mehrere Trojaner, Spyware und Dialer bei Studentin- Was soll ich machen? |
||
---|---|---|
#0
| ||
19.08.2005, 12:37
...neu hier
Beiträge: 2 |
||
|
||
19.08.2005, 13:13
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Sabu
da ist noch eine Nail-verseuchung: Start -- Ausfuehren -- schreib rein: cmd kopiere rein: sc stop SvcProc klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete SvcProc klicke "enter" kopiere rein: del D:\WINDOWS\svcproc.exe Klicke "enter" Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_CURRENT_USER\Software\aurora] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe" Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. --------------------------------------------------------------------------------------- Lade:Find_It__s.zip-->klicke FindIt's.bat--> wenn der Editor sich oeffnet, kopiere den RText ab und poste ihn http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip FindT http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread dann beginnt die reinigung, wenn ich alle Daten habe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 13:49
...neu hier
Themenstarter Beiträge: 2 |
#3
@Sabrina:
erstmal fürs anschauen vielen Dank, noch ein kleiner Nachtrag, konnte heut morgen wegen Zeitmangel,den Laptop mit Antivir nicht komplett scannen, da ihr Lernkreis um 12 Uhr kam und sie somit deswegen keine Zeit mehr hatte und ungeduldig fragte , ob denn alles in Ordnung sei. kann etwas dauern, da heute nicht mehr an den Laptop komme, sie befindet sich gerade im Lernkreis. nur noch 2 Fragen: 1.) wie schlimm ist diese Nailz Verseuchung? 2.) wie sieht ansonsten dieses Hijack this log aus? hab mir schon gedacht , das da noch mehr ist, |
|
|
||
19.08.2005, 14:11
Member
Beiträge: 4730 |
#4
Zitat Nail.exe is a is a hijacker which means it will intermittently change your Internet Explorer settings / Desktop to the link of it’s author’s sponsors. This program is usually installed through consent, however is sometimes packaged as another product. It is a registered security risk and should be removed immediately.http://www.processlibrary.com/directory/files/nail/ Diese Nail-Verseuchung ist manchmal schlimmer als eine Virenverseuchung. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
31.08.2005, 13:47
...neu hier
Beiträge: 2 |
#5
Hallo,
habe den Trojaner TR/LowZones.b.h.14. im Widows 2000 Professional. Wenn ich sehe wie Ihr mit High Jack This repariert ,stehn mir die Haare zu Berge,weil ich denke daß man durch vertippen vielleicht das System abschießt. Giebt es keinen Virenscanner oder Trojanertöter ?? ,der den Trojaner auch so eliminiert, ohne diese Klimmzüge. Danke für Eure Antwort, MfG. Amatör |
|
|
||
31.08.2005, 13:51
Ehrenmitglied
Beiträge: 29434 |
#6
Nail/Bolger/Aurora Remover
** http://forum.hijackthis.de/showthread.php?t=3172 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.08.2005, 15:24
...neu hier
Beiträge: 2 |
#7
Zitat Sabina posteteHallo, Wenn ich diesen Download http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm starte bleibt der PC auf dem Icon des Downsloads hängen .Warum? MfG. Amatör |
|
|
||
31.08.2005, 15:39
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@amatör
scannst du mit dem IE ? sind die AktiveX im IE aktiviert ?--> falls nicht,fuer den Scan aktivieren) http://virus-protect.org/ie.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Hinzu kam das die meisten Programme sich nicht sofort starten konnten, ca. 20-30 Sekunden verzögerung .
Ich habe folgendes gemacht:
Rechner geupdatet (war Service Pack 1, noch nie einen Patch gesehen , autsch!)
Systemwiederherstellung aus,
gescannt mit Spybot, CWS Shreder und Adaware .
so nun die Ergebnisse:
Spybot fand Aurora , Hotbar , 2 Dialer und mehr, alles gelöscht (auch die Sicherung)
CWS Shredder fand nichts
mit Adaware habe ich so um die 22 Einträge gelöscht (angelegte Sicherung natürlich auch).
so nun zu den Meldungen von Antivir:
von heut vormittag:
19.08.2005,11:24:38 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinAD.H!
C:\MSDUP32DL.EXE
[INFO] Die Datei wurde gelöscht!
19.08.2005,11:33:13 [WARNUNG] Ist das Trojanische Pferd TR/LowZones.bh.14!
C:\WINDOWS\DOWNLOADED PROGRAM FILES\MEDIAGATEWAYX.DLL
[INFO] Die Datei wurde gelöscht!
19.08.2005,11:33:43 [WARNUNG] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/Generic (Dialer)!
C:\WINDOWS\INSTALLER[GPI-10226,DE].EXE
[INFO] Die Datei wurde gelöscht!
19.08.2005,11:43:28 [WARNUNG] Ist das Trojanische Pferd TR/LowZones.bh.14!
C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.1\MEDIAGATEWAYX.DLL
[INFO] Die Datei wurde gelöscht!
19.08.2005,11:46:30 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinAD.H!
C:\MSDUP32IDL.EXE
[INFO] Die Datei wurde gelöscht!
ach bevor ichs vergesse, gestern hatte ich schon so um die 10 Meldungen bekommen und diese gleich gelöscht.
Den Infected Ordner hab ich auch gelöscht.
Clear Prog und CC Cleaner habe ich zur Müllreinigung benutzt,
So hier nun das Hijack This Log für Euch :
Logfile of HijackThis v1.99.1
Scan saved at 12:07:11, on 19.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\grrxghc.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.exe
C:\Programme\Hijack This\HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Windows More Choice] C:\WINDOWS\TopContext.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [tlaros] C:\WINDOWS\system32\grrxghc.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC5CE182-0470-4A99-A9C6-29BAA048EB05}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-oldenburg.de,uni-oldenburg.de,uni-oldenburg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-oldenburg.de,uni-oldenburg.de,uni-oldenburg.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
so, ich würde sagen,durch das was ich hier schon alleine über die Trojanner gelesen habe, denke ich das der Rechner völlig verseucht ist, nur besteht folgendes Problem:
das Laptop steht mir nicht zur Verfügung, das sie es zum lernen braucht,auch am WE,und sie meint das alles so schnell wie möglich wieder funktionieren soll zum Musik hören, Emails abfragen und co.
also was soll ich machen?
vielen Dank
aus der Uni Ol
wink : have a nice Day@Sabrina