Home » Viren, Trojaner & Malware Forum » Problem mitW32/Jeffo virus !? » Themenansicht

Problem mitW32/Jeffo virus !?
#0
22.06.2005, 04:42
SIDO_SFB
...neu hier

Beiträge: 3
#1 Hi !

Man Man da läßt man nen 14 Jährigen unwissenden Jungen (Mein Bruder) an einen neuen rechner mit ner DSL Anbindung und schon geht nix mehr!

löl

Problem ist das Norton auf alle exe files anspringt *hüpf* kenn mich mit der materie Viren und ko. nich so aus bei mir hat Norton immer seine Pflicht getan aber mein Bruder hatte es bis gestern nich!!
Jetzt haben wir den Salat! :-D löl

Hier mal der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 04:30:32, on 22.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\DU Meter\DUMeter.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\WINDOWS\system32\LVComS.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Labtec\Wireless Mouse\MulMouse.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton AntiVirus\NAVW32.EXE
C:\WINDOWS\system32\taskmgr.exe
D:\EMule\eMCrypt\Incoming_s\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\System32.exe
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [RDLL] RunDll16.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [KAZAA] "D:\Kazaa\Kazaa Lite\start.exe" "D:\Kazaa\Kazaa Lite\clean.kmd" /SYSTRAY
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [cppc] C:\Dokumente und Einstellungen\Test\Eigene Dateien\hl2crack.exe hide
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [win-xp] winis.exe
O4 - HKLM\..\Run: [virtual-machine] wini.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe
O4 - HKLM\..\RunServices: [System32] winsys32.exe
O4 - HKLM\..\RunServices: [win-xp] winis.exe
O4 - HKLM\..\RunServices: [virtual-machine] wini.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [win-xp] winis.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\RunServices: [win-xp] winis.exe
O4 - HKCU\..\RunServices: [virtual-machine] wini.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Labtec Maus Software 2.0.lnk = C:\Programme\Labtec\Wireless Mouse\MulMouse.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\BenQ\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb048YYDE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {AA008A86-1996-45F6-AB95-590E375135C1} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {AA008A86-1996-45F6-AB95-590E375135C1} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by20fd.bay20.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E73247-BBA4-4AB4-AD08-12DC63A61016}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E73247-BBA4-4AB4-AD08-12DC63A61016}: NameServer = 217.237.151.33 217.237.149.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Helft mir bitte und erklärt es mir alles auf deutsch,ok?? :-D


Danke euch schonmal!!
Seitenanfang Seitenende
22.06.2005, 15:19
Heron
Member

Beiträge: 1132
#2 Hallo SIDO_SFB,

also, ich erklär Dir einmal was aus meiner Sicht zu tun wäre, auf gut Deutsch.

1. Kleinem Bruder die Löffel lang ziehen, denn er hat Dir den Rechner mit Backdoors vollgeschaufelt. (Backdoors sind Schadprogramme, die Hackern erlauben, Besitz von Deinem Rechner zu nehmen und damit zu tun, was ihnen beliebt). Dem "Kleinen" auf verständliche Weise klarmachen, welche Gefahren im I-Net lauern und dass das kein Kinderspielplatz ist.

2. Rechner vom Netz nehmen, Windows-CD zur Hand nehmen und System neu aufspielen. Dazu findest Du hier im Board jede Menge Infos wenn Du die Suchfunktion verwendest. Das ist in Deinem Falle wohl der einzige Weg, wieder ein vertauenswürdiges System zu haben.

3. Danach Rechner sicher konfigurieren. Auch dazu findest Du massig Hinweise im Board.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 22.06.2005 um 15:29 Uhr von Heron editiert.
Seitenanfang Seitenende
22.06.2005, 17:33
SIDO_SFB
...neu hier

Themenstarter

Beiträge: 3
#3 Erstmal danke!
Wollte eigentlich vermeiden das system neu rauf zu ziehen gibt es wirklich gar keine andere lösung! Weil seine ganzen sachen wie Filme und Musik sind dann wech und um das zu sichern bräuchte ich ne riesen externe platte oder 2 packen DVD Rohlinge!!
Ach er hat noch ne 2. (40 Gb) Festplatte wo jede menge sachen drauf sind muß ich die auch Formatieren oder kann ich das zeugs da drauf lassen???
Dieser Beitrag wurde am 22.06.2005 um 18:04 Uhr von SIDO_SFB editiert.
Seitenanfang Seitenende
22.06.2005, 18:28
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Es werden 2 Virenscanner benutzt
Mach mal ein onlinescan bei Kaspersky http://www.kaspersky.com/beta?product=161744315
Und poste hier den Textfile
__________
MfG Argus
Seitenanfang Seitenende
22.06.2005, 19:57
Heron
Member

Beiträge: 1132
#5 Was die Backdoors angeht ist das doch eigentlich nicht mehr nötig! Das HJT Log sagt doch schon genug aus.

