upload durch dnsserv.exe! wurm!? -PROBLEM gelöst |
||
---|---|---|
#0
| ||
07.02.2005, 18:30
...neu hier
Beiträge: 1 |
||
|
||
09.02.2005, 02:09
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@randall
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [NAV Auto Protect] dnsserv.exe O4 - HKCU\..\Run: [NAV Auto Protect] dnsserv.exe PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot kopiere rein: C:\WINDOWS\System32\dnsserv.exe und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no" PC neustarten eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. Gehe wieder in den Normalmodus: mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten dann die infizierten Dateien mit der Killbox loeschen. ____________________________________________________________________ #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #BitDefender Scan www.bitdefender.com/scan/Msie/index.php #<Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm Dann poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 02:12 Uhr von Sabina editiert.
|
|
|
habe seit ungefähr 2 tagen einen virus drauf, den ich nicht runter bekomme.
Dieser nutzt die dnsserv.exe um eine internetverbindung aufzubauen, jedenfalls hatte ich am ersten tag ständig einen hohen upload und nach paar minuten ging dann gar nichts mehr. die dnsserv.exe soll im system32 ordner liegen, ist aber auch unauffindbar.
habe jetzt zumindest erstmal die .exe über zonelab firewall gesperrt, so dass alles funktioniert.
wie bekomme ich jetz aber die dnsserv.exe runter? habe bereits alle registry-einträge mit diesen namen gelöscht...nach neustart war wieder alles beim alten...dnsserv.exe steht in der msconfig drin.
das sagt hijackthis dazu:
Logfile of HijackThis v1.99.0
Scan saved at 18:26:54, on 07.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\devldr32.exe
D:\AntiVir\AVGNT.EXE
D:\Programme\Shareaza\Shareaza.exe
C:\Dokumente und Einstellungen\RF\Desktop\Ad-Watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\dnsserv.exe
d:\Programme\Winamp\Winamp.exe
C:\hijackthis_199\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NAV Auto Protect] dnsserv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [BootWarn] D:\Norton SystemWorks\Norton Antivirus\BootWarn.exe /a
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [NAV Auto Protect] dnsserv.exe
O4 - HKCU\..\Run: [NAV Auto Protect] dnsserv.exe
O4 - HKCU\..\Run: [Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID {DA9935BA-22F7-44ee-BD12-BD8B87700BEA}
O4 - HKCU\..\RunOnce: [NSWCfg.exe] "D:\Norton SystemWorks\NSWCfg.exe"
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100537318859
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06D2CB47-E095-40BD-B626-1710559D5463}: NameServer = 62.26.136.136 195.185.185.195
O17 - HKLM\System\CS1\Services\Tcpip\..\{06D2CB47-E095-40BD-B626-1710559D5463}: NameServer = 62.26.136.136 195.185.185.195
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Sandra Data Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
hoffe ihr könnt mir helfen...
hier sind auch einige einträge die norton antivirus betrefffen, habe aber kein norton antivirus bzw. systemwork drauf
thx
maik
PROBLEM ist GELÖST
mfg