[Microsoft IIS]C:\WINDOWS\system32\syshost.exe--W32.Francette.Worm |
||
---|---|---|
#0
| ||
07.12.2004, 15:33
...neu hier
Beiträge: 6 |
||
|
||
07.12.2004, 16:18
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Arac
1) lade rem.zip herunter http://derbilk.de/rem.zip (direkter download-link). 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. 4) starte die datei rem.bat, scannen lassen. 5) starte den rechner anschließend im normalen modus. 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip 1.Log Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.12.2004 um 16:22 Uhr von Sabina editiert.
|
|
|
||
07.12.2004, 20:58
...neu hier
Themenstarter Beiträge: 6 |
#3
Sorry aber der erste Link klappt net.
Außerdem... Zitat 7) markiere den inhalt und füge ihn hier ein.Kapier ich den schritt nicht so ganz was ich nun wo einfügen muss. Aber trotzdem schonmal danke dass du dich um mich kümmerst... |
|
|
||
08.12.2004, 12:04
Ehrenmitglied
Beiträge: 29434 |
#4
Einfuegen bedeutet, dass du alles, was im Text-Editor erscheint hier in den Thread kopierst.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2004, 17:40
...neu hier
Themenstarter Beiträge: 6 |
#5
Hehe du hast was wichtiges übersehen!
Der Download-Link von der ZIP Datei klappt nicht wirklich! Da kommt immer nur 404 Fehler und wenn ich auf "Ziel downloaden" gehe dann lädt der die 404.htm runter! |
|
|
||
08.12.2004, 17:47
Ehrenmitglied
Beiträge: 29434 |
#6
HijackThis/1.98.2 :
http://www.downloads.subratam.org/hijackthis.zip Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2004, 18:25
...neu hier
Themenstarter Beiträge: 6 |
#7
Logfile of HijackThis v1.98.2
Scan saved at 18:24:44, on 08.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Personal Firewall\SymProxySvc.exe C:\Programme\Norton Personal Firewall\NISSERV.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Norton Personal Firewall\IAMAPP.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\ctfmon.exe C:\Pulse\Pulse.exe C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Programme\Norton Personal Firewall\ATRACK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\mIRC\mirc.exe C:\Programme\Opera7\opera.exe C:\Dokumente und Einstellungen\Julian\Eigene Dateien\Sonstiges\antiwurm\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\promt Übersetzer\PRMTIE\prmtie.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Pulse] C:\Pulse\Pulse.exe -splash O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{067B08F6-6D70-4B06-8871-DC10BD28234E}: NameServer = 62.27.27.62 62.27.53.66 O17 - HKLM\System\CS1\Services\Tcpip\..\{067B08F6-6D70-4B06-8871-DC10BD28234E}: NameServer = 62.27.27.62 62.27.53.66 |
|
|
||
08.12.2004, 18:45
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe PC neustarten 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\WINDOWS\system32\syshost.exe 4.) PC neustarten arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Dann poste das Log noch einmal. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip __________________________________________________________________ W32.Francette.Worm This worm also takes advantage of the following known Windows vulnerabilities, malware backdoor capabilities and application to propagate: http://securityresponse.symantec.com/avcenter/venc/data/w32.francette.worm.html Buffer Overflow in Universal Plug and Play Buffer Overflow in SQL Server 2000 IIS/WebDAV vulnerability Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability Windows LSASS vulnerability WORM_BAGLE, WORM_MYDOOM, BKDR_OPTIX, BKDR_NETDEVIL, BKDR_KUANG and BKDR_SUB7 variants DameWare Wenn man so einen ungepatchten PC sieht, ohne Updates, dann kann man verstehen, warum du solche Viren eingfaengst....und noch einfangen wirst #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.12.2004 um 19:02 Uhr von Sabina editiert.
|
|
|
||
08.12.2004, 19:04
...neu hier
Themenstarter Beiträge: 6 |
#9
*g Sabrina ich mag nicht so gerne dass Microsoft auf meinen Rechner guggt und sachen sieht die besser nicht gesehen werden sollten
Hab nochmal eine Zwischenfrage: Wo soll ich nach dem Scan überall Häkchen setzen? Wohl kaum überall oder? Doch nur bei dem Syshost.exe oder? Dieser Beitrag wurde am 08.12.2004 um 19:05 Uhr von Arac editiert.
|
|
|
||
08.12.2004, 19:18
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@Arak
So einen Bloedsinn habe ich schon lange nicht gehoert !!!!!!!!!!!!!!!! Wieso soll MS auf deinen Rechner gucken...sind doch sowieso nur Viren ????? Die SicherheitsUpdates haben doch nichts mit MS zu tun, sondern mit deiner PC-Sicherheit oder glaubst du im Ernst, dass MS nichts anderes zu tun hat , als deinen verseuchten PC zu beschnueffeln ?????????????? #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen vor den Wurm-Eintrag-->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe PC neustarten 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\WINDOWS\system32\syshost.exe 4.) PC neustarten arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Dann poste das Log noch einmal. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip _______________________________________________________________ #Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung So sichern Sie sich vor Viren, Trojanern und anderen ungebetenen Gästen http://www.comsafe.de/ Halten Sie Ihr Computer-System immer auf dem neuesten Stand! Verwenden Sie stets aktuelle Programmversionen - vor allem im Hinblick auf das Betriebssystem, den Internet-Browser und das Email-Programm. Die jeweils neueste Version lässt sich schnell und einfach mithilfe Ihres Windows-Update-Programms aus dem Internet herunterladen und installieren. Die Microsoft Patchsammlung SP2 lag als CD vielen Computerzeitschriften im September und Oktober 2004 bei und beinhaltet alle Sicherheitsupdates für Windows XP und den Internet Explorer bis zum August 2004. Hier können Sie das Programmpaket herunterladen: Microsoft Sicherheitsupdate SP2 (Achtung: 265 MB!) #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.12.2004 um 19:24 Uhr von Sabina editiert.
|
|
|
||
08.12.2004, 21:18
...neu hier
Themenstarter Beiträge: 6 |
#11
Also mein System ist dank dir wieder gesund!
Ich danke dir! Allerdings wird sich bei mir nicht viel an sicherheit verändern. Nochmal bin ich nicht so doof und deaktiviere meine Firewall und denk später beim connecten nicht dran die wieder anzuschalten. Denn MIT Firewall hatte ich noch nie Probleme Dank dir! Arac |
|
|
||
[img]www.K-Force.de/arac/Troja.jpg[/img]
So ich starte daraufhin, weils ja nicht geklappt hat alles zu entfernen, Windows XP im abgesicherten Modus.
Hier kann ich beide infizierten Dateien löschen.
Aber sobald ich neustarte, sind diese Dateien wieder da!
Ich hoffe ihr könnt mir sagen wie ich dieses Problem dauerhaft beheben kann!
Vielen Dank,
Arac