SpyAxe - bin infiziert - Suche Hilfe

#46 das musst du noch suchen und loeschen:

Zitat

~~~ system32 folder ~~~

C:\WINDOWS\system32\1024
ld****.tmp (C:\WINDOWS\system32\ldE1A.tmp, oder andere Zahlenfolgen)
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\mscornet.exe

was die winlogon.exe betrifft:raman hat eine, die man ersetzen kann, aber zuerst muessen wir den Downloader finden, der sie immer aufs Neue infiziert.

scanne und poste alles scanreports
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#47 Hallo Sabina,
also ich kann keiner dieser Deteien finden.
Bist du sicher dass die noch da sind???

#48 032295
es kann sein, dass sie schon nicht mehr da sind

scanne und poste alle scanreports
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#49 Bullitt

Ich will niemandem mehr hier in diesem Thread haben, weil wir das Problem von 032295 loesen muessen

dein PC ist so ziemlich verseucht, eroeffne einen eigenen Thread, diesen hier werde ich loeschen und dann schreib an mich (Sabina) eine PM und sage mir, wo der neue, eigene Thread ist, damit ich auch nachsehe.
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Hallo Sabina,
wo finde ich die Scanreports, bzw. wie kann ich sie kopieren???

#51 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC92-449E

Verzeichnis von C:\WINDOWS\system32

12.12.2005 18:50 5.096 ncompat.tlb
12.12.2005 18:44 6.144 msvol.tlb
12.12.2005 18:44 39.291 nvapps.xml
12.12.2005 18:44 24.064 ld1378.tmp
12.12.2005 18:44 9.932 hp11DE.tmp
12.12.2005 18:37 9.932 hp650B.tmp
12.12.2005 18:37 24.064 ld63FC.tmp
11.12.2005 14:12 15.484 nvctrl.exe
11.12.2005 12:40 9.720 mssearchnet.exe
10.12.2005 18:06 4.286 ot.ico
10.12.2005 18:06 4.286 ts.ico
10.12.2005 14:01 98.304 svchosts.dll
08.12.2005 16:46 14.464 mscornet.exe
08.12.2005 16:08 2.206 wpa.dbl
29.11.2005 21:34 16.832 amcompat.tlb
29.11.2005 21:34 23.392 nscompat.tlb
29.11.2005 21:33 2.272 w95inf16.dll
29.11.2005 21:33 4.608 w95inf32.dll
13.11.2005 19:07 311.604 perfh009.dat
13.11.2005 19:07 39.992 perfc009.dat
13.11.2005 19:07 316.594 perfh007.dat
13.11.2005 19:07 48.156 perfc007.dat
13.11.2005 19:07 723.744 PerfStringBackup.INI
12.11.2005 15:26 251 spupdwxp.log
12.11.2005 15:25 91.888 FNTCACHE.DAT
11.11.2005 13:47 7.311.360 nvcpl.dll
11.11.2005 13:47 35.328 nvcodins.dll
11.11.2005 13:47 16.356 nvdisp.nvu
11.11.2005 13:47 1.339.392 nvdspsch.exe
11.11.2005 13:47 573.440 nvhwvid.dll
11.11.2005 13:47 1.466.368 nview.dll
11.11.2005 13:47 229.376 nvmccs.dll
11.11.2005 13:47 45.056 nvmccsrs.dll
11.11.2005 13:47 35.328 nvcod.dll
11.11.2005 13:47 41.315 nvapps.nvb
11.11.2005 13:47 86.016 nvmctray.dll
11.11.2005 13:47 286.720 nvnt4cpl.dll
11.11.2005 13:47 5.394.432 nvoglnt.dll
11.11.2005 13:47 319.488 nvrsar.dll
11.11.2005 13:47 241.664 nvrscs.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC92-449E

Verzeichnis von C:\DOKUME~1\suggsugg\LOKALE~1\Temp

12.12.2005 18:44 204 jusched.log
1 Datei(en) 204 Bytes
0 Verzeichnis(se), 41.070.895.104 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC92-449E

Verzeichnis von C:\WINDOWS

12.12.2005 18:37 0 0.log
12.12.2005 18:37 159 wiadebug.log
12.12.2005 18:37 1.083.320 WindowsUpdate.log
12.12.2005 18:37 50 wiaservc.log
12.12.2005 18:37 2.048 bootstat.dat
11.12.2005 21:51 30.724 SchedLgU.Txt
04.12.2005 18:21 61.182 wmsetup.log
04.12.2005 14:31 73.232 DirectX.log
01.12.2005 18:52 192 winamp.ini
27.11.2005 21:17 643.859 setupapi.log
26.11.2005 17:02 642 cdPlayer.ini
13.11.2005 18:47 69.861 iis6.log
13.11.2005 18:47 103.817 comsetup.log
13.11.2005 18:47 62.104 ntdtcsetup.log
13.11.2005 18:47 11.422 ocmsn.log
13.11.2005 18:47 1.393 imsins.log
13.11.2005 18:47 175.162 tsoc.log
12.11.2005 14:28 1.330 sessmgr.setup.log
26.10.2005 20:27 9.371 KB896688-IE6SP1-20051004.130236.log
26.10.2005 20:26 12.111 KB905495.log
18.10.2005 21:31 59.856 War3Unin.dat
18.10.2005 21:17 2.829 War3Unin.pif
18.10.2005 21:17 139.264 War3Unin.exe
11.10.2005 16:36 3.726 mozver.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC92-449E

Verzeichnis von C:\

12.12.2005 18:57 0 sys.txt
12.12.2005 18:56 6.841 system.txt
12.12.2005 18:55 295 systemtemp.txt
12.12.2005 18:54 100.231 system32.txt
12.12.2005 18:37 536.403.968 hiberfil.sys
12.12.2005 18:37 805.306.368 pagefile.sys
27.11.2005 21:06 31.068.176 81-1.95_forceware_winxp2k_international_whql.exe
12.11.2005 14:29 211 boot.ini
12.11.2005 14:21 47.564 NTDETECT.COM
12.11.2005 14:21 251.184 ntldr
03.11.2005 22:49 31.101.648 81.85_forceware_winxp2k_international_whql.exe
11.10.2005 16:05 23.472 log.txt
10.10.2005 16:00 365 pnpID.dat
10.10.2005 16:00 39 CTJINI.INI
09.10.2005 19:48 0 CONFIG.SYS
09.10.2005 19:48 0 AUTOEXEC.BAT
09.10.2005 19:48 0 IO.SYS
09.10.2005 19:48 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin
19 Datei(en) 1.404.315.314 Bytes
0 Verzeichnis(se), 41.070.882.816 Bytes frei


Was muss genau als nächstes machen?