O4 - HKLM\..\Run: [win-xp] winis.exe = W32/Rbot-WI (Sophos)

Zitat

W32/Rbot-WI ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Trojaner-Funktionalität, die unbefugten Fernzugriff mittels IRC-Kanälen auf den infizierten Computer ermöglicht, während er im Hintergrund als Dienstprozess aktiv ist.

W32/Rbot-WI verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, und indem er die RPC DCOM (MS04-012) und LSASS (MS04-011) Sicherheitslücken ausnutzt.

W32/Rbot-WI kann auf dem infizierten Computer remote Dateien herunterladen und starten, Tastenfolgen speichern und andere Computer mit Netzwerkpaketen überfluten und Prozesse beenden.
O4 - HKLM\..\RunServices: [virtual-machine] wini.exe = W32/Rbot-ABC (Sophos)

Zitat

# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus
O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe = Troj/Delf-EW (Sophos)

Zitat

Troj/Delf-EW ist ein Backdoor-Trojaner für die Windows-Plattform.

Wenn er erstmals ausgeführt wird, kopiert sich der Trojaner in den Windows-Systemordner und erstellt Registrierungseinträge, damit er beim Start von Windows aktiviert wird.

Der Trojaner legt außerdem den Trojaner Troj/Keylog-V ab.

Troj/Delf-EW läuft im Hintergrund und ermöglicht Zugriff für einen remoten Anwender.
O4 - HKLM\..\RunServices: [System32] winsys32.exe = W32/Rbot-YV (Sophos)

Zitat

W32/Rbot-YV ist ein Windows-Netzwerkwurm, der versucht, sich über Netzwerkfreigaben zu verbreiten. Der Wurm verfügt über Backdoor-Funktionen, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglichen, während er im Hintergrund aktiv ist.

Sobald er installiert ist, versucht W32/Rbot-YV, an Denial-of-Service (DoS)-Attacken teilzunehmen, Dateien aus dem Internet herunterzuladen und zu starten und CD-Schlüssel zu starten, wenn er von einem remoten Angreifer entsprechend angewiesen wird.

Der Wurm kann auch versuchen, Backdoors und Schwachstellen auszunutzen, die von Würmern der MyDoom-Familie benutzt werden.
Weiterer Erklärungen bedarf es ja wohl nicht. Vor diesem Hintergrund würde ich jede unnötige Fummelei mit Virenscannern sein lassen und das System gleich neu aufsetzen bzw., sofern man hat, ein sauberes System-Image einspielen

Zitat

Weil seine ganzen sachen wie Filme und Musik sind dann wech...
Dann lernt er auch, dass es seine Konsequenzen hat, sich sorglos im I-Net zu bewegen.

Zitat

Ach er hat noch ne 2. (40 Gb) Festplatte wo jede menge sachen drauf sind muß ich die auch Formatieren oder kann ich das zeugs da drauf lassen???
Zum Neuaufsetzen brauchst Du eigentlich nur die Systempartition (in Deinem Falle C:\) zu formatieren. Wobei zu bedenken ist, dass u.U. auch Musik- und Video-Dateien infiziert sein können. Bei Backdoors weiss man halt nie. Insofern ist der Vorschlag von Arnold vielleicht sinnvoll (falls bei dem Infektionsausmass die Online-Checks überhaupt funktionieren) und Du überprüfst alle Festplatten einmal mit Online-Scannern. Eine Auswahl guter Scanner findest Du hier http://virus-protect.org/ im Abschnitt Online-Virenscanner.

Ganz abgesehn von all dem, dürfte der Zeitaufwand für das Neuaufsetzen deutlich geringer sein als wenn die versuchst, mit diversen Scannern und Tools Dein System zu reinigen und letztendlich doch nicht sicher sein kannst, ob Dein System wieder vertrauenswürdig und stabil ist.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 22.06.2005 um 20:06 Uhr von Heron editiert.
Seitenanfang Seitenende
22.06.2005, 20:27
SIDO_SFB
...neu hier

Themenstarter

Beiträge: 3
#6 naja gut ich bau dann mal ne leere 40 gb platte von nem kumpel ein und speichere andere wichtige sachen ab und zieh alles neu drauf!

Danke euch!!!
Ihr macht das gut hier!!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1