Trojanische Pferd TR/LowZones.A.2

Thema ist geschlossen!
Thema ist geschlossen!
#0
25.03.2005, 12:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 Hallo@cr3tz

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder)

Laden Sie die Trial Version von tds-3 anti trojan von hier:
http://www.diamondcs.com.au/tds/downloads/tds3setup.exe
tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht.
#Machen Sie ein Update.
http://www.diamondcs.com.au/tds/radius.td3
#Um das Update durchzuführen --> [Rechts-klick] -->
speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor
installiert haben. Update radius.td3
(Die vorherige Datei radius.td3.wird so ueberschrieben )
#Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster,
klicken Sie auf System testing --> full system scan
#Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen.
Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei).
#Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread. --> dann alles loeschen

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe

PC neustarten

C:\UNMT.EXE <--loeschen
C:\WINDOWS\System32\msnupdate.exe <--loeschen

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
dann alles loeschen

--------------------------------------------------------------------------
Download RootkitRevealer (270 KB)

**
laden:
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
#Download RootkitRevealer (190 KB)

#entpacken
#RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus

Onlinescanns --> dann alles loeschen/im abgesicherten Modus
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp
--
_________________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2005, 22:39
...neu hier

Beiträge: 3
#47 Vielen Dank

Rootkitrevealer hat nix gefunden, genauso wie eScan..

Logfile of HijackThis v1.99.1
Scan saved at 22:38:14, on 25.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZoneAlarm\zapro.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Opera\opera.exe
C:\Programme\mIRC\mirc.exe
C:\Dokumente und Einstellungen\ollek\Desktop\HijackThis.exe

O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F03BE2A-4A50-4839-944B-60E3E212B5AD}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
25.03.2005, 22:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 ollek

WindowsUpdates installieren
Wie kann ich das Service Pack 2 installieren?

Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

[A] Installation über Windows Update (Internet)

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

[B] Installation von CD

1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.


Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2005, 04:29
...neu hier

Beiträge: 3
#49 Hi @ all und besonderst an dich sabina....
hoffe kannst mir weiterhelfen ;) und zwar hab ich das problem mit msnupl...exe auch jedoch hab ich noch viren auf dem rechner die zb. outlookupdae3779 oder shage~1 zumindest vermute ich das es welche sind jedenfalls versuche ich diese zu entfernen (auch über regedit )werde sie aber nciht looooooos ;) hab norton antivirus + firewall und antivir helfen aber mal nix ... hoffe das du mir helfen kannst hier die liste :

Logfile of HijackThis v1.99.1
Scan saved at 04:05:36, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Media Pass\MediaPass.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Program Files\Media Pass\MediaPassK.exe
C:\WINDOWS\System32\SPOOLER.EXE
C:\DOKUME~1\Fabrizio\LOKALE~1\Temp\SAHAGE~1.EXE
C:\WINDOWS\ahorrq.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\msnupdate.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Fabrizio\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft ADservice] adservice.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPass.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NAV Auto Updates] slserver.exe
O4 - HKLM\..\Run: [HydraVisionViewPort] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Windows System Gateway ] SPOOLER.EXE
O4 - HKLM\..\Run: [McAfee Antivirus Protection] mcafeeAV.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Fabrizio\LOKALE~1\Temp\SAHAGE~1.EXE run
O4 - HKLM\..\Run: [q7MBC2g] C:\WINDOWS\ahorrq.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\RunServices: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKLM\..\RunServices: [McAfee Antivirus Protection] mcafeeAV.exe
O4 - HKLM\..\RunServices: [Microsoft ADservice] adservice.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserver.exe
O4 - HKLM\..\RunServices: [Windows System Gateway ] SPOOLER.EXE
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NAV Auto Updates] slserver.exe
O4 - HKCU\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKCU\..\Run: [McAfee Antivirus Protection] mcafeeAV.exe
O4 - HKCU\..\Run: [Windows System Gateway ] SPOOLER.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAC73FFF-287C-4C4E-9DB0-7916AB59B7C6}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Seitenanfang Seitenende
26.03.2005, 09:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 Hallo@italian

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder)

Laden Sie die Trial Version von tds-3 anti trojan von hier:

http://www.diamondcs.com.au/tds/downloads/tds3setup.exe
tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht.

#Machen Sie ein Update.
http://www.diamondcs.com.au/tds/radius.td3

#Um das Update durchzuführen --> [Rechts-klick] -->
speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor
installiert haben. Update radius.td3
(Die vorherige Datei radius.td3.wird so ueberschrieben )

#Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster,
klicken Sie auf System testing --> full system scan

#Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen.
Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei).
#Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread. --> dann alles loeschen

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKLM\..\Run: [Microsoft ADservice] adservice.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPass.exe
O4 - HKLM\..\Run: [NAV Auto Updates] slserver.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Windows System Gateway ] SPOOLER.EXE
O4 - HKLM\..\Run: [McAfee Antivirus Protection] mcafeeAV.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Fabrizio\LOKALE~1\Temp\SAHAGE~1.EXE run
O4 - HKLM\..\Run: [q7MBC2g] C:\WINDOWS\ahorrq.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\RunServices: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKLM\..\RunServices: [McAfee Antivirus Protection] mcafeeAV.exe
O4 - HKLM\..\RunServices: [Microsoft ADservice] adservice.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserver.exe
O4 - HKLM\..\RunServices: [Windows System Gateway ] SPOOLER.EXE
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [NAV Auto Updates] slserver.exe
O4 - HKCU\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKCU\..\Run: [McAfee Antivirus Protection] mcafeeAV.exe
O4 - HKCU\..\Run: [Windows System Gateway ] SPOOLER.EXE

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\UNMT.EXE
C:\WINDOWS\ahorrq.exe
C:\DOKUME~1\Fabrizio\LOKALE~1\Temp\SAHAGE~1.EXE
C:\Program Files\Media Pass\MediaPassK.exe
C:\Program Files\Media Pass\MediaPass.exe
C:\Program Files\Media Pass\MediaPassC.dll
C:\Program Files\Media Pass\Info.txt
C:\WINDOWS\temp\USB.exe
C:\WINDOWS\temp\oddworldz.exe
C:\WINDOWS\temp\istinstall.exe
C:\WINDOWS\System32\msnupdate.exe
C:\WINDOWS\System32\SPOOLER.EXE
C:\WINDOWS\System32\mcafeeAV.exe
C:\WINDOWS\System32\MSRSS.exe
C:\WINDOWS\System32\slserver.exe
C:\WINDOWS\System32\msnupdate.exe
C:\WINDOWS\System32\adservice.exe

PC neustarten

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS (scanne dann noch mal im abgesicherten Modus)
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

•Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:(scanne dann noch mal im abgesicherten Modus)
http://www.f-prot.com/products/corporate_users/dos/
Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.

•Download NOD32 Antivirus System(scanne dann noch mal im abgesicherten Modus)
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
dann alles loeschen


Start--> Ausfuehren--> cmd

reinkopieren.

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

bitte posten, was angezeigt wird

--------------------------------------------------------------------------
Download RootkitRevealer (270 KB)

**
laden:
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
#Download RootkitRevealer (190 KB)

#entpacken
#RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus

Onlinescanns --> dann alles loeschen/im abgesicherten Modus

http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp
--

WindowsUpdates installieren
Wie kann ich das Service Pack 2 installieren?

Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

[A] Installation über Windows Update (Internet)

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

[B] Installation von CD

1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.


Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2005, 13:03
...neu hier

Beiträge: 3
#51 hey sabina danke für deine ausführliche beschreibung nungut wird ein ganzes stück arbeit ;) zu sp2 auf meinem pc funktioniert er aber vom laptop hab ich ihn nach 3 mal instlaieren und entfernen ganz weggelassen denn trotz hilfe vom windows support hjatte sp2 probleme mit meiner internetverbinung seitenaufbau abgestürtzt usw najamainst du es geht einfacher wenn ich es einfach ncohmal formatiere die festplatte??? ;) wenn eh schon soviele drauf sind ...
Seitenanfang Seitenende
26.03.2005, 13:42
...neu hier

Beiträge: 3
#52 So, Hallo erstmal!

Mein Virenprogramm AntiVir hat mir gestern auch den Trojaner Lowzones.A angezeigt! Jedes mal beim Start werde ich jetzt daraufhingewiesen, da er sich immer neu zu entpacken scheint: aus outlookupdate3778 und outlookupdate 3779 scheinen sich dann re11.reg, re12.reg, blank.html und mtu.bat zu entpacken! Die Dateien zu suchen und zu löschen bringt nichts. Kann mir bitte jemnd helfen? Das Logfile aus Hijackthis habe ich hier auch schon:

Logfile of HijackThis v1.99.1
Scan saved at 00:26:51, on 26.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\msnupdate.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\MSI\DigiCell\DigiCell.exe
C:\Dokumente und Einstellungen\Jannes\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=155473
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\System32\mspd.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\Jannes\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe
O4 - Startup: DigiCell.lnk = C:\Programme\MSI\DigiCell\DigiCell.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/de/soesysinfo.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)

Edit: Rbot oder sowas scheint auch noch auf meinem Pc zu sein =(
Vielen Dank im voraus schonmal für die gute Hilfe, die man hier scheinbar immer bekommt!
Dieser Beitrag wurde am 26.03.2005 um 13:50 Uhr von KingAbe editiert.
Seitenanfang Seitenende
26.03.2005, 14:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#53 Hallo@italian

ich denke auch.....formatiere... ;)

Was tun bei Kompromittierung des Systems?
http://oschad.de/wiki/index.php/Kompromittierung
http://virus-protect.org/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2005, 14:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 Hallo@KingAbe

Start<Ausfuehren<regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
=>"http"=dword:00000000 --> aendere in "http"=dword:00000003

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
"1004"=dword:00000000 --->anedere in "1004"=dword:000000003
"1201"=dword:00000000 --> aendere in "1201"=dword:00000003

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
"1004"=dword:00000000 --> aendere in : "1004"=dword:00000001
"1201"=dword:00000000 --> aendere in : "1201"=dword:00000001

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
"1004"=dword:00000000 --> aendere in : "1004"=dword:00000003
"1201"=dword:00000000 --> aendere in"1201"=dword:00000003
"1406"=dword:00000000--> aendere in :1406"=dword:00000003
"1A04"=dword:00000000--> aendere in :"1A04"=dword:00000003

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
"1004"=dword:00000000 --> aendere in : "1004"=dword:00000003
"1201"=dword:00000000 --> aendere in :"1201"=dword:00000003
"1001"=dword:00000000---> aendere in:"1001"=dword:00000003
"1200"=dword:00000000---> aendere in:"1200"=dword:00000003
"1400"=dword:00000000--> aendere in:"1400"=dword:00000003
"1606"=dword:00000000--> aendere in:"1606"=dword:00000003
"1607"=dword:00000000---> aendere in:"1607"=dword:00000003




Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

•eScan-Erkennungstool (noch nicht scannen --> erst im abgesicherten Modus)
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Windows 32-bit PnP Driver (winpnp32) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" Windows 32-bit PnP Driver (winpnp32)" beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Windows 32-bit PnP Driver (winpnp32) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O4 - HKLM\..\Run: [mspd] C:\WINDOWS\System32\mspd.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)<--W32.Wallz worm(?)

PC neustarten

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

Windows 32-bit PnP Driver

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\outlookupdate3778.exe
C:\WINDOWS\System32\outlookupdate 3779.exe
C:\rell.REG
C:\mtu.bat
C:\re12.reg
C:\re11.reg
C:\WINDOWS\System32\winpnp32.exe
C:\WINDOWS\System32\msnupdate.exe
C:\WINDOWS\Debug\dcpromo.log
C:\UNMT.EXE
C:\WINDOWS\System32\mspd.exe

PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

loeschen:
mtrslib2.js
outlookupdate3778.exe
outlookupdate 3779.exe
re11.reg, re12.reg, blank.html und mtu.bat

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
+
das neue Log vom HijackThis
-----------------------------------------------------------------------------

Download RootkitRevealer (270 KB)
**
laden:
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
#Download RootkitRevealer (190 KB)

#entpacken
#RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus

Onlinescanns --> dann alles loeschen/im abgesicherten Modus
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp

WindowsUpdates installieren
Wie kann ich das Service Pack 2 installieren?

Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

[A] Installation über Windows Update (Internet)

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

Installation von CD

1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.

Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.

-------------------------------------------------------------------------------
Trojan.LowZones
【 在 daynine (0110|) 的大作中提到: 】
: 中标了,深感荣幸:p
: 症状:
: 在C盘根目录下自动生成outlookupdate3778.exe和outlookupdate3779.exe两文件
: \WINXP下有个mtu.bat的批处理
: 内容:
: @echo off
: REGEDIT.EXE /S re11.REG
: REGEDIT.EXE /S re12.reg
: blank.html

regedit.exe/s re12.reg
regedit.exe/s re11.reg

ㅇ 주로 아래와 같은 악의적인 목적을 위해 작성된 다른 파일과 함께 SFX(Self Extract) 압축형식으로 압축되어 있다.

-blank.html
-re12.reg
-re11.reg
-mtu.bat

ㅇ blank.html 은 아래와 같은 악성 자바 스크립트를 실행을 시도 한다.
- mtrslib2.js : Exploit.CodeBase 로 진단.

Der Trojaner legt eine HTML-Datei namens mt.html im Programme-Ordner ab und führt sie aus. Die HTML-Datei enthält ein eingebettetes JavaScript, das eine Datei namens mtrslib2.js auf einer remoten URL öffnet. Die Datei mtrslib2.js wiederum nutzt die Codebase-Schwachstelle aus, um eine Datei auf den Computer des Opfers herunterzuladen.


- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
=> 0 : 내 컴퓨터
=> 1 : 로컬 인터라넷
=> 2 : 신뢰할 수 있는 사이트
=> 3 : 인터넷
=> 4 : 제한된 사이트

위와 같은 Zones의 하위키인 0, 1, 2, 3, 4 키에 대한 값들을 아래와 같이 변경한다.

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
"1004"=dword:00000000
"1201"=dword:00000000

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
"1004"=dword:00000000
"1201"=dword:00000000

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
"1004"=dword:00000000
"1201"=dword:00000000

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
"1004"=dword:00000000
"1201"=dword:00000000
"1406"=dword:00000000
"1A04"=dword:00000000

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
"1004"=dword:00000000
"1201"=dword:00000000
"1001"=dword:00000000
"1200"=dword:00000000
"1400"=dword:00000000
"1606"=dword:00000000
"1607"=dword:00000000

dword:00000000
"1004"=dword:00000000 :
"1200"=dword:00000000 : ActiveX
"1201"=dword:00000000 :
"1400"=dword:00000000 : Active
"1606"=dword:00000000 :
"1A04"=dword:00000000 :

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
=>"http"=dword:00000000

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
=> SYSTRAY = "C:\UNMT.EXE"

Trojan.LowZones로
이전글 Win32.HLLW.ForBot.Based
다음글 Trojan.WinShow.28672

------------------------------------------------------------------------------
W32.Wallz worm
Creates the service with name Windows 32-bit PnP Driver
Internal name: winpnp32
Creates the following file, which is not malicious:
%Windir%\Debug\dcpromo.log
Winpnp32 scans the local network and infects other computers.
Removal: stop and disable Winpnp32 servic
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2005, 15:41
...neu hier

Beiträge: 3
#55 Vielen, vielen Dank erstmal!! Werde versuchen mich da durchzuarbeiten und hoffe dass es alles klappt! mfg KingAbe
Seitenanfang Seitenende
26.03.2005, 19:51
Member

Beiträge: 11
#56 @ Sabina:

Also habe jetzt TDS-3 laufen lassen und wollte dir das Ergebnis posten.

Hier die txt. Datei:

Scan Control Dumped @ 19:48:23 26-03-05
Live trojan found (in process memory): DCOM RPC Exploit
File: C:\WINDOWS\System32\msnupdate.exe

RegVal Trace: RAT.Netbus 1.70 (Dropper.Memory): HKEY_LOCAL_MACHINE
File: SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SYSTRAY=C:\UNMT.EXE]

RegVal Trace: DDoS.RAT.rBot: HKEY_CURRENT_USER
File: Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary=msnupdate.exe]

RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary=msnupdate.exe]

RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\RunServices [MS Unix Binary=msnupdate.exe]

Positive identification: Adware.WinAD.af1
File: c:\dokumente und einstellungen\fac\lokale einstellungen\temporary internet files\content.ie5\liqnl95y\mediaaccess[1].exe

Positive identification (DLL): Adware.ToolBar.MyWay.g (dll)
File: c:\programme\myway\mybar\1.bin\mybar.dll_tobedeleted_tobedeleted

Positive identification (DLL): Adware.WinAD.af2 (dll)
File: c:\windows\downloaded program files\mediaaccx.dll

Positive identification: Riskware.Tool.Destart
File: c:\windows\system32\tools\restart.exe

Suspicious Filename: Dual extensions
File: d:\programme\miranda-im-v0.3.3.1.exe

Positive identification <Adv>: Possible ICQ-notifying trojan
File: d:\programme\icqlite\icqliteuninstall.exe

Würde mich über eine schnelle Antwort sehr freuen.

grEEtz j4m4ik4


EDIT:

Hier mein Log von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:55:24, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\msnupdate.exe
C:\WINDOWS\System32\wuauclt.exe
D:\op3r4\opera.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c11.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
Dieser Beitrag wurde am 26.03.2005 um 19:56 Uhr von j4m4ik4 editiert.
Seitenanfang Seitenende
26.03.2005, 20:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 Halloj4m4ik4

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder)

Start<Ausfuehren<regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
=>"http"=dword:00000000 --> aendere in "http"=dword:00000003

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
"1004"=dword:00000000 --->anedere in "1004"=dword:000000003
"1201"=dword:00000000 --> aendere in "1201"=dword:00000003

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
"1004"=dword:00000000 --> aendere in : "1004"=dword:00000001
"1201"=dword:00000000 --> aendere in : "1201"=dword:00000001

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
"1004"=dword:00000000 --> aendere in : "1004"=dword:00000003
"1201"=dword:00000000 --> aendere in"1201"=dword:00000003
"1406"=dword:00000000--> aendere in :1406"=dword:00000003
"1A04"=dword:00000000--> aendere in :"1A04"=dword:00000003

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
"1004"=dword:00000000 --> aendere in : "1004"=dword:00000003
"1201"=dword:00000000 --> aendere in :"1201"=dword:00000003
"1001"=dword:00000000---> aendere in:"1001"=dword:00000003
"1200"=dword:00000000---> aendere in:"1200"=dword:00000003
"1400"=dword:00000000--> aendere in:"1400"=dword:00000003
"1606"=dword:00000000--> aendere in:"1606"=dword:00000003
"1607"=dword:00000000---> aendere in:"1607"=dword:00000003

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Power Manager (PowerManager)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Power Manager (PowerManager) " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Power Manager (PowerManager) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs

reinkopieren:

PowerManager

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)

O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c11.cab
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)<--"Win32.Hidrag"

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\IsUn0407.exe
C:\WINDOWS\svchost.exe
c:\windows\downloaded program files\mediaaccx.dll
c:\programme\myway\mybar\1.bin\mybar.dll_tobedeleted_tobedeleted
c:\programme\myway\mybar\1.bin\mybar.dll
C:\WINDOWS\System32\outlookupdate3778.exe
C:\WINDOWS\System32\outlookupdate 3779.exe
C:\rell.REG
C:\mtu.bat
C:\re12.reg
C:\re11.reg
C:\WINDOWS\System32\msnupdate.exe
C:\WINDOWS\System32\mspd.exe
C:\UNMT.EXE

PC neustarten

c:\dokumente und einstellungen\fac\lokale einstellungen\temporary internet files\content.ie5\liqnl95y\mediaaccess[1].exe<--loeschen

Onlinescanns --> (berichte von den Onlinescanns)-->dann alles "infected" loeschen/im abgesicherten Modus
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp

+ poste das neue Log vom HijackThis

-------------------------------------------------------------
"Win32.Hidrag"
C:\WINDOWS\IsUn0407.exe infected by "Win32.Hidrag"
C:\WINDOWS\svchost.exe infected by "Win32.Hidrag"
SYSTEM\CurrentControlSet\Services\PowerManager\ImagePath deleted because it is infected by a Virus
SYSTEM\CurrentControlSet\Services\PowerManager has RunningProcess defined as C:\WINDOWS\svchost.exe (which is infected)!

The virus does not manifest itself in any way. The virus contains the encrypted text strings:

Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2005, 20:39
Member

Beiträge: 11
#58 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
=>"http"=dword:00000000 --> aendere in "http"=dword:00000003

Bei mir ist es schon bei "http"=dword:00000003

Sabina, guck mal bitte bei deinen privaten Messages.

grEEtz j4m4ik4
Seitenanfang Seitenende
26.03.2005, 20:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#59 Hallo@j4m4ik4

Ich kann dich leider nicht an der Hand nehmen und den PC mit dir zusammen in Echtzeit reinigen...das musst du schon allein machen....aber du kannst hier alles fragen, was du willst ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2005, 20:45
Member

Beiträge: 11
#60 Okay, da haste Recht ;)
Naja ein Versuch war es wert ;)
Nee, im Ernst....bin wirklich ne Null in Sachen PCs ;)...wollte auch eigentlich nur fragen bzw. sagen dass hier:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
=>"http"=dword:00000000 --> aendere in "http"=dword:00000003

schon "http"=dword:00000003 da steht.

Hmm...naja weiß nicht mehr weiter.

PS: hab halt Schiss irgendwas falsch zu machen und den PC zu schrotten ;)
Dieser Beitrag wurde am 26.03.2005 um 20:45 Uhr von j4m4ik4 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: