Verschiedene Trojaner, Würmer, Dropper (im Thread aufgelistet) |
||
---|---|---|
#0
| ||
03.02.2005, 11:35
...neu hier
Beiträge: 3 |
||
|
||
03.02.2005, 11:53
Member
Beiträge: 669 |
#2
Die Infektionen liegen alle unter C:\SYSTEM VOLUME INFORMATION\_RESTORE...
diese Verzeichnisse sind für die Systemwiederherstellung verantwortlich. Dein aktuelles System scheint also nicht betroffen zu sein. Deaktiviere also zunächst die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Reboote dein System bei deaktivierter Wiederherstellung und lasse nochmal neu scannen. Zur Sicherheit arbeiten wir dann das ganze Programm ab: Lade folgende Programme herunter und update sie: HijackThis http://www.hijackthis.de/downloads/hijackthis_199.zip AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html eScan http://www.mwti.net/antivirus/free_utilities.asp edit: Tippfehler in der eScan-URL berichtigt Deaktiviere den Virenwächter, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) (DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig). Starte eScan mit der mwav.exe. Das Programm wird sich im temp-Ordner extrahieren und automatisch starten, wenn du es frisch heruntergeladen hast sind die Viren-Definitionen aktuell und das manuelle Update nicht zwingend nötig. Setze im eScan alle Häkchen und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (komlpetter Pfad + Datei, sowie Art der Infektion!) Virenwächter danach wieder aktivieren! Erstelle danach ein HijackThis-Log und poste es mit den Ergebnissen von eScan ebenfalls hier. __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 05.02.2005 um 23:18 Uhr von Malkesh editiert.
|
|
|
||
03.02.2005, 14:54
...neu hier
Themenstarter Beiträge: 3 |
#3
Na dann mal vielen Dank, Malkesh, für die nette Hilfe. Werd mich gleich an die Arbeit machen. Falls es Probleme gibt, schreib ich gern nochmal...
Chili |
|
|
||
03.02.2005, 16:43
...neu hier
Themenstarter Beiträge: 3 |
#4
Hier jetzt mein Logfile, escan hat nichts mehr gefunden...
Logfile of HijackThis v1.99.0 Scan saved at 16:40:06, on 03.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE c:\Programme\LRZ VPN Client\cvpnd.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\PROGRA~1\eScan\MAILDISP.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\kavss.exe C:\PROGRA~1\eScan\AvpM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX04.869\HijackThis.exe C:\Programme\Outlook Express\msimn.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{A5B652D3-F071-4975-B8B9-963FA3CB304E}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe O23 - Service: eScan Server-Updater - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Sieht somit glaub ich ganz gut aus! Danke Dir nochmal, Drchili |
|
|
||
Antivir bringt mir alle paar Sekunden verschiedene Meldungen über Würmer etc. Hab sie unten aufgelistet, vielleicht kann mir jemand helfen, ich hab null Ahnung von dem Mist. Vielleicht ohne das ganze System zu plätten? Wäre schön,
Drchili
03.02.2005,11:16:16 [WARNUNG] Enthält Signatur des Droppers DR/Bridge.A.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP56\A0008724.DLL
03.02.2005,11:19:30 [WARNUNG] Ist das Trojanische Pferd TR/DNet.Drop.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP56\A0008725.EXE
03.02.2005,11:21:33 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Krepper.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP56\A0008733.EXE
03.02.2005,11:21:34 [WARNUNG] Enthält Signatur des Wurmes Worm/Doep.A!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP54\A0008392.DLL
03.02.2005,11:21:36 [WARNUNG] Enthält Signatur des Wurmes Worm/Doep.A!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP53\A0008301.DLL
03.02.2005,11:21:37 [WARNUNG] Enthält Signatur des Droppers DR/180Solutions!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP53\A0008304.EXE
03.02.2005,11:21:38 [WARNUNG] Ist das Trojanische Pferd TR/HideRun.A.7!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP36\A0006203.EXE
03.02.2005,11:21:43 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Delf.DJ.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP26\A0005592.EXE
03.02.2005,11:22:53 [WARNUNG] Enthält Signatur des Droppers DR/Bridge.A.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP56\A0008724.DLL