Command.exe als ProzessThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
30.11.2006, 00:02
Member
Beiträge: 41 |
||
|
||
30.11.2006, 10:38
Ehrenmitglied
Beiträge: 29434 |
#107
also - diesen Rechner scheinen wir wieder hingebogen zu haben
hast du noch mehr auf lager ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.11.2006, 12:43
Member
Beiträge: 41 |
#108
!! Kurze Zwischenfrage, Immer wenn ich mit Kaspersky, Panda oder AVG scanne meckert Antivir über einen W95/Bumblebee in der Datei "C:\windows\system32\activescan\pskavs.dll" soll ich das ignorieren oder ist das irgendwas schlimmes?!!
Interessant ist allerdings, daß mein eigener Rechner, den wir ja anscheinend befreit hatten bei AVG Antispyware wieder einige Funde aufweist, und zwar welche, die wir geglaubt hatten bereinigt zu haben (Deluxe Communications und Elitekeylogger)... Ich hab sie gelöscht, aber würd mich nicht wundern, wenn da irgendwo dennoch was übrig ist. Sicher kann man sich da wohl nie sein, oder? Ich hab noch 2 Rechner, aber bei denen wird es etwas schwieriger, da sie nichtr immer zur verfügung stehen. Von dem einen hab ich zumindest schonmal Hijackthis, combofix und Datfind gemacht. Ich nenne ihn "pc4" damit es zu keiner verwechslung kommt. Meiner war dann "pc1" und den wir grade gefixt haben war "pc2", ok? "pc3" kommt ein anderes mal. Im Anhang findest du die Scanreports von pc4. Anhang: pc4.zip Dieser Beitrag wurde am 30.11.2006 um 12:46 Uhr von Nomatic editiert.
|
|
|
||
30.11.2006, 14:44
Ehrenmitglied
Beiträge: 29434 |
#109
dieser rechner scheint clean zu sein
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\unpdf.exe C:\WINDOWS\system32\emfxp.dll poste die reporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.11.2006, 15:58
Member
Beiträge: 41 |
#110
Ok, die beiden Dateien von "pc4" (C:\WINDOWS\system32\unpdf.exe & C:\WINDOWS\system32\emfxp.dll) sind frei, und auch die restlichen Scanner meckern nicht... scheint also wirklich nichts drauf zu sein.
========================================================= Gut, dann also der letzte: "PC3" Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\netdde.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\M-Audio\Transit\Install\TUSBInst.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe C:\WINDOWS\System32\M-AudioTaskBarIcon.exe C:\WINDOWS\explorer.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe \Pc-1\_lan\HijackThis.exe O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu O4 - HKCU\..\Run: [updateMgr] D:\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1 O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\ColorVision\Utility\ColorVisionStartup.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Microsoft Office\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: PDF in Word öffnen - res://D:\OmniPagePro14\PdfCnv\IEShellExt.dll /500 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{15ACA86A-5C72-43AE-A28D-1F48991835BD}: NameServer = 192.168.2.1 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: M-Audio Transit Installer (TransitInstallerService) - M-Audio - C:\Programme\M-Audio\Transit\Install\TUSBInst.exe O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing) Anhang: pc-3.zip Dieser Beitrag wurde am 01.12.2006 um 12:47 Uhr von Nomatic editiert.
|
|
|
||
01.12.2006, 14:38
Ehrenmitglied
Beiträge: 29434 |
#111
Zitat AVG scanne meckert Antivir über einen W95/Bumblebeedas ist ein Bug , also, nicht beachten. _________________ Rechner nr.3 Avenger Zitat registry keys to delete:** poste dieses log http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.12.2006, 21:59
Member
Beiträge: 41 |
#112
Avenger sagt folgendes:
Zitat Logfile of The Avenger version 1, by Swandog46Und dieses Find_Stuff Zitat doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile |
|
|
||
02.12.2006, 16:27
Ehrenmitglied
Beiträge: 29434 |
#113
««
Variante 1: Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag Dienste auswählen Variante 2: Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter Start - Ausführen: services.msc Remote-Registrierung Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen) Telnet Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen.. Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen) ------------------------------------------------------------------------- «« Registry [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\svchost.exe" -> loeschen [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled"=dword:00000001 - in 0 aendern "AntiVirusDisableNotify"=dword:00000001 - in 0 aendern "FirewallDisableNotify"=dword:00000001 - in 0 aendern "UpdatesDisableNotify"=dword:00000001 - in 0 aendern PC neustarten ** scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2006, 14:21
Member
Beiträge: 41 |
#114
Remote-Registrierung und Telnet waren schon deaktiviert, aber der Rest ist erledigt.
Hier das Log von Kaspersky: Anhang: kaspersky.zip
|
|
|
||
03.12.2006, 14:28
Ehrenmitglied
Beiträge: 29434 |
#115
es war anscheinden nur noch der virendienst aktiv, die Viren selbst waren schon geloescht...
fixe mit dem HijackThis: O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w dann sollte wieder alles mehr oder weniger i.o. sein, wenn du bei diesem rechner mal ans formatieren denkst, so zoegere nicht. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2006, 17:06
Member
Beiträge: 41 |
#116
Kannst du da etwas konkreteres zu sagen, oder wäre das zu langatmig? Würde mich natürlich interessieren, wieso dieser ausgerechnet prädestiniert für eine Formatierung ist...
|
|
|
||
03.12.2006, 19:11
Ehrenmitglied
Beiträge: 29434 |
#117
hier hast du meine gesammelten Werke zum Backdoor.Win32.IRCBot.nw
http://virus-protect.org/artikel/dienste/nvsvcd.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2006, 21:23
Member
Beiträge: 41 |
#118
Abgesehen von diesem Backdoor.Win32.IRCBot.nw - von dem du nicht mit Sicherheit sagen kannst, ob noch Spuren drauf sind - ist aber sonst alles in Ordnung, oder!?
|
|
|
||
03.12.2006, 22:38
Ehrenmitglied
Beiträge: 29434 |
#119
ja...aber ein Backdoor-Befall sollte Grund genug sein - neu aufzusetzen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2006, 14:42
Member
Beiträge: 41 |
#120
Ok, dann werd ich den mal neu aufsetzen... Hoffe, daß dann nicht wieder alles so schnell zugemüllt ist wie beim letzten mal.
Dann nochmal Danke für deine umfangreiche Hilfe, wüsste nicht was ich ohne dich hätte tun sollen. |
|
|
||
Zitat
Hijackthis sagt nun folgendesZitat