Hoffe es hilft weiter.
schonmal danke im voraus

#52 Hallo 032295,

Ich habe dir ja schon zu den Dateien geantwortet, inzwischen hat Drweb die eine Datei als Trojan.NtRootkit.68 in die Erkennung aufgenommen, darum mal die Bitte an dich Blacklight http://www.f-secure.com/blacklight/try.shtml zu nutzen.


Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den Rechner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier.
__________
MfG Ralf
SEO-Spam Hunter

#53 wäre sehr nett wenn mir jemand zu meinem vorherigen post was sagen könnte.
mein pc beginnt sich langsam aufzulösen
hab keine ahnung was ich machen soll

#54 suggin

Es waere nett, wenn du einen neuen Thread aufmachen koenntest. Mit einem aktuellen Hijackthis log und aktuellen datfind.bat logs. Das waere wohl am sinnvollsten...
Ein Blacklightlog waere auch nicht falsch und diese Dateien bitte an virus@protecus.de:

12.12.2005 18:50 5.096 ncompat.tlb
12.12.2005 18:44 6.144 msvol.tlb
12.12.2005 18:44 39.291 nvapps.xml
12.12.2005 18:44 24.064 ld1378.tmp
12.12.2005 18:44 9.932 hp11DE.tmp
12.12.2005 18:37 9.932 hp650B.tmp
12.12.2005 18:37 24.064 ld63FC.tmp
11.12.2005 14:12 15.484 nvctrl.exe
11.12.2005 12:40 9.720 mssearchnet.exe
10.12.2005 18:06 4.286 ot.ico
10.12.2005 18:06 4.286 ts.ico
10.12.2005 14:01 98.304 svchosts.dll
08.12.2005 16:46 14.464 mscornet.exe
__________
MfG Ralf
SEO-Spam Hunter

#55 suggin

ich hatte vorher einem anderen User schon gesagt, dass ich hier keine anderen Log als von 032295 sehen will.
Eroeffne also deinen eigenen Thread und sag mir per PM (Sabina), wo er ist, damit ich nachsehe.
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#56 032295

die textdateien von den scans findest du in dem ordner, wo auch die scanner alle sind

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#57 Hallo Sabina,
nachdem mein PC nach den Scanvorgängen nicht mehr hochgefahren ist und sich auch nicht mehr durch die XP Disc reparieren ließ, fasste ich den Entschluss zu formatieren.
Aber wie kann ich mich jetzt in Zukunft vor solchen Angriffen schützen???
Gibt es da sinnvolle Freeware?

Gruß,
032295

#58 die verseuchte winlogon.exe ist ein Problem, was wir noch nie loesen konnten. Schade, denn den SpyAxe bekommt man fix vom System.

lies dir das durch und arbeite alles ab und wenn es wieder mal ein Problemchen gibt (hoffentlich nicht die winlogon )...dann melde dich
http://virus-protect.org/nachneuinst.html
http://virus-protect.org/firefox.html
http://virus-protect.org/ms.html
http://virus-protect.org/administrator.html
http://virus-protect.org/antivirus.html
__________
MfG Sabina

rund um die PC-Sicherheit

#59 Hallo Sabina,
also ich habe das mit den Benutzerkonten jetzt so wie beschrieben geregelt.
Allerdings taucht beim Starten des Eingeschränkten Kontos immer folgende Meldung auf:
Die Konfiguration mit Norton Anti Virus ist nicht abgeschlossen. Sie müssen über Administratorenrechte verfügen.
Bin ich jetzt im Netz nicht mit Norton geschützt?
Das Adminkonto benutze ich jetzt nur noch für Einstellungen oder installieren von Software.
Ist das so Ok?

Gruß, 032295

#60 oh je...ich kenne mich bei norton nicht aus (und ich halte auch nicht viel von Norton...)
Wird denn der Scanner immer neu konfiguriert, nach jedem Neustart????

Ansonsten gehe mal mit dem Admin-Konto ins netz und konfiguriere den Norton und speichere die Konfiguration ab.
Dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit