\WINDOWS\System32\mspd.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [YAW starten] "C:\Programme\Jannes\YAW 3.5\fast.exe" O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe O4 - Startup: DigiCell.lnk = C:\Programme\MSI\DigiCell\DigiCell.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/de/soesysinfo.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing) Edit: Rbot oder sowas scheint auch noch auf meinem Pc zu sein =( Vielen Dank im voraus schonmal für die gute Hilfe, die man hier scheinbar immer bekommt! Dieser Beitrag wurde am 26.03.2005 um 13:50 Uhr von KingAbe editiert.
|
|
|
||
26.03.2005, 14:15
Ehrenmitglied
Beiträge: 29434 |
#53
Hallo@italian
ich denke auch.....formatiere... Was tun bei Kompromittierung des Systems? http://oschad.de/wiki/index.php/Kompromittierung http://virus-protect.org/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2005, 14:28
Ehrenmitglied
Beiträge: 29434 |
#54
Hallo@KingAbe
Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults =>"http"=dword:00000000 --> aendere in "http"=dword:00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 "1004"=dword:00000000 --->anedere in "1004"=dword:000000003 "1201"=dword:00000000 --> aendere in "1201"=dword:00000003 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 "1004"=dword:00000000 --> aendere in : "1004"=dword:00000001 "1201"=dword:00000000 --> aendere in : "1201"=dword:00000001 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 "1004"=dword:00000000 --> aendere in : "1004"=dword:00000003 "1201"=dword:00000000 --> aendere in"1201"=dword:00000003 "1406"=dword:00000000--> aendere in :1406"=dword:00000003 "1A04"=dword:00000000--> aendere in :"1A04"=dword:00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 "1004"=dword:00000000 --> aendere in : "1004"=dword:00000003 "1201"=dword:00000000 --> aendere in :"1201"=dword:00000003 "1001"=dword:00000000---> aendere in:"1001"=dword:00000003 "1200"=dword:00000000---> aendere in:"1200"=dword:00000003 "1400"=dword:00000000--> aendere in:"1400"=dword:00000003 "1606"=dword:00000000--> aendere in:"1606"=dword:00000003 "1607"=dword:00000000---> aendere in:"1607"=dword:00000003 Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) •eScan-Erkennungstool (noch nicht scannen --> erst im abgesicherten Modus) eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Windows 32-bit PnP Driver (winpnp32) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der " Windows 32-bit PnP Driver (winpnp32)" beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Windows 32-bit PnP Driver (winpnp32) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [mspd] C:\WINDOWS\System32\mspd.exe O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)<--W32.Wallz worm(?) PC neustarten •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: Windows 32-bit PnP Driver Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\outlookupdate3778.exe C:\WINDOWS\System32\outlookupdate 3779.exe C:\rell.REG C:\mtu.bat C:\re12.reg C:\re11.reg C:\WINDOWS\System32\winpnp32.exe C:\WINDOWS\System32\msnupdate.exe C:\WINDOWS\Debug\dcpromo.log C:\UNMT.EXE C:\WINDOWS\System32\mspd.exe PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt) http://www.tu-berlin.de/www/software/virus/savemode.shtml loeschen: mtrslib2.js outlookupdate3778.exe outlookupdate 3779.exe re11.reg, re12.reg, blank.html und mtu.bat und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten + das neue Log vom HijackThis ----------------------------------------------------------------------------- Download RootkitRevealer (270 KB) ** laden: http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml #Download RootkitRevealer (190 KB) #entpacken #RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus Onlinescanns --> dann alles loeschen/im abgesicherten Modus http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp WindowsUpdates installieren Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. ------------------------------------------------------------------------------- Trojan.LowZones 【 在 daynine (0110|) 的大作中提到: 】 : 中标了,深感荣幸 : 症状: : 在C盘根目录下自动生成outlookupdate3778.exe和outlookupdate3779.exe两文件 : \WINXP下有个mtu.bat的批处理 : 内容: : @echo off : REGEDIT.EXE /S re11.REG : REGEDIT.EXE /S re12.reg : blank.html regedit.exe/s re12.reg regedit.exe/s re11.reg ㅇ 주로 아래와 같은 악의적인 목적을 위해 작성된 다른 파일과 함께 SFX(Self Extract) 압축형식으로 압축되어 있다. -blank.html -re12.reg -re11.reg -mtu.bat ㅇ blank.html 은 아래와 같은 악성 자바 스크립트를 실행을 시도 한다. - mtrslib2.js : Exploit.CodeBase 로 진단. Der Trojaner legt eine HTML-Datei namens mt.html im Programme-Ordner ab und führt sie aus. Die HTML-Datei enthält ein eingebettetes JavaScript, das eine Datei namens mtrslib2.js auf einer remoten URL öffnet. Die Datei mtrslib2.js wiederum nutzt die Codebase-Schwachstelle aus, um eine Datei auf den Computer des Opfers herunterzuladen. - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ => 0 : 내 컴퓨터 => 1 : 로컬 인터라넷 => 2 : 신뢰할 수 있는 사이트 => 3 : 인터넷 => 4 : 제한된 사이트 위와 같은 Zones의 하위키인 0, 1, 2, 3, 4 키에 대한 값들을 아래와 같이 변경한다. - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 "1004"=dword:00000000 "1201"=dword:00000000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 "1004"=dword:00000000 "1201"=dword:00000000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 "1004"=dword:00000000 "1201"=dword:00000000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 "1004"=dword:00000000 "1201"=dword:00000000 "1406"=dword:00000000 "1A04"=dword:00000000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 "1004"=dword:00000000 "1201"=dword:00000000 "1001"=dword:00000000 "1200"=dword:00000000 "1400"=dword:00000000 "1606"=dword:00000000 "1607"=dword:00000000 dword:00000000 "1004"=dword:00000000 : "1200"=dword:00000000 : ActiveX "1201"=dword:00000000 : "1400"=dword:00000000 : Active "1606"=dword:00000000 : "1A04"=dword:00000000 : - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults =>"http"=dword:00000000 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => SYSTRAY = "C:\UNMT.EXE" Trojan.LowZones로 이전글 Win32.HLLW.ForBot.Based 다음글 Trojan.WinShow.28672 ------------------------------------------------------------------------------ W32.Wallz worm Creates the service with name Windows 32-bit PnP Driver Internal name: winpnp32 Creates the following file, which is not malicious: %Windir%\Debug\dcpromo.log Winpnp32 scans the local network and infects other computers. Removal: stop and disable Winpnp32 servic __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2005, 15:41
...neu hier
Beiträge: 3 |
#55
Vielen, vielen Dank erstmal!! Werde versuchen mich da durchzuarbeiten und hoffe dass es alles klappt! mfg KingAbe
|
|
|
||
26.03.2005, 19:51
Member
Beiträge: 11 |
#56
@ Sabina:
Also habe jetzt TDS-3 laufen lassen und wollte dir das Ergebnis posten. Hier die txt. Datei: Scan Control Dumped @ 19:48:23 26-03-05 Live trojan found (in process memory): DCOM RPC Exploit File: C:\WINDOWS\System32\msnupdate.exe RegVal Trace: RAT.Netbus 1.70 (Dropper.Memory): HKEY_LOCAL_MACHINE File: SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SYSTRAY=C:\UNMT.EXE] RegVal Trace: DDoS.RAT.rBot: HKEY_CURRENT_USER File: Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary=msnupdate.exe] RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE File: Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary=msnupdate.exe] RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE File: Software\Microsoft\Windows\CurrentVersion\RunServices [MS Unix Binary=msnupdate.exe] Positive identification: Adware.WinAD.af1 File: c:\dokumente und einstellungen\fac\lokale einstellungen\temporary internet files\content.ie5\liqnl95y\mediaaccess[1].exe Positive identification (DLL): Adware.ToolBar.MyWay.g (dll) File: c:\programme\myway\mybar\1.bin\mybar.dll_tobedeleted_tobedeleted Positive identification (DLL): Adware.WinAD.af2 (dll) File: c:\windows\downloaded program files\mediaaccx.dll Positive identification: Riskware.Tool.Destart File: c:\windows\system32\tools\restart.exe Suspicious Filename: Dual extensions File: d:\programme\miranda-im-v0.3.3.1.exe Positive identification <Adv>: Possible ICQ-notifying trojan File: d:\programme\icqlite\icqliteuninstall.exe Würde mich über eine schnelle Antwort sehr freuen. grEEtz j4m4ik4 EDIT: Hier mein Log von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 19:55:24, on 26.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\WINDOWS\System32\msnupdate.exe C:\WINDOWS\System32\wuauclt.exe D:\op3r4\opera.exe D:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com O1 - Hosts: 64.91.255.87 www.dcsresearch.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c11.cab O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) Dieser Beitrag wurde am 26.03.2005 um 19:56 Uhr von j4m4ik4 editiert.
