virus (trojaner?) per msn messenger,werd ihn net los |
||
---|---|---|
#0
| ||
05.08.2005, 22:57
Member
Beiträge: 30 |
||
|
||
06.08.2005, 00:19
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Arwen2106
ich brauche folgende Infos Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt HijackThis http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2005, 05:09
Member
Beiträge: 4730 |
#3
Um die Infektion nachzuvollziehen:
Ich habe endlich mal wieder meinen Virtuellen PC zum Laufen gekriegt und mal diesen Virus geladen (unter WinXP SP1 - ansonsten keine Patches, kein Antivirus-Programm und keine Firewall) Logfile of HijackThis v1.99.1 Scan saved at 04:15:44, on 06.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\VMADD\VMUSrvc.exe C:\WINDOWS\System\SMSS.EXE C:\WINDOWS\System32\windir32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\windir32.exe C:\WINDOWS\VMADD\VMSRVC.EXE C:\WINDOWS\System32\VPCMap.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe O4 - HKLM\..\Run: [smss] C:\WINDOWS\System\SMSS.EXE O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE Zur windir32.exe sagt mir sowohl jotty als auch virustotal, dass kein Virus gefunden wurde (allenfalls als "Suspicious" eingestuft - virustotal meldet bei CAT-QuickHeal 7.03 08.05.2005 (Suspicious) - DNAScan) Sophos stuft die Datei jedoch bereits als Sdbot-ABM ein: http://www.sophos.com/virusinfo/analyses/w32sdbotabm.html und ist ein Backdoor. Auf dem Desktop wurde die Datei newwspreadz.exe angelegt. Jotty und virustotal sind ebenfalls ohne Ergebnisse. Google findet auch nichts zu der Datei (vermutlich also ein zufälliger Dateiname) Im Verzeichnis c:\Windows\System wird eine Datei Namens SMSS.EXE angelegt. Dazu findet virustotal schon mal ne ganze Menge: AntiVir 6.31.1.0 08.05.2005 Worm/Robobot Avast 4.6.695.0 08.05.2005 no virus found AVG 718 08.04.2005 no virus found Avira 6.31.1.0 08.05.2005 Worm/Robobot BitDefender 7.0 08.06.2005 BehavesLike:Win32.IRC-Backdoor CAT-QuickHeal 7.03 08.05.2005 no virus found ClamAV devel-20050725 08.04.2005 no virus found DrWeb 4.32b 08.05.2005 no virus found eTrust-Iris 7.1.194.0 08.06.2005 Win32/Boxed.37958!Trojan eTrust-Vet 11.9.1.0 08.05.2005 no virus found Fortinet 2.36.0.0 08.05.2005 W32/Dedler.fam-net F-Prot 3.16c 08.05.2005 could be infected with an unknown virus Ikarus 0.2.59.0 08.05.2005 Backdoor.Win32.Robobot.P Kaspersky 4.0.2.24 08.06.2005 Backdoor.Win32.Robobot.ah McAfee 4551 08.05.2005 no virus found NOD32v2 1.1187 08.05.2005 Win32/Robobot Norman 5.70.10 08.05.2005 no virus found Panda 8.02.00 08.05.2005 W32/Dedler.AX.worm Sophos 3.96.0 08.05.2005 Troj/Borobot-J Sybari 7.5.1314 08.06.2005 DDoS.Boxed.AV.Gen Symantec 8.0 08.05.2005 no virus found TheHacker 5.8.2.081 08.05.2005 no virus found VBA32 3.10.4 08.05.2005 Backdoor.Win32.Robobot.ah Im Verzeichnis c:\Windows\System32 wird die Datei win32sba.exe angelegt: AntiVir 6.31.1.0 08.05.2005 Worm/Robobot Avast 4.6.695.0 08.05.2005 no virus found AVG 718 08.04.2005 no virus found Avira 6.31.1.0 08.05.2005 Worm/Robobot BitDefender 7.0 08.06.2005 BehavesLike:Win32.IRC-Backdoor CAT-QuickHeal 7.03 08.05.2005 no virus found ClamAV devel-20050725 08.04.2005 no virus found DrWeb 4.32b 08.05.2005 no virus found eTrust-Iris 7.1.194.0 08.06.2005 Win32/Boxed.37958!Trojan eTrust-Vet 11.9.1.0 08.05.2005 no virus found Fortinet 2.36.0.0 08.05.2005 W32/Dedler.fam-net F-Prot 3.16c 08.05.2005 could be infected with an unknown virus Ikarus 0.2.59.0 08.05.2005 Backdoor.Win32.Robobot.P Kaspersky 4.0.2.24 08.06.2005 Backdoor.Win32.Robobot.ah McAfee 4551 08.05.2005 no virus found NOD32v2 1.1187 08.05.2005 Win32/Robobot Norman 5.70.10 08.05.2005 no virus found Panda 8.02.00 08.05.2005 W32/Dedler.AX.worm Sophos 3.96.0 08.05.2005 Troj/Borobot-J Sybari 7.5.1314 08.06.2005 DDoS.Boxed.AV.Gen Symantec 8.0 08.05.2005 no virus found TheHacker 5.8.2.081 08.05.2005 no virus found VBA32 3.10.4 08.05.2005 Backdoor.Win32.Robobot.ah Um mal Sabinas DOS-Kommandos anzuwenden (hab gestern installiert und heute den Virus geladen, also muss ich ja nur die Einträge vom 06.08. hier angeben: Verzeichnis von C:\WINDOWS\system32 06.08.2005 04:04 194.560 windir32.exe 06.08.2005 03:19 37.958 win32sba.exe Verzeichnis von C:\DOKUME~1\doof\LOKALE~1\Temp 06.08.2005 04:31 16.384 ~DFAE77.tmp 06.08.2005 03:21 16.384 ~DF6A52.tmp Verzeichnis von C:\WINDOWS 06.08.2005 04:07 0 0.log 06.08.2005 04:07 2.048 bootstat.dat 06.08.2005 04:06 884 SchedLgU.Txt 06.08.2005 03:58 169.986 setupapi.log 06.08.2005 03:38 712.935 setuplog.txt Verzeichnis von C:\ 06.08.2005 04:58 0 sys.txt 06.08.2005 04:57 3.687 system.txt 06.08.2005 04:54 481 systemtemp.txt 06.08.2005 04:52 0 23990098.$$$ 06.08.2005 04:52 5 AVPCallback.log 06.08.2005 04:50 84.948 system32.txt eScanCheck ergab: Sat Aug 06 04:37:07 2005 => Datei C:\WINDOWS\System\SMSS.EXE infiziert von "Backdoor.Win32.Robobot.ah" Virus. Aktion vorgenommen: No Action Taken. Sat Aug 06 04:39:19 2005 => Datei C:\WINDOWS\System32\win32sba.exe infiziert von "Backdoor.Win32.Robobot.ah" Virus. Aktion vorgenommen: No Action Taken. Vorgang zur Desinfektion: Abgesichterter Modus. Mit HJT die rot markierten Einträge gefixt. Die vier genannten EXE-Dateien manuell gelöscht (ging ohne Killbox). Neustart: und weg war er tatsächlich! Es könnte bei Arwen allerdings so sein, dass bereits mehr Malware durch den Backdoor heruntergeladen wurde. Ich empfehle deshalb für Arwen, mal ein HJT-Log zu posten und nen eScanCheck durchzuführen. Nachtrag: Ja, mir war ein bisschen langweilig... Nachtrag2: Den von Arwen oben angegebenen Link nicht anklicken! Kinder, versucht das nicht nachzumachen, was ich getan habe! Viren sind kein Spaß und nur ein Zeitvertreib für völlig Irre wie mich! __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 06.08.2005 um 05:16 Uhr von blueslayah editiert.
|
|
|
||
06.08.2005, 15:29
Member
Themenstarter Beiträge: 30 |
#4
Hey ihr beiden, erstmal danke für die Antworten
Hab das jez alles mal so gemacht und folgendes kopiert...vielleicht sollte ich noch sagen, dass sich windir32.exe bei jedem start versucht auszuführen, ich klick allerdings (bis auf einmal halt vor 2 tagen) auf abbrechen. Erstmal das: D:\Downloads\rkfiles PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ Finished bye Dann dat HJT: Logfile of HijackThis v1.99.1 Scan saved at 15:14:27, on 06.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MD40323\ICON.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE D:\Downloads\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 164.58.28.250:80 O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Main\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe" O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ? O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100457644077 O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7C77F6E2-526E-4650-94CA-241F40420B1F}: NameServer = 217.237.149.161 217.237.150.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Und die DOS-Befehle: Verzeichnis von C:\WINDOWS\system32 06.08.2005 15:09 890 vsconfig.xml 04.08.2005 15:53 4.720 ide21201.vxd 04.08.2005 15:52 190.464 windir32.exe Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp 06.08.2005 15:11 16.384 Perflib_Perfdata_e3c.dat 06.08.2005 15:10 5.754 jusched.log 06.08.2005 00:19 3 Twain001.Mtx 06.08.2005 00:13 295 temp.bat 06.08.2005 00:13 303 Digital MP3 Music Player.log 06.08.2005 00:08 16.384 ~DFFA51.tmp 06.08.2005 00:08 16.384 ~DFCCA5.tmp 05.08.2005 21:48 0 ~DF29.tmp 05.08.2005 19:16 16.384 ~DFFF8B.tmp 05.08.2005 19:16 16.384 ~DFD045.tmp 05.08.2005 18:08 24.858 GRD$LOGFILE.LOG 05.08.2005 08:43 16.384 ~DFEED0.tmp 05.08.2005 08:43 16.384 ~DF3A4A.tmp 04.08.2005 23:02 75 ram1E.ram 04.08.2005 17:16 16.384 ~DFFBC2.tmp 04.08.2005 17:15 16.384 ~DF8FF6.tmp 04.08.2005 16:30 5.120 262764_3556_3808_1108_62.41.tmp1 04.08.2005 00:35 9.961 TFR175.tmp Verzeichnis von C:\WINDOWS 06.08.2005 15:11 781 win.ini 06.08.2005 15:09 0 0.log 06.08.2005 15:09 1.179.786 WindowsUpdate.log 06.08.2005 15:09 159 wiadebug.log 06.08.2005 15:09 50 wiaservc.log 06.08.2005 15:09 2.048 bootstat.dat 06.08.2005 14:22 467.862 ntbtlog.txt 06.08.2005 14:20 32.638 SchedLgU.Txt 06.08.2005 00:00 32 wininit.ini Verzeichnis von C:\ 06.08.2005 15:25 0 sys.txt 06.08.2005 15:24 8.598 system.txt 06.08.2005 15:23 7.437 systemtemp.txt 06.08.2005 15:22 93.123 system32.txt 06.08.2005 15:09 402.653.184 pagefile.sys 06.08.2005 14:53 678 log.txt 06.08.2005 14:53 0 windows.txt 06.08.2005 14:48 216 win.txt 06.08.2005 14:38 0 start.txt 05.08.2005 22:19 4.040 chindx.exe Also sagts mir ruhig, wie schlimm stehts? *g* Als ich das letzte mal Trojaner hatte, war nix mehr zu retten, ich musste den PC komplett platt machen...*jammer* __________ Rettet den Wald, esst mehr Bieber! |
|
|
||
06.08.2005, 15:42
Member
Beiträge: 4730 |
#5
Im Grunde das gleiche Vorgehen, wie in meiner Test-Infektion.
zusätzlich entfernen: alle .tmp-Dateien C:\WINDOWS\system32\ide21201.vxd c:\chindx.exe (ich vermute mal, dass es sich dabei auch um Malware handelt - Googlesuche erfolglos) Nachtrag: Sicherheitshalber nochmal mit eScanCheck überprüfen und mit Programmen wie AdAware und Spybot S&D eventuell vorhandene Spyware ausschalten. Danach erneutes HJT-Log. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 06.08.2005 um 15:45 Uhr von blueslayah editiert.
|
|
|
||
06.08.2005, 17:55
Ehrenmitglied
Beiträge: 29434 |
#6
Arwen2106
die verseuchung war am 4.8.--> du musst also alle Daten noch einmal posten...mindestens 10 Tage zurueck...es gibt da noch einen TFTP, den ich sehen muss #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Main\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\ide21201.vxd C:\WINDOWS\system32\windir32.exe C:\DOKUME~1\Main\LOKALE~1\Temp\~DFFBC2.tmp C:\DOKUME~1\Main\LOKALE~1\Temp\~DF8FF6.tmp C:\DOKUME~1\Main\LOKALE~1\Temp\262764_3556_3808_1108_62.41.tmp1 C:\DOKUME~1\Main\LOKALE~1\Temp\TFR175.tmp C:\chindx.exe PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Onlinescan --> panda (berichte vom Scan) http://virus-protect.org/onlinescan.html + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2005, 18:37
Member
Themenstarter Beiträge: 30 |
#7
Aaaaaaaaaaaaaaaaaaaalso....hier erstma das neue Log:
Logfile of HijackThis v1.99.1 Scan saved at 18:28:00, on 06.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MD40323\ICON.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE D:\Downloads\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 164.58.28.250:80 O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ? O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100457644077 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7C77F6E2-526E-4650-94CA-241F40420B1F}: NameServer = 217.237.149.161 217.237.150.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Das hier hatte ich gelöscht, aber wenn der MSN Messenger wieder geöffnet wird, kommt die Datei wieder... hab den MSN Messenger im Autostart, gehört des dazu oder is die Datei gefährlich? O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background Daten der letzten Tage nochmal: Verzeichnis von C:\WINDOWS\system32 06.08.2005 18:24 2.550 Uninstall.ico 06.08.2005 18:24 1.406 Help.ico 06.08.2005 18:24 1.718 Open.ico 06.08.2005 18:24 1.406 AddQuit.ico 06.08.2005 18:24 5.350 IE.ico 06.08.2005 18:24 9.470 Desktop.ico 06.08.2005 18:24 1.718 Quick.ico 06.08.2005 18:21 890 vsconfig.xml 29.07.2005 21:07 73.728 asuninst.exe 23.07.2005 17:31 2.206 wpa.dbl 07.07.2005 04:21 1.375.064 MRT.exe Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp 06.08.2005 18:22 16.384 Perflib_Perfdata_998.dat 06.08.2005 18:21 6.420 jusched.log 06.08.2005 18:20 66 kb.log 06.08.2005 17:29 9.961 TFR6.tmp 06.08.2005 17:29 16.384 ~DFEE9.tmp 06.08.2005 17:29 16.384 ~DFCE31.tmp 06.08.2005 00:19 3 Twain001.Mtx 06.08.2005 00:13 295 temp.bat 05.08.2005 18:08 24.858 GRD$LOGFILE.LOG 04.08.2005 23:02 75 ram1E.ram 04.08.2005 16:30 5.120 262764_3556_3808_1108_62.41.tmp1 03.08.2005 18:00 717 control.xml 03.08.2005 13:54 16.384 Perflib_Perfdata_e84.dat 02.08.2005 11:01 16.384 Perflib_Perfdata_8a4.dat 30.07.2005 13:28 16.384 Perflib_Perfdata_8c8.dat 28.07.2005 11:11 16.384 Perflib_Perfdata_330.dat 27.07.2005 14:43 0 TWAIN.LOG 12.10.2004 11:14 57.344 InstHelp.dll Verzeichnis von C:\WINDOWS 06.08.2005 18:26 840 win.ini 06.08.2005 18:25 936.369 setupapi.log 06.08.2005 18:22 1.202.993 WindowsUpdate.log 06.08.2005 18:21 0 0.log 06.08.2005 18:21 159 wiadebug.log 06.08.2005 18:21 50 wiaservc.log 06.08.2005 18:21 2.048 bootstat.dat 06.08.2005 18:20 32.638 SchedLgU.Txt 06.08.2005 16:27 568.736 ntbtlog.txt 06.08.2005 00:00 32 wininit.ini 03.08.2005 18:00 42.039 wmsetup.log 22.07.2005 01:20 278 CMISETUP.INI 22.07.2005 01:20 26 CMCDPLAY.INI 06.08.2005 18:34 0 sys.txt 06.08.2005 18:34 8.549 system.txt 06.08.2005 18:33 1.193 systemtemp.txt 06.08.2005 18:32 93.500 system32.txt 06.08.2005 18:21 402.653.184 pagefile.sys 06.08.2005 17:14 0 23990098.$$$ 06.08.2005 17:14 6 AVPCallback.log 06.08.2005 14:53 678 log.txt 06.08.2005 14:53 0 windows.txt 06.08.2005 14:48 216 win.txt 06.08.2005 14:38 0 start.txt 12.07.2005 15:14 512 camusd.log Der Onlinescan von Panda hat keine Viren oder irgendwas gefunden. Dann hab ich noch eScan und AdAware laufen lassen, soll ich die Daten davon auch hier reinkopieren? __________ Rettet den Wald, esst mehr Bieber! |
|
|
||
06.08.2005, 18:44
Ehrenmitglied
Beiträge: 29434 |
#8
ist o.k. im Autostart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background loesche mit der Killbox: C:\WINDOWS\system32\Uninstall.ico C:\WINDOWS\system32\Help.ico C:\WINDOWS\system32\Open.ico C:\WINDOWS\system32\AddQuit.ico C:\WINDOWS\system32\IE.ico C:\WINDOWS\system32\Desktop.ico C:\WINDOWS\system32\Quick.ico C:\DOKUME~1\Main\LOKALE~1\Temp\262764_3556_3808_1108_62.41.tmp1 C:\DOKUME~1\Main\LOKALE~1\Temp\ram1E.ram C:\DOKUME~1\Main\LOKALE~1\Temp\TFR6.tmp C:\DOKUME~1\Main\LOKALE~1\Temp\~DFEE9.tmp C:\DOKUME~1\Main\LOKALE~1\Temp\~DFCE31.tmp C:\DOKUME~1\Main\LOKALE~1\Temp\temp.bat PC neustarten dann poste alles noch mal, damit ich sehen kann, ob die TFR6.tmp und temp.bat geloescht ist + suche eine .......tmp1 - Datei mit dem CCleaner und loesche sie (262764_3556_3808_1108_62.41.tmp1 ???? ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2005, 19:00
Member
Themenstarter Beiträge: 30 |
#9
Logfile of HijackThis v1.99.1
Scan saved at 18:58:50, on 06.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MD40323\ICON.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE D:\Downloads\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 164.58.28.250:80 O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ? O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100457644077 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7C77F6E2-526E-4650-94CA-241F40420B1F}: NameServer = 217.237.149.161 217.237.150.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Die DOS Befehle auch nochmal posten? __________ Rettet den Wald, esst mehr Bieber! |
|
|
||
06.08.2005, 19:17
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.08.2005, 19:34
Member
Themenstarter Beiträge: 30 |
#11
oh *g* sorry....hier sind se:
Verzeichnis von C:\WINDOWS\system32 06.08.2005 18:48 890 vsconfig.xml 06.08.2005 18:24 2.550 Uninstall.ico 06.08.2005 18:24 1.406 Help.ico 06.08.2005 18:24 1.718 Open.ico 06.08.2005 18:24 1.406 AddQuit.ico 06.08.2005 18:24 5.350 IE.ico 06.08.2005 18:24 9.470 Desktop.ico 06.08.2005 18:24 1.718 Quick.ico 29.07.2005 21:07 73.728 asuninst.exe 23.07.2005 17:31 2.206 wpa.dbl Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp 06.08.2005 19:30 34.162 GRD$LOGFILE.LOG 06.08.2005 19:03 9.961 TFRA.tmp 06.08.2005 18:49 16.384 Perflib_Perfdata_774.dat Verzeichnis von C:\WINDOWS 06.08.2005 18:50 840 win.ini 06.08.2005 18:48 1.207.381 WindowsUpdate.log 06.08.2005 18:48 159 wiadebug.log 06.08.2005 18:48 50 wiaservc.log 06.08.2005 18:48 2.048 bootstat.dat 06.08.2005 18:48 32.638 SchedLgU.Txt 06.08.2005 00:00 32 wininit.ini 22.07.2005 01:20 278 CMISETUP.INI 22.07.2005 01:20 26 CMCDPLAY.INI 26.06.2005 15:57 95 winamp.ini Verzeichnis von C:\ 06.08.2005 19:33 0 sys.txt 06.08.2005 19:32 4.654 system.txt 06.08.2005 19:31 396 systemtemp.txt 06.08.2005 19:31 93.500 system32.txt 06.08.2005 18:48 402.653.184 pagefile.sys 06.08.2005 17:14 0 23990098.$$$ 06.08.2005 17:14 6 AVPCallback.log 06.08.2005 14:53 678 log.txt 06.08.2005 14:53 0 windows.txt 06.08.2005 14:48 216 win.txt 06.08.2005 14:38 0 start.txt 12.07.2005 15:14 512 camusd.log Hatte grad den PC an, war aber nicht vorm Rechner...als ich nun wiederkam, hatte ich von Antivir folgende Meldung: C:\SYSTEM VOLUME INFORMATION\_RESTORE{9FE4D4B3-D921-4396-98AE-FAB5A2A9FA4D}\RP188\A0038297.EXE Ist das Trojanische Pferd TR/Dldr.180Instal.2 hab auf löschen geklickt...wo kommt sowas eigentlich auf einmal her? __________ Rettet den Wald, esst mehr Bieber! |
|
|
||
06.08.2005, 19:40
Member
Beiträge: 4730 |
#12
Deaktiviere die Systemwiederherstellung. Dann werden alle bösen Sachen aus der Systemwiederherstellung entfernt und können sich nicht nochmal aufs System schleichen.
Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp 06.08.2005 19:03 9.961 TFRA.tmp Des is noch net gut. Die müssen auch noch weg: Verzeichnis von C:\WINDOWS\system32 06.08.2005 18:24 2.550 Uninstall.ico 06.08.2005 18:24 1.406 Help.ico 06.08.2005 18:24 1.718 Open.ico 06.08.2005 18:24 1.406 AddQuit.ico 06.08.2005 18:24 5.350 IE.ico 06.08.2005 18:24 9.470 Desktop.ico 06.08.2005 18:24 1.718 Quick.ico Im abgesicherten Modus mit Killbox löschen. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.08.2005, 19:45
Ehrenmitglied
Beiträge: 29434 |
#13
loesche:
C:\DOKUME~1\Main\LOKALE~1\Temp\TFRA.tmp C:\WINDOWS\system32\Uninstall.ico C:\WINDOWS\system32\Help.ico C:\WINDOWS\system32\Open.ico C:\WINDOWS\system32\AddQuit.ico C:\WINDOWS\system32\IE.ico C:\WINDOWS\system32\Desktop.ico C:\WINDOWS\system32\Quick.ico Deaktivieren Wiederherstellung (dann aktiviere sie wieder) «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. mache bitte noch einen Onlinescan mit McAfee FreeScan (Online)+ berichte http://virus-protect.org/onlinescan.html ------------------------------------------------------------------------------------ Windows Worms Doors Cleaner http://virus-protect.org/windsdoorcleaner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2005, 20:13
Member
Themenstarter Beiträge: 30 |
#14
Ne Frage vorab, wenn ich diesen Doors Cleaner installiere, brauch ich keinen port von denen, die er zu macht? da stand was von messenger, net das ich dann hinterher kein msn oder icq mehr nutzen kann....brauch det doch *g*
__________ Rettet den Wald, esst mehr Bieber! |
|
|
||
06.08.2005, 20:18
Ehrenmitglied
Beiträge: 29434 |
#15
du kannst alles benutzten danach und wenn was nicht funktioniert, kannst du den Port mit dem Tool auch wieder oeffnen...also alles rueckgaengig machen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
nun werd ich ihn net wieder los. er verschickt sich von selber an die leute in meiner msn-liste. der link war ne www adresse und endete mit php...
hab antivir schon im abgesicherten modus laufen lassen und 3 trojaner gelöscht, aber scheinbar nicht alle, oder die sind wieder gekommen.
das ist die letzte nachricht, die von mir verschickt wurde...die ich bekommen hab, lautet etwas anders...
look,
kann mir wer nen tip geben, wie ich die viecher wieder los werde? hab ne firewall (zonelabs) aber war in dem moment natürlich so banane und hab der datei die erlaubnis gegeben, als zonelabs gefragt hat *grrrrr* könnt mir in den Ars..*patsch* beißen...
__________
Rettet den Wald, esst mehr Bieber!