Home » Spyware & Browser Hijacker Support Forum » werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet » Themenansicht
werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet |
||
|---|---|---|
| #0
| ||
|
24.11.2004, 12:46
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
24.11.2004, 13:39
Ehrenmitglied
Beiträge: 29434 |
#107
Hallo@albrisser
Ich habe noch mal alles zusammengestellt. 1. Log: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\5BPRBK~1.DLL O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\e87ytl6osp5ombthd.exe O4 - HKLM\..\Run: [Msdmxm] c:\windows\system32\msdmxm.exe /nocomm O4 - HKLM\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe O20 - AppInit_DLLs: put6kzzchdyt9v.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll zum Loeschen sichtbar: <C:\windows\system32\mswavedll.exe <C:\windows\system32\msdmxm.exe <C:\WINDOWS\system32\e87ytl6osp5ombthd.exe <C:\WINDOWS\system32\5BPRBK~1.DLL <C:\WINDOWS\system32\757g1b6gxp1nstll.dll <put6kzzchdyt9v.dll Scan mit eScan (mwav.exe) es erscheint NICHT die "put6kzzchdyt9v.dll" sondern:"pgz6kc5ocv7cgv.dll" C:\WINDOWS\system32\pgz6kc5ocv7cgv.dll.dll.dll.dll.dll.dll.dll [Trojan.Win32.Krepper.ae"] C:\WINDOWS\system32\5BPRBK~1.DLL "Trojan.Win32.Krepper.ae C:\WINDOWS\stop.00009_4.exe "TrojanClicker.Win32.Small.bg C:\WINDOWS\stop.31403_4.exe "TrojanClicker.Win32.Small.bg C:\WINDOWS\zona02.exe "Trojan.Win32.Regger.j" #es erscheint: C:\WINDOWS\system32\4di36bkj87p5fd.dll.dll.dll.dll.dll.dll.dll.dll [Trojan.Win32.Krepper.ae"] es erscheint NICHT die "e87ytl6osp5ombthd.dll", sondern die "689bktwmecv.dll" C:\WINDOWS\system32\689bktwmecv.dll C:\WINDOWS\system32\5bprbksz75t.dll C:\WINDOWS\system32\es4jdw5ug5k3zo.dll.dll.dll.dll.dll.dll.dll.dll.dll.d C:\WINDOWS\system32\h66fi38rl6offd.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl C:\WINDOWS\system32\lgky4icmptsffd.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. C:\WINDOWS\system32\mswavedll.exe"TrojanDownloader.Win32.Small.uy C:\WINDOWS\system32\npmecsxoeop5fd.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\1196981.tmp usw..... mit Hilfe des eScan-Logs zum Loeschen: C:\WINDOWS\system32\pgz6kc5ocv7cgv.dll [Trojan.Win32.Krepper.ae ] C:\WINDOWS\system32\5bprbksz75t.dll C:\WINDOWS\stop.00009_4.exe C:\WINDOWS\stop.31403_4.exe C:\WINDOWS\zona02.exe C:\WINDOWS\system32\4di36bkj87p5fd.dll C:\WINDOWS\system32\689bktwmecv.dll C:\WINDOWS\system32\es4jdw5ug5k3zo.dll C:\WINDOWS\system32\h66fi38rl6offd.dll C:\WINDOWS\system32\lgky4icmptsffd.dll C:\WINDOWS\system32\mswavedll.exe [Troj/Dluca-DC] C:\WINDOWS\system32\npmecsxoeop5fd.dll C:\WINDOWS\Downloaded Program Files\ISTactivex.dll 2.Log R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *http://win-eto.com/hp.htm?id=9* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\5BPRBK~1.DLL O20 - AppInit_DLLs: pgz6kc5ocv7cgv.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. Scan mit eScan C:\WINDOWS\system32\pgz6kc5ocv7cgv.dll [Trojan.Win32.Krepper.ae ] C:\WINDOWS\system32\5bprbksz75t.dll C:\WINDOWS\stop.00009_4.exe C:\WINDOWS\stop.31403_4.exe C:\WINDOWS\zona02.exe C:\WINDOWS\system32\4di36bkj87p5fd.dll C:\WINDOWS\system32\689bktwmecv.dll C:\WINDOWS\system32\es4jdw5ug5k3zo.dll C:\WINDOWS\system32\h66fi38rl6offd.dll C:\WINDOWS\system32\lgky4icmptsffd.dll C:\WINDOWS\system32\mswavedll.exe [Troj/Dluca-DC] C:\WINDOWS\system32\npmecsxoeop5fd.dll C:\WINDOWS\Downloaded Program Files\ISTactivex.dll ich habe jetzt nochmal mit dem normalen Suchassistenen nach dieser ominösen Datei pgz6kc5ocv7cvg.dll geforscht. Dabei bin ich auf eine Editordatei startuplist gestossen (die anderen habe ich noch nicht untersucht). Dort wurde als Ort dieser Datei HKLM\...\WINDOWS NT\Current Version\Windows: AppInit_DLLs= [und dann dieser Dateiname] angegeben. Mit dieser Info bin ich in regedit, habe, weil ich die Pünktchen nicht interpretieren konnte, alles mit HKLM aufgeschlagen und bin schließlich an dem angegebenen Ort gelandet. Dort aber ist statt der Datei mit obigem Namen eine mit Namen wcfkyyh84evtgv.dll.dll.dll 3.Log: O20 - AppInit_DLLs: wcfkyyh84evtgv.dll.dll.dll.dll.dll.dll.dll. <C:\WINDOWS\zona02.exe nicht gefunden <C:\WINDOWS\system32\4di36bkj87p5fd gelöscht <C:\WINDOWS\system32\4hkg5jvr4uxtgv gelöscht <C:\WINDOWS\system32\es4jdw5ug5k3zo nicht gefunden (schon vorher gelöscht??) <C:\WINDOWS\system32\h66fi38rl6offd gelöscht <C:\WINDOWS\system32\lgky4icmptsffd gelöscht <C:\WINDOWS\system32\npmecsxoeop5fd nicht gefunden (?) <C:\WINDOWS\system32\wcfkyyh84evtgv nicht gefunden (aber ich hatte sie doch kurz zuvor noch in der reg gesehen!! Lade von hier die StartUplist (um immer ueberpruefen zzu koennen, ob der Kepper dort noch eingtragen ist) und loesche diese Datei im StartUp. http://www.spywareinfo.com/~merijn/downloads.html habe es gleich ausprobiert mit startuplist und siehe da, der angeblich nicht vorhandene wcfkyyh84evtgv.dll hockt da am ende. HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=wcfkyyh84evtgv.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. jetzt habe ich mit den veränderten Sucheinstellungen endlich !Submit gefunden und darin ist diese Datei, die ich mit malware scan so festgehalten habe: scan mit mwav.exe: C:\!Submit\689bktwmecv.dll infected by "Trojan.Win32.Krepper.ae" C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000144.dll infected by "Trojan.Win32.Krepper.ae" C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\765000.tmp infected by "Trojan.Win32.Krepper.ae" Mit der immer noch vorhandenen Datei 689bktwmecv.dll (die zuvor in C:\WINDOWS\System32 war, hatte ich schon heute nacht meine Probleme. Die Killbox hat sie zwar identifiziert, aber mit der Meldung could not be deleted. Dann drückte ich den button delete by reboot und siehe da – beim rebooten war meine ganze taskleiste und alle icons auf dem desktop verschwunden. Ich mußte den Strom unterbrechen und einen brutalen Neustart machen. File: 689bktwmecv.dll Status: INFECTED/MALWARE Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT AntiVir DR/Regger.J.1 (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefenderNo viruses found (0.48 seconds taken) ClamAV No viruses found (0.33 seconds taken) Dr.Web Trojan.Cassandra (0.49 seconds taken) F-Prot AntivirusNo viruses found (0.06 seconds taken) Kaspersky Anti-VirusTrojan.Win32.Krepper.ae (0.61 seconds taken) mks_vir No viruses found (0.24 seconds taken) NOD32 No viruses found (0.36 seconds taken) Norman Virus ControlNo viruses found (0.12 seconds taken) krepper 689bktwmecv.dll hat als Signatur: Firma: Melkosoft Corporation Dateiversion: 1.0.31.0 (zum Beispiel) Erstellt am: 23.11.2004 03.25 (also heute früh, als ich am Reparieren war) Größe: 67,0 KB xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip #Cwsserviceremove Note: You must run this program as a user with Administrator privaleges.(im abgesicherten Modus oeffnen) http://d21c.com/Tom41/?D=A < cwsfix.reg < cwsserviceremove.reg #AboutBuster. NUR .im abgesicherten Modus scannen www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken (noch nicht scannen) 4. Log habe ich nochmal escan geladen und gescannt. Er hat mir 13 Dateien gelöscht. Heute früh habe ich alles abgearbeitet was du mir geschrieben hast. Dann habe ich nochmal mit mwav gescannt (noch 14 drin, alle in der system volume information) und bin ich ans manuelle Löschen gegangen. Was zuerst nicht funktioniert hat. Erst als ich en Explorer wieder richtig eingestellt hatte, kamen die melkasoft-Dinger zum Vorschein. Alle manuell gelöscht. neuer escan - keine Virusmdg ----------------------------------------------------------------------------------------- nach Loeschen aller exe und dll,nochmaligem Scan mit eScan (Trial), deaktivieren der Wiederherstellung und loeschen der temporaeren Dateien (Datentraegerbereinigung) und loeschen der infizierten dll und der Eintraege: "Melkosoft" in der Registry ist das Log sauber. Kannst du mir nun berichten, ob die Vorgehensweise korrekt dokumentiert ist und ob du wirklich alles so gemacht hast. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.11.2004 um 15:56 Uhr von Sabina editiert.
|
|
|
|
|
|
|
24.11.2004, 13:56
Member
Beiträge: 16 |
#108
Hallo Sabina,
ich bin jetzt nochmal alles durchgegangen - und finde nix!!! die ganzen system32-Dinger hat escan weggeputzt, als ich gestern abend nochmal escan installiert und mit Löschfunktion gescannt habe. Heute früh habe ich zuerst xphidden, cwsserviceremove und aboutbuster geladen wie du beschrieben hast. brachte mir aber keine neuen erkenntnisse. getservices konnte ich nicht starten, der befehl pservice sei unbekannt. ziemlich gefrustet begann ich dann nochmal mwave und bekam jetzt die restlichen noch nicht gelöschten Virendateien angezeigt. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000141.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000142.exe infected by "TrojanDownloader.Win32.Small.uy" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000144.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000161.exe infected by "Trojan.Win32.Regger.j" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000162.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000163.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000165.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000166.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000169.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000170.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000171.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000172.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000355.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.fz" Virus. Action Taken: No Action Taken. Jetzt wollte ich die manuell löschen und nahm die windows-Suchfunktion zu Hilfe, ohne Erfolg, auch mit den von Dir beschriebenen Einstellungen. Als nächstes Explorer, fand sie zunächst aber nicht, bis ich den Explorer wieder so einstellte wie von Dir beschrieben: Ordneroptionen> Ansicht> Häkchen weg bei "Geschützte Systemdateien ausblenden" > Häckchen bei "Alle Dateien und Ordner anzeigen". So erschien der Ordner System Volume Information. Anklicken, erscheint _restore, anklicken erscheint RP1 und darin A0000[5 bis sowieso]. Die bin ich jetzt, weil ich bemerkt hatte, daß die Namen der infizierten Dateien sich seit gestern schon wieder geändert hatten, z.T. wenigstens, halt zur Sicherheit alle durchgegangen. Cursor drauf, so dass ich die Beschreibung lesen konnte. Und da ich ja gestern bei der einen Dateibeschreibung den bezeichnenden Namen Melkasoft gefunden hatte, löschte ich eben alle mit diesem Namen, was auch ohne jeden Widerstand funktionerte. Bloss die ISTactivex.dll konnte ich nicht finden. Aber beim erneuten escan wurde mir nichts mehr angezeigt. Und jetzt habe ich gerade mit schwitzenden Fingern den IE gestartet und eine www-Seite einetippt und siehe da, sie kam anstandslos ohne diese Trojanseite. Also ich glaube wir hätten das geschafft. Das war viel Arbeit, aber die Erleichterung ist noch viel größer. We kann ich Dir danken? mfg albrisser |
|
|
|
|
|
|
24.11.2004, 13:57
Ehrenmitglied
Beiträge: 29434 |
#109
Hallo@albrisser
du musst einfach die Systemwiederherstellung deaktivieren. «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\WINDOWS\Downloaded Program Files\ISTactivex.dll 4.) PC neustarten Ansonsten moechte ich mich bei dir bedanken  Du hast wunderbar mit mir zusammengearbeitet  Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.11.2004 um 14:01 Uhr von Sabina editiert.
|
|
|
|
|
|
|
24.11.2004, 19:02
...neu hier
Beiträge: 5 |
#110
Hallo Sabina,
habe alle Schritte ausgeführt, allerdings habe ich nirgends eine "dipedfhyhc24o81.dll.dll.dlll.dll.dll.dll.dll..." gefunden, stattdessen die von HiJack angezeigte bu9wrf3ek4uu6v.dll.dll.dll.dll..." (s.u.), die ich aus der regedit entfernt habe. AboutBuster und AdAware haben beide nichts gefunden. trotzdem bleibt der unten angezeigte Eintrag im logfile!??! Wie kommt denn das? Bin wohl immer noch verkreppert  O20 - AppInit_DLLs: bu9wrf3ek4uu6v.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll |
|
|
|
|
|
|
24.11.2004, 19:10
...neu hier
Beiträge: 5 |
#111
Hallo Sabina!
Aaaaah! :-)) Bin einfach nochmal mit HiJackFixer drübergefahren und bu9wrf3ek4uu6v.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll ist nicht nochmal aufgetaucht!! Juchhuu! Ich habe zwar überhaupt nicht mehr nachvollziehen können, was du mir da für Schritte angewiesen hast, aber es scheint geklappt zu haben! (Hoffe, ich bin jetzt sauber!) Tausend Dank!! :-) :-) Logfile of HijackThis v1.98.2 Scan saved at 19:00:02, on 24.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\mediaplayer32.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\Security!\TraxEx\TraXEx\TraXEx.exe D:\Programme\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\Programme\Security!\HijackThis!\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe O4 - Startup: TraXEx.lnk = D:\Programme\Security!\TraxEx\TraXEx\TraXEx.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{92017FDB-B268-49FD-A656-AC5E4215F59F}: NameServer = 134.169.9.150 O17 - HKLM\System\CS1\Services\Tcpip\..\{92017FDB-B268-49FD-A656-AC5E4215F59F}: NameServer = 134.169.9.150 O17 - HKLM\System\CS2\Services\Tcpip\..\{92017FDB-B268-49FD-A656-AC5E4215F59F}: NameServer = 134.169.9.150 |
|
|
|
|
|
|
24.11.2004, 21:21
Ehrenmitglied
Beiträge: 29434 |
#112
Hallo@Talgraf
Jetzt hast du einen Backdoor drauf Start<Ausfuehren<regedit loesche: Start Upping = "MEDIAPLAYER32.EXE" .......................................................... HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run Start Upping = "MEDIAPLAYER32.EXE" HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunServices MicrosofStart Upping = "MEDIAPLAYER32.EXE" HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Run Start Upping = "MEDIAPLAYER32.EXE" ------------------------------------------------------------------------ HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous= dword:00000001 "1" --««also....in "0" [dword:00000000] aendern --------------------------------------------------------------------------- #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe neustarten Loesche im abgesicherten Modus)C:\WINDOWS\System32\mediaplayer32.exe #Trend-Micro (Online-Scann machen !!!) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #Nun scanne noch mal mit eScan (mwav.exe) zur Ueberpruefung. <Das eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die "kavupd.exe" suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, --------------------------------------------------------------------------------- It also takes advantage of the following vulnerabilities to spread on accessible systems: * Buffer Overflow in SQL Server 2000 * Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) * Windows LSASS For more information about the said Windows vulnerabilities, please refer to the following Microsoft Web pages: * Microsoft Security Bulletin MS02-061 * Microsoft Security Bulletin MS03-026 * Microsoft Security Bulletin MS04-011 http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_RBOT.AAJ #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php Deinstalliere deinen Antivirus und lade neu: #Antivirus (free) http://www.free-av.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.11.2004 um 21:38 Uhr von Sabina editiert.
|
|
|
|
|
|
|
25.11.2004, 22:54
...neu hier
Beiträge: 5 |
#113
Hallo Sabina,
wo finde ich denn diese Zeilen? In der regedit bin ich nicht drauf gestoßen!? HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous= dword:00000001 "1" --««also....in "0" [dword:00000000] aendern mfg, talgraf |
|
|
|
|
|
|
25.11.2004, 23:39
Ehrenmitglied
Beiträge: 29434 |
#114
HKey_Lokal_Machine--> Software--> Microsoft-->Ole -->EnableDCOM="N" "N"--also...in "Y" aendern
HKey_Lokal_Machine-->ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern HKey_Lokal_Machine-->CurrentControlSet\Control\Lsa\restrictanonymous= dword:00000001 "1" --««also....in "0" [dword:00000000] aendern Dann den Backdoor loeschen, die Systemwiederherstellung deaktivieren und das Log noch mal posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.11.2004, 17:43
...neu hier
Beiträge: 1 |
#115
Hallo Sabina,
ich habe auch das mehrfach beschriebene "http://t.swapx.cc/h.php?aid=20009"-Problem. What shall we do??? Hier mein log-File: Logfile of HijackThis v1.98.2 Scan saved at 17:37:03, on 26.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\S24EvMon.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\System32\RegSrvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\SAP\Mobile\bin\ClientUpgradeService.exe C:\WINNT\system32\MSTask.exe C:\WINNT\SYSTEM32\THOTKEY.EXE C:\Programme\TOSHIBA\TME3\Tmesbs3.exe C:\Programme\TOSHIBA\TME3\Tmesrv3.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\ZCfgSvc.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\TPWRTRAY.EXE C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\WINNT\system32\TFNF5.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe C:\WINNT\System32\ezSP_Px.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINNT\system32\dpmw32.exe C:\WINNT\system32\NWTRAY.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Programme\FreePDF\FreePDFA.exe C:\system.exe C:\WINNT\system32\y9zxhdd8jp7sthd.exe C:\WINNT\system32\internat.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Sony Handheld\HOTSYNC.EXE C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE C:\Programme\SAPPC\sapgui\saplgpad.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\BiermannDa\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 128.1.2.14:3128 O1 - Hosts: 128.1.1.1 R01 O1 - Hosts: 128.1.1.3 R02 O1 - Hosts: 128.1.0.5 SI05 O1 - Hosts: 128.1.0.1 SI06 O1 - Hosts: 128.1.2.13 INTRANET O1 - Hosts: 128.1.2.14 EMAIL O1 - Hosts: 128.1.4.1 SI07 O1 - Hosts: 128.1.4.2 BDESAN O1 - Hosts: 128.1.4.4 HP01 O1 - Hosts: 128.1.4.5 HP02 O1 - Hosts: 128.1.4.6 HP03 O1 - Hosts: 128.1.4.7 HP04 O1 - Hosts: 128.1.4.8 HP05 O1 - Hosts: 128.1.4.9 HPR06 O1 - Hosts: 128.1.4.16 HP07 O1 - Hosts: 128.1.4.13 HP08 O1 - Hosts: 128.1.4.14 HPR09 O1 - Hosts: 128.1.4.15 HPR10 O1 - Hosts: 128.1.4.17 HP11 O1 - Hosts: 128.1.4.18 HP12 O1 - Hosts: 128.1.4.19 HP13 O1 - Hosts: 128.1.4.20 HP14 O1 - Hosts: 128.1.4.21 HP15 O1 - Hosts: 128.1.4.22 HPR16 O1 - Hosts: 128.1.4.25 HP17 O1 - Hosts: 128.1.4.26 HP18 O1 - Hosts: 128.1.4.27 HP19 O1 - Hosts: 128.1.4.29 mets001 O1 - Hosts: 129.51.4.1 HP20 O1 - Hosts: 128.1.4.28 HP21 O1 - Hosts: 128.1.4.32 HP22 O1 - Hosts: 128.1.4.35 HP23 O1 - Hosts: 128.1.4.36 HP24 O1 - Hosts: 128.1.4.38 HP25 O1 - Hosts: 128.1.4.40 HP26 O1 - Hosts: 128.1.4.42 HP27 O1 - Hosts: 128.1.4.44 HPR28 O1 - Hosts: 128.1.4.45 HP29 O1 - Hosts: 128.1.4.47 HP30 O1 - Hosts: 128.1.4.49 HP31 O1 - Hosts: 128.1.4.52 HP32 O1 - Hosts: 128.1.4.54 HP33 O1 - Hosts: 128.1.4.56 HP34 O1 - Hosts: 128.1.4.58 HP35 O1 - Hosts: 128.1.4.60 HP36 O1 - Hosts: 128.1.4.62 HP37 O1 - Hosts: 128.1.4.63 HP38 O1 - Hosts: 128.1.4.65 HP39 O1 - Hosts: 128.1.4.67 HPR40 O1 - Hosts: 128.1.4.68 HP41 O1 - Hosts: 128.1.4.70 HP42 O1 - Hosts: 128.1.4.74 NET01 O1 - Hosts: 128.1.4.75 RH01 O1 - Hosts: 128.1.4.76 apolcp net02 O1 - Hosts: 128.1.4.77 RH02 rh02 O1 - Hosts: 128.1.4.81 ITSPA1 itspa1 O1 - Hosts: 128.1.4.86 RH03 rh03 O1 - Hosts: 128.1.4.87 apolce net03 O1 - Hosts: 128.1.4.88 RH05 rh05 O1 - Hosts: 128.1.4.91 ITSPA2 itspa2 O1 - Hosts: 128.1.4.92 RH06 rh06 O1 - Hosts: 128.1.4.98 DNS2 O1 - Hosts: 128.1.4.140 RH04 rh04 O1 - Hosts: 128.1.11.206 PCSERVER O1 - Hosts: 136.1.2.1 VUBFPM O1 - Hosts: 136.1.5.3 ADNWIN O1 - Hosts: 172.20.1.11 ALFSRV1 O1 - Hosts: 172.20.1.12 ALFSRV2 O1 - Hosts: 172.21.1.181 SERVICE O1 - Hosts: 20.9.33.226 PLBSCNT2 O1 - Hosts: 193.158.76.134 PYSERVER O1 - Hosts: 193.158.76.134 IMSERVER O1 - Hosts: 128.1.2.24 VB-TREE O1 - Hosts: 128.1.2.25 VB-TREE O1 - Hosts: 128.1.2.26 VB-TREE O1 - Hosts: 128.1.2.25 MET01NS02 O1 - Hosts: 128.1.2.26 MET01NS03 O1 - Hosts: 128.1.2.27 MET01NS04 O1 - Hosts: 128.1.2.28 MET01NS05 O1 - Hosts: 128.1.2.29 MET01NS06 O1 - Hosts: 128.1.2.30 MET01NS07 O1 - Hosts: 128.1.2.31 MET01NS08 O1 - Hosts: 128.1.2.32 MET01CD01 O1 - Hosts: 128.3.2.7 MZG01NS01 O1 - Hosts: 128.2.2.1 MZG02NS01 O1 - Hosts: 128.4.2.2 DBG01NS01 O1 - Hosts: 128.20.2.1 LOS01NS01 O1 - Hosts: 130.1.2.20 LUX01NS01 O1 - Hosts: 129.55.2.2 FOR01NS01 O1 - Hosts: 199.137.137.249 VAC01NS01 O1 - Hosts: 192.169.21.11 TOR01NS01 O1 - Hosts: 129.51.4.8 LFG01NS01 O1 - Hosts: 129.51.4.7 LFG01NS02 O1 - Hosts: 192.1.12.15 MDS01NS01 O1 - Hosts: 99.0.0.11 DZB01NS01 O1 - Hosts: 130.55.2.21 RSM01NS01 O1 - Hosts: 99.0.0.11 DZB01NS01 O1 - Hosts: 129.55.2.2 FOR01NS01 O1 - Hosts: 128.1.30.12 timecapture TIMECAPTURE O1 - Hosts: 128.1.7.170 fiery O1 - Hosts: 128.1.4.79 HPOB2 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINNT\system32\LU9SEX~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV3.EXE /Logon O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS3.EXE /logon O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25 O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe" O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\System32\ezSP_Px.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NDPS] C:\WINNT\system32\dpmw32.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [winupgrade] c:\system.exe O4 - HKLM\..\Run: [Control handler] C:\WINNT\system32\y9zxhdd8jp7sthd.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{EA41AA0F-03AF-4F29-AAAB-D2E4F672660E}: NameServer = 192.168.161.20,128.1.4.98 O20 - AppInit_DLLs: 1vjg62z8fb72z1l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll |
|
|
|
|
|
|
27.11.2004, 00:00
Ehrenmitglied
Beiträge: 29434 |
#116
Hallo@bimmelinho
Wenn du gute Nerven hast...koennen wir die Reinigung versuchen...ansonsten installiere neu. ----------------------------------------------------------------------------- MRU-Clear XP 1.2 Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat. Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen. http://www.ok-s.de/download/download.html Gehe in die Registry Start<Ausfuehren<regedit Suche\loesche alles, was du findest (Suchfunktion der Registry links oben) reinkopieren in das Suchfenster: <1vjg62z8fb72z1l <1vjg62z8fb72z1 <LU9SEX -> notiere dir, wie die dll komplett heisst, wenn du sie dann spaeter loeschen willst. <Control handler <*http://t.swapx.cc/h.php?aid=20009* (ohne Sternchen suchen) <*http://win-eto.com/sp.htm?id=9* <y9zxhdd8jp7sthd <win-eto.com < Melkosoft zum Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs"="1vjg62z8fb72z1l #HKEY_CLASSES_ROOT\CLSID\ loeschen: {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}\InproServer32 HKEY_LOKAL_MACHINE\Software\Classes\CLSID loeschen: {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}\InproServer32 HKEY_USERS_\S-1-5-21583907252-920026266-1060284298-1003\Software\Microsoft\Windows\Currentversion\Explorer\Comdlg3 loeschen, wenn es da ist C:\Windows\System32\1vjg62z8fb72z1l.dll.dll.dll.dll.dll.dll ---------------------------------------------------------------------------- 1.Schritt: <Das eScan AV Toolkit--> Erkennungstool--> loescht nicht (mwav.exe) herunterladen, öffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die "kavupd.exe" suchen) und anklicken. ------------------------------------------------------------------------------- 2.Schritt: <xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip KillBox http://www.bleepingcomputer.com/files/killbox.php <"cwsfix.reg" + "cwsserviceremove.reg downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. --> http://d21c.com/Tom41/?D=A <AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen. --> www.malwarebytes.biz/AboutBuster.zip <AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen. --> http://www.lavasoft.de/support/download/ #öffne das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 2.Schritt: #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9 O1 - Hosts: 128.1.1.1 R01 O1 - Hosts: 128.1.1.3 R02 O1 - Hosts: 128.1.0.5 SI05 O1 - Hosts: 128.1.0.1 SI06 O1 - Hosts: 128.1.2.13 INTRANET O1 - Hosts: 128.1.2.14 EMAIL O1 - Hosts: 128.1.4.1 SI07 O1 - Hosts: 128.1.4.2 BDESAN O1 - Hosts: 128.1.4.4 HP01 O1 - Hosts: 128.1.4.5 HP02 O1 - Hosts: 128.1.4.6 HP03 O1 - Hosts: 128.1.4.7 HP04 O1 - Hosts: 128.1.4.8 HP05 O1 - Hosts: 128.1.4.9 HPR06 O1 - Hosts: 128.1.4.16 HP07 O1 - Hosts: 128.1.4.13 HP08 O1 - Hosts: 128.1.4.14 HPR09 O1 - Hosts: 128.1.4.15 HPR10 O1 - Hosts: 128.1.4.17 HP11 O1 - Hosts: 128.1.4.18 HP12 O1 - Hosts: 128.1.4.19 HP13 O1 - Hosts: 128.1.4.20 HP14 O1 - Hosts: 128.1.4.21 HP15 O1 - Hosts: 128.1.4.22 HPR16 O1 - Hosts: 128.1.4.25 HP17 O1 - Hosts: 128.1.4.26 HP18 O1 - Hosts: 128.1.4.27 HP19 O1 - Hosts: 128.1.4.29 mets001 O1 - Hosts: 129.51.4.1 HP20 O1 - Hosts: 128.1.4.28 HP21 O1 - Hosts: 128.1.4.32 HP22 O1 - Hosts: 128.1.4.35 HP23 O1 - Hosts: 128.1.4.36 HP24 O1 - Hosts: 128.1.4.38 HP25 O1 - Hosts: 128.1.4.40 HP26 O1 - Hosts: 128.1.4.42 HP27 O1 - Hosts: 128.1.4.44 HPR28 O1 - Hosts: 128.1.4.45 HP29 O1 - Hosts: 128.1.4.47 HP30 O1 - Hosts: 128.1.4.49 HP31 O1 - Hosts: 128.1.4.52 HP32 O1 - Hosts: 128.1.4.54 HP33 O1 - Hosts: 128.1.4.56 HP34 O1 - Hosts: 128.1.4.58 HP35 O1 - Hosts: 128.1.4.60 HP36 O1 - Hosts: 128.1.4.62 HP37 O1 - Hosts: 128.1.4.63 HP38 O1 - Hosts: 128.1.4.65 HP39 O1 - Hosts: 128.1.4.67 HPR40 O1 - Hosts: 128.1.4.68 HP41 O1 - Hosts: 128.1.4.70 HP42 O1 - Hosts: 128.1.4.74 NET01 O1 - Hosts: 128.1.4.75 RH01 O1 - Hosts: 128.1.4.76 apolcp net02 O1 - Hosts: 128.1.4.77 RH02 rh02 O1 - Hosts: 128.1.4.81 ITSPA1 itspa1 O1 - Hosts: 128.1.4.86 RH03 rh03 O1 - Hosts: 128.1.4.87 apolce net03 O1 - Hosts: 128.1.4.88 RH05 rh05 O1 - Hosts: 128.1.4.91 ITSPA2 itspa2 O1 - Hosts: 128.1.4.92 RH06 rh06 O1 - Hosts: 128.1.4.98 DNS2 O1 - Hosts: 128.1.4.140 RH04 rh04 O1 - Hosts: 128.1.11.206 PCSERVER O1 - Hosts: 136.1.2.1 VUBFPM O1 - Hosts: 136.1.5.3 ADNWIN O1 - Hosts: 172.20.1.11 ALFSRV1 O1 - Hosts: 172.20.1.12 ALFSRV2 O1 - Hosts: 172.21.1.181 SERVICE O1 - Hosts: 20.9.33.226 PLBSCNT2 O1 - Hosts: 193.158.76.134 PYSERVER O1 - Hosts: 193.158.76.134 IMSERVER O1 - Hosts: 128.1.2.24 VB-TREE O1 - Hosts: 128.1.2.25 VB-TREE O1 - Hosts: 128.1.2.26 VB-TREE O1 - Hosts: 128.1.2.25 MET01NS02 O1 - Hosts: 128.1.2.26 MET01NS03 O1 - Hosts: 128.1.2.27 MET01NS04 O1 - Hosts: 128.1.2.28 MET01NS05 O1 - Hosts: 128.1.2.29 MET01NS06 O1 - Hosts: 128.1.2.30 MET01NS07 O1 - Hosts: 128.1.2.31 MET01NS08 O1 - Hosts: 128.1.2.32 MET01CD01 O1 - Hosts: 128.3.2.7 MZG01NS01 O1 - Hosts: 128.2.2.1 MZG02NS01 O1 - Hosts: 128.4.2.2 DBG01NS01 O1 - Hosts: 128.20.2.1 LOS01NS01 O1 - Hosts: 130.1.2.20 LUX01NS01 O1 - Hosts: 129.55.2.2 FOR01NS01 O1 - Hosts: 199.137.137.249 VAC01NS01 O1 - Hosts: 192.169.21.11 TOR01NS01 O1 - Hosts: 129.51.4.8 LFG01NS01 O1 - Hosts: 129.51.4.7 LFG01NS02 O1 - Hosts: 192.1.12.15 MDS01NS01 O1 - Hosts: 99.0.0.11 DZB01NS01 O1 - Hosts: 130.55.2.21 RSM01NS01 O1 - Hosts: 99.0.0.11 DZB01NS01 O1 - Hosts: 129.55.2.2 FOR01NS01 O1 - Hosts: 128.1.30.12 timecapture TIMECAPTURE O1 - Hosts: 128.1.7.170 fiery O1 - Hosts: 128.1.4.79 HPOB2 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINNT\system32\LU9SEX~1.DLL O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O4 - HKLM\..\Run: [winupgrade] c:\system.exe O4 - HKLM\..\Run: [Control handler] C:\WINNT\system32\y9zxhdd8jp7sthd.exe O20 - AppInit_DLLs: 1vjg62z8fb72z1l.dll.dll.dll.dll.dll.dll PC neustarten 3. Schritt: PC neustarten..und <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Löschen/mit der Killbox: KillBox Loesche: <c:\system.exe <C:\WINNT\system32\y9zxhdd8jp7sthd.exe <C:\WINNT\system32\1vjg62z8fb72z1l <C:\WINNT\system32\LU9SEX~1.DLL 5. Schritt: und dort füge cwsfix.reg" + "cwsserviceremove.reg durch "yes" der Registry bei und scanne mit AboutBuster und AdAware. Dann scanne mit mwav.exe (escan) und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen.. loeschen. --------------------------------------------------------------------------------- Gehe wieder in den Normalmodus: 7.Schritt: deinstalliere\deaktiviere deinen Virenscanner und lade: #eScan-Trial http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) Scanne im abgesicherten Modus . klicke auf: awn2k3e.exe ueberpruefe noch mal alles mit eScan (mwav.exe) und in der Registry, ob sich nicht wieder etwas neu eingetragen hat. Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k ------------------------------------------------------------------------ dann poste das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.11.2004 um 00:27 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.11.2004, 10:37
...neu hier
Beiträge: 4 |
#117
Hello Sabina.. Hier bin ich nochmal.. Du hattest mir in deiner letzten Antwort geschrieben dass ich nicht als Administrator surfen sollte, also hab ich ein neues Benutzerkonto eingerichtet, aber unter dem steht auch Computeradministrator... ist das nicht das gleiche? -> doch wenn ich jetzt den PC neu starte kann ich mich gar nicht mehr als Administrator einloggen ausser im abgesicherten modus... Bitte um Nachhilfestunden im Fach PC-Benutzerkonten...
