Back Orifice und andere Milben |
||
---|---|---|
#0
| ||
27.07.2005, 12:10
Member
Beiträge: 125 |
||
|
||
27.07.2005, 13:21
Member
Beiträge: 669 |
#2
Zunächst einmal sind diese Programme (AntiVir und AdAware) durchaus empfehlenswert und finden auch effektiv Malware. Aber es ist auch so, das nicht jedes Programm jede Art von Malware finden kann, es gibt kein 100% Allround-Produkt.
Um herauszufinden ob und was du vielleicht alles auf deinem System hast führe einmal folgende Schritte durch und berichte: Lade folgende Programme herunter und update sie: HijackThis (Anleitung zu HijackThis-Logs) http://www.hijackthis.de/downloads/hijackthis_199.zip CWShredder: http://cwshredder.net/bin/CWShredder.exe Spybot S&D http://www.safer-networking.org/de/download/index.html eScan http://www.mwti.net/antivirus/free_utilities.asp Erster Schritt: Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Diagnose und Vorbereinigung: Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch: http://www.trojaner-info.de/hijacker/escan.shtml Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info. Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!) Virenwächter danach wieder aktivieren! Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse). __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
27.07.2005, 13:54
Member
Themenstarter Beiträge: 125 |
#3
Hallo Malkesh,
vielleicht noch zur Info, bin mit Win98 im Web unterwegs. Sind deine angegebenen Schritte hier die gleichen? Gruss Abbo |
|
|
||
27.07.2005, 14:28
Member
Beiträge: 669 |
#4
- Systemwiederherstellung gibt es bei Win98 nicht, ignoriere die entsprechenden Schritte einfach
- abgesicherter Modus: http://board.protecus.de/t13063.htm Ansonsten sollte alles andere so zutreffen. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
27.07.2005, 14:37
Member
Themenstarter Beiträge: 125 |
||
|
||
27.07.2005, 19:41
Member
Beiträge: 279 |
#6
Hi!
Nutze besser den Escancheck statt des Escans. Es hat ein eingebautes Entfernungstool ;-). http://virus-protect.org/escan.html MfG, __________ Yourhighness Yourhighness' Seite / Mein Blog (Englisch) |
|
|
||
27.07.2005, 21:17
Member
Themenstarter Beiträge: 125 |
#7
Hallo,
habe Hijackthis geladen, kann es aber nicht entpacken, es kommt die Meldung Datei msvbvm60.dll fehlt. Den Escancheck runterladen geht auch nicht, da mault der IE und schliesst sich selbst. Weiss jemand Rat ?? Gruss Abbo |
|
|
||
27.07.2005, 21:23
Member
Beiträge: 279 |
#8
Hi!
Die DLL bekommst Du hier: http://www.dll-files.com/dllindex/dll-files.shtml?msvbvm60 Lade mal den Firefox, der ist Momentan eh noch sicherer...vll gehts dann. MfG, __________ Yourhighness Yourhighness' Seite / Mein Blog (Englisch) |
|
|
||
27.07.2005, 22:48
Member
Themenstarter Beiträge: 125 |
#9
Hallo,
bei mir DAU dauert es halt etwas länger, aber siehe da: Logfile of HijackThis v1.99.1 Scan saved at 22:39:25, on 27.07.05 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\DIT.EXE C:\ATI\ATIDESK\ATISCHED.EXE C:\WINDOWS\DITEXP.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TEMP\MWAVSCAN.COM C:\WINDOWS\TEMP\KAVSS.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\PSION\PSIWIN\PSCONSV.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F1 - win.ini: run=C:\WINDOWS\hpfsched.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Startup: PsiWin 2.0 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\PSCONSV.EXE O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html O16 - DPF: {351CF0CE-B05A-11D2-ABD9-00104B685417} (PWImageControl Class) - http://ebay.sj.ipixmedia.com/code//PWActiveXImgCtl.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab eScan habe ich auch durchlaufen lassen, der hat zwar 107 Fehler gefunden aber keine bösen Buben. Wie schaut das Log aus? Danke im voraus. Gruss Abbo |
|
|
||
28.07.2005, 01:09
Member
Beiträge: 4730 |
#10
http://www.virustotal.com
Prüfen: C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE Allerdings, wenn eScan da schon nichts verdächtiges gefunden hat, sind die beiden Dateien wohl vermutlich sauber - doch besser einmal zu viel geprüft, als einmal zu wenig! Unbedingt mit HJT wegmachen: O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
28.07.2005, 06:48
Member
Beiträge: 279 |
#11
Hi!
Win 98 Gold. Das kenn ich ja gar nicht. Hab nur Win 98SE. Das einzige was man noch emnpfehlen könnte, ist deinen IE auf den neuesten Stand zu uppen. Lade Dir mal Tuneup2004 oder ein anderes Registry Tool und säubere dein PC. Dann solltest Du eigentlich nichts mehr finden. Ich kann Dir nur noch empfehlen Adaware und Spybot installiert zu lassen und neben deinem AV Program mindestens 2 Mal die Woche nach Updates zu suchen. Dann stellst Du Adaware noch so ein, wie in meinem Artikel beschrieben und surfst mit dem FF und Du solltest für eine gaaaaaaaaaanze Weile Ruhe haben. MfG, __________ Yourhighness Yourhighness' Seite / Mein Blog (Englisch) |
|
|
||
28.07.2005, 09:21
Member
Themenstarter Beiträge: 125 |
#12
Hallo ihr Beiden.
Erstmal Danke für eure Hilfe. Der Dialer TSCash ist schon so gut wie erledigt. Gruss Abbo EDIT: Hallo ihr Wächter, hier nochmal der neueste Hijack-Log. Logfile of HijackThis v1.99.1 Scan saved at 22:00:13, on 28.07.05 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\DIT.EXE C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE\MONITOR.EXE C:\ATI\ATIDESK\ATISCHED.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\WINDOWS\DITEXP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\PSION\PSIWIN\PSCONSV.EXE C:\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F1 - win.ini: run=C:\WINDOWS\hpfsched.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Startup: PsiWin 2.0 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\PSCONSV.EXE O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html O16 - DPF: {351CF0CE-B05A-11D2-ABD9-00104B685417} (PWImageControl Class) - http://ebay.sj.ipixmedia.com/code//PWActiveXImgCtl.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab Ist mein Maschinchen jetzt sauber. Die beiden verdächtigen exe habe ich bei Jotti gescannt, die sind sauber. Danke und Gruss Abbo Dieser Beitrag wurde am 28.07.2005 um 22:08 Uhr von Abbo editiert.
|
|
|
||
kann mir einer folgendes erklären, ich habe seit Jahren AntiVir, AdAware und
seit rund einem Jahr die Outpost Firewall laufen.
Ich update wirklich regelmässig. Nach I-Net-Sitzungen lasse ich auch die
beiden Spürhunde durchlaufen. Sie finden stets nur Cookies.
Gestern Abend dachte ich mir, ich lade mir mal Spybot runter. Gesag, getan
update gleich mitgeladen und ab dafür.
Jetzt trifft mich doch der Schlag. Spybot findet:
Alexa related
BackOrifice.B
BackWeb lite
CoolWWW Search.Leftovers
Webinstall
TSCash
Mediaplex
Doubleclick
Für was braucht die Welt AntiVir und Adaware, wenn die doch nix finden????
Mein Vertrauen in die AntiViren-Programme ist heftigt erschüttert. Hat Spybot
die Orifice-Backdoor und die anderen auch WIRKLICH gekillt ??
Gruss Abbo