|
|
|
||
26.03.2005, 20:09
Ehrenmitglied
Beiträge: 29434 |
#57
Halloj4m4ik4
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder) Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults =>"http"=dword:00000000 --> aendere in "http"=dword:00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 "1004"=dword:00000000 --->anedere in "1004"=dword:000000003 "1201"=dword:00000000 --> aendere in "1201"=dword:00000003 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 "1004"=dword:00000000 --> aendere in : "1004"=dword:00000001 "1201"=dword:00000000 --> aendere in : "1201"=dword:00000001 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 "1004"=dword:00000000 --> aendere in : "1004"=dword:00000003 "1201"=dword:00000000 --> aendere in"1201"=dword:00000003 "1406"=dword:00000000--> aendere in :1406"=dword:00000003 "1A04"=dword:00000000--> aendere in :"1A04"=dword:00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 "1004"=dword:00000000 --> aendere in : "1004"=dword:00000003 "1201"=dword:00000000 --> aendere in :"1201"=dword:00000003 "1001"=dword:00000000---> aendere in:"1001"=dword:00000003 "1200"=dword:00000000---> aendere in:"1200"=dword:00000003 "1400"=dword:00000000--> aendere in:"1400"=dword:00000003 "1606"=dword:00000000--> aendere in:"1606"=dword:00000003 "1607"=dword:00000000---> aendere in:"1607"=dword:00000003 Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Power Manager (PowerManager)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Power Manager (PowerManager) " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Power Manager (PowerManager) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: PowerManager Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) O1 - Hosts: 64.91.255.87 www.dcsresearch.com O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c11.cab O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)<--"Win32.Hidrag" PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\IsUn0407.exe C:\WINDOWS\svchost.exe c:\windows\downloaded program files\mediaaccx.dll c:\programme\myway\mybar\1.bin\mybar.dll_tobedeleted_tobedeleted c:\programme\myway\mybar\1.bin\mybar.dll C:\WINDOWS\System32\outlookupdate3778.exe C:\WINDOWS\System32\outlookupdate 3779.exe C:\rell.REG C:\mtu.bat C:\re12.reg C:\re11.reg C:\WINDOWS\System32\msnupdate.exe C:\WINDOWS\System32\mspd.exe C:\UNMT.EXE PC neustarten c:\dokumente und einstellungen\fac\lokale einstellungen\temporary internet files\content.ie5\liqnl95y\mediaaccess[1].exe<--loeschen Onlinescanns --> (berichte von den Onlinescanns)-->dann alles "infected" loeschen/im abgesicherten Modus http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp + poste das neue Log vom HijackThis ------------------------------------------------------------- "Win32.Hidrag" C:\WINDOWS\IsUn0407.exe infected by "Win32.Hidrag" C:\WINDOWS\svchost.exe infected by "Win32.Hidrag" SYSTEM\CurrentControlSet\Services\PowerManager\ImagePath deleted because it is infected by a Virus SYSTEM\CurrentControlSet\Services\PowerManager has RunningProcess defined as C:\WINDOWS\svchost.exe (which is infected)! The virus does not manifest itself in any way. The virus contains the encrypted text strings: Hidden Dragon virus. Born in a tropical swamp. PowerManagerMutant __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2005, 20:39
Member
Beiträge: 11 |
#58
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
=>"http"=dword:00000000 --> aendere in "http"=dword:00000003 Bei mir ist es schon bei "http"=dword:00000003 Sabina, guck mal bitte bei deinen privaten Messages. grEEtz j4m4ik4 |
|
|
||
26.03.2005, 20:41
Ehrenmitglied
Beiträge: 29434 |
#59
Hallo@j4m4ik4
Ich kann dich leider nicht an der Hand nehmen und den PC mit dir zusammen in Echtzeit reinigen...das musst du schon allein machen....aber du kannst hier alles fragen, was du willst __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2005, 20:45
Member
Beiträge: 11 |
#60
Okay, da haste Recht
Naja ein Versuch war es wert Nee, im Ernst....bin wirklich ne Null in Sachen PCs ...wollte auch eigentlich nur fragen bzw. sagen dass hier: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults =>"http"=dword:00000000 --> aendere in "http"=dword:00000003 schon "http"=dword:00000003 da steht. Hmm...naja weiß nicht mehr weiter. PS: hab halt Schiss irgendwas falsch zu machen und den PC zu schrotten Dieser Beitrag wurde am 26.03.2005 um 20:45 Uhr von j4m4ik4 editiert.
|
|
|
||
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder)
Laden Sie die Trial Version von tds-3 anti trojan von hier:
http://www.diamondcs.com.au/tds/downloads/tds3setup.exe
tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht.
#Machen Sie ein Update.
http://www.diamondcs.com.au/tds/radius.td3
#Um das Update durchzuführen --> [Rechts-klick] -->
speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor
installiert haben. Update radius.td3
(Die vorherige Datei radius.td3.wird so ueberschrieben )
#Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster,
klicken Sie auf System testing --> full system scan
#Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen.
Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei).
#Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread. --> dann alles loeschen
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe
PC neustarten
C:\UNMT.EXE <--loeschen
C:\WINDOWS\System32\msnupdate.exe <--loeschen
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
•Gehe wieder in den Normalmodus:
•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
dann alles loeschen
--------------------------------------------------------------------------
Download RootkitRevealer (270 KB)
**
laden:
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
#Download RootkitRevealer (190 KB)
#entpacken
#RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus
Onlinescanns --> dann alles loeschen/im abgesicherten Modus
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp
--
_________________
__________
MfG Sabina
rund um die PC-Sicherheit