Ausserdem hab ich glaub alle bösen files rausbekommen, die Startseite wird nicht mehr geändert, escan findet gar nichts mehr und adaware auch nicht. cw shredder auch nicht und about buster auch nicht.. DOCH: als vorhin gerade mit hijackthis gescannt habe zeigt der mir doch glatt wieder dieses R1 und O20 an.... was meinst du dazu? Logfile of HijackThis v1.98.2 Scan saved at 10:30:51, on 28.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\SYSTEM32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\System32\Ati2evxx.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\spoolsv.exe I:\WINDOWS\SYSTEM32\Ati2evxx.exe I:\WINDOWS\Explorer.EXE I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe I:\WINDOWS\System32\RunDll32.exe I:\WINDOWS\System32\ctfmon.exe I:\Programme\MSN Messenger\msnmsgr.exe J:\ZoneAlarm Pro\ZoneAlarm\zapro.exe J:\AntiVIR\AVWUPSRV.EXE I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\ZoneLabs\vsmon.exe I:\WINDOWS\System32\MsPMSPSv.exe I:\Programme\Internet Explorer\iexplore.exe J:\hijack this\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://win-eto.com/hp.htm?id=9 O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [ATIPTA] I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [DigidesignMMERefresh] J:\ProTools\Digidesign\Drivers\MMERefresh.exe O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "I:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: ZoneAlarm Pro.lnk = J:\ZoneAlarm Pro\ZoneAlarm\zapro.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\MSMSGS.EXE O20 - AppInit_DLLs: erp93v92ow63rsll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll mfg |
|
|
|
|
|
|
28.11.2004, 11:11
...neu hier
Beiträge: 1 |
#118
Hallo @all
Also ich habe leider auch dieses Problem mit der Startseite bin schon total am verzweifeln. Ich hoffe, dass mir jemand helfen kann denn von dieser ganzen Marterie habe ich noch nicht allzu viel Ahnung da ich noch fast ein NEWBIE bin. Hier ist die Log-file wie von den anderen auch. Ich sage schon mal Danke im voraus. Logfile of HijackThis v1.98.2 Scan saved at 11:10:05, on 28.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Winamp\winampa.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\bccy52tskx2tdithd.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Downloads\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\YP2B28~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: (no name) - {575F5A02-9CA7-4736-A98B-1EED07D837AC} - (no file) O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [saap] c:\programme\n-case\saap.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\bccy52tskx2tdithd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1029_EN_XP.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F436502-44D6-4093-8C08-634539585F45}: NameServer = 62.27.27.62 62.27.53.66 O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll (file missing) O20 - AppInit_DLLs: c8t12idccl5widll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll |
|
|
|
|
|
|
28.11.2004, 12:28
Ehrenmitglied
Beiträge: 29434 |
#119
Hallo@Shansy
Neuinstallation XP http://8ung.at/chemikers-home/SETUP.html 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.html 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren microsoft.public.de.security.heimanwender FAQ Danach die WindowsUpdates machen www.windowsupdate.com besuchen und alle Updates installieren #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Du solltest nur zum online-gehen ein extra Benutzerkonto einrichten, dass nur über eingeschränkte Rechte verfügt. Damit entziehst du Viren und Co weitestgehend jegliche Grundlage. Installiere XP wie du es brauchst, erstelle dann ein Konto mit Adminsrechten in der Benutzerverwaltung, danach wandelst du dein Benutzerkonto, das standardäßig Adminrechte hat . 15. Wenn wir Windows 2000 oder Windows XP Pro als Administrator ausführen, wird das System dadurch anfällig für Trojanische Pferde und andere Sicherheitsrisiken. Schon allein das Besuchen einer Internetsite kann eine starke Gefährdung für das System bedeuten. Eine unbekannte Internetsite verfügt möglicherweise über ein trojanisches Pferd, das auf das System gedownloadet und dort ausgeführt werden kann. Wenn wir uns also mit Administratorrechten anmelden, könnte ein trojanisches Pferd auf unserem System eindringen und beispielsweise die Festplatte formatieren, alle Dateien löschen, ein neues Benutzerkonto mit Administratorrechten erstellen usw. Also erstellen wir einen neuen Benutzer und nennen ihn "Surfer". Wenn wir uns als Mitglied der Gruppe Benutzer anmelden, können wir Routineaufgaben durchführen, wie das Ausführen von Programmen und das Besuchen von Internetsites, ohne unseren Computer einem unnötigen Risiko auszusetzen. Als Mitglied der Gruppe Benutzer können wir neben diesen Routineaufgaben auch Programme installieren, Drucker hinzufügen und die meisten Programme der Systemsteuerung verwenden. Für Administratoraufgaben, wie das Aktualisieren des Betriebssystems oder das Konfigurieren von Systemparametern, müßen wir uns dann erst abmelden und als Administrator neu anmelden. Eingeschleuste Programmcodes oder Trojaner haben auf dem von uns angelegten Benutzerkonto dann keine Chance mehr auf eine heimliche Installation, denn auf unserem Benutzerkonto sind sie nicht existent bzw. ohne Administratorrechte gar nicht ausführbar. So können wir in aller Ruhe diese Schädlinge beseitigen, ohne daß wir um unser Admin-Hauptkonto und die dazugehörigen Daten Angst haben müßten. Sollten wider Erwarten doch Probleme auftauchen und irgendwelche Schädlinge diese Barriere umschifft haben, dann wechseln wir rasch zum Adminkonto, löschen das separate Benutzerkonto aus der Computerverwaltung und aus dem Benutzerprofil in den Systemeigenschaften und legen nach einem Neustart einfach ein neues an. Auch wenn es keine totale Sicherheit gibt, die Option des eingeschränkten Benutzers ist eine sehr brauchbare Präventivmaßnahme und was noch viel interessanter ist, sie kostet kein Geld. Auf eines sei aber hingewiesen: Gegen Würmer wie Sasser & Co. ist auch dieses eingeschränkte Konto machtlos, da sich diese Würmer von außen über die Sicherheitslücken in den Systemdienste einnisten und dies geschieht über das Konto "System". Dieses Konto hat teilweise mehr Rechte als das Adminkonto und darum wäre der Wurm nach einem erfolgreichen Einbruch der Administrator des Rechners! Wie man diese Lücken erfolgreich schließt um genau das zu verhindern, könnt ihr in den vorbeugenden Maßnahmen unseres Sasser-Wurm-Workshops nachlesen: zum Artikel http://www.pc-experience.de/wbb2/thread.php?threadid=4688&boardid=20&sid= mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.11.2004 um 12:31 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.11.2004, 12:43
Ehrenmitglied
Beiträge: 29434 |
#120
Hallo@Homer1982
Ich sehe nur eine (kleine )Moeglichkeit, den Krepper-Trojan zu beseitigen. Den Symantec deaktivieren und eScan laden. Dann im abgesicherten Modus und im Normalmodus scannen --------------------------------------------------------------------------------- Versteckte Ordner\Dateien anzeigen #Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip 1.)Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 2.) eScan-Trial laden http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) 3.)gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml 4.)Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k 5.)klicke auf: awn2k3e.exe und scanne mit eScan 6.) In der Registry alle Eintrage loeschen, die auf den Krepper verweisen Start<Ausfuehren<regedit reinschreiben die Registry oeffnet sich: <Control handler <*http://t.swapx.cc/h.php?aid=20009* (ohne Sternchen suchen) <*http://win-eto.com/sp.htm?id=9* <win-eto.com < Melkosoft <c8t12idccl5widll 7.)Noch mal im Normalmodus mit eScan scannen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.11.2004 um 12:45 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Yuuuuu !!!!!!!!
und hast du die anderen Tools angewendet...beschreibe bitte alles ganz ganz genau !!!!!!!
<C:\WINDOWS\zona02.exe
<C:\WINDOWS\system32\4di36bkj87p5fd
<C:\WINDOWS\system32\4hkg5jvr4uxtgv
<C:\WINDOWS\system32\es4jdw5ug5k3zo
<C:\WINDOWS\system32\h66fi38rl6offd
<C:\WINDOWS\system32\lgky4icmptsffd
<C:\WINDOWS\system32\npmecsxoeop5fd
<C:\WINDOWS\system32\wcfkyyh84evtgv
Load/Run keys from C:\WINDOWS\WIN.INI:
load=*INI section not found*
run=*INI section not found*
Load/Run keys from Registry:
HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=wcfkyyh84evtgv.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
-->>> Erst als ich den Explorer wieder richtig eingestellt hatte, kamen die melkasoft-Dinger zum Vorschein. ?????????????
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit