backdoor win 32 ciadoor 13 wie bekomme ich den komplett wieder los ?

#46 findest du etwas mit dem Portexplorer?
der PC muesste nun sauber sein...ich finde nichts mehr.

was das Druckerproblem betrifft...da bin ich nicht kompetent.
Dann habe ich auch nicht gut das Prob. vestanden...der lexmark soll runter oder rauf oder was ?
__________
MfG Sabina

rund um die PC-Sicherheit

#47 und hier die 4 und letzte

wegen dem drucker habe da noch einiges deaktivieren können teste das jetzt mal war ein profil angelegt in der LexBce bei dienste mal neustarten und schauen ob sich die soft und der treiber jetzt installen lassen .

bis bald

#48 mit dem portsexplorer muss ich mich erst vertraut machen

wegen dem drucker habe aus dem system32 ordner die 4 exe dateien mit killbox gelöscht (lexbsc.exe) wahrscheinlich war da auch eine für den hp drucker verantwortlich nun heist es eben beim installieren der hardware ist ein fehler aufgetreten der RPC server ist nicht verfügbarnun habe ich den rpc server bei dienste komplett deaktiviert jetzt habe ich den salat habe keine startleiste mehr kann ihn auch nicht wieder aktiviern komme nich in die eigenschaften des remoute rpc server habe dort das profil deaktiviert :-)??????????

wie bekomme ich das wieder hin ?

grus jörg

#49

Zitat

http://virus-protect.org/windienst.html
Remoteprozeduraufruf (RPC)
Endpunktzuordnung und andere verschiedene RPC-Dienste. Wird für unzählige interne Systemsteuerungsfunktionen benutzt.

Hinweis: Wird der Dienst deaktiviert, bleibt er deaktiviert und Windows muss neuinstalliert werden!

Ausführende Datei: \WINDOWS\System32\svchost -k rpcss
Startarten: Manuell, automatisch, deaktiviert
Standard-Einstellung: Automatisch

ich denke, du hast auch faelschlicherweise die svchost geloescht...der Virus ist: scvhost.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#50 hy sabina

war meine schuld habe aber die scv nicht mit sv nicht verwechselt habe den ganzen dienst aus geschaltet hätte ich wieder hinbekommen mit wiederherstellungskonsole doch da ich das profil noch löschte geht dat nimmer egal habe jetzt ne neue xp daruf .

würdest du mir helfen diese etwas sicherer zu machen war ne unanttendet version man weis ja nie ob da was drauf ist (root) hab da mal was gehört :-)

sicherheitsupdates habe ich alle gemacht .

welche daten soll ich dir durchgeben ....................

gruss jörg

#51 1.
Eingeschränktes Benutzerkonto
http://virus-protect.org/administrator.html

2.
aufpassen,was du beim "Tauschen"--tauschst ..du verstehst schon....und auch aufpassen mit unbekannten Mails

3.
den Kaspersky-Scanner (den hattest du doch schon, der ist o.k.)

4.
ein Hardware-Router

5.
Windowsdefender
http://virus-protect.org/ms.html

6.
Firefox
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit

#52 hallo sabina

wegen dem eingeschränkten benutzerkonto bin da jetzt mal bei es sind schon zwei angelegt eines ist gast das andere heist asp.net machine kann ich das löschen und eben das meine ?????


hier mal das hijackthis zum prüfen

Logfile of HijackThis v1.99.1
Scan saved at 01:56:58, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\C:\WINDOWS\Desktop\utorrent.exe
C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe
H:\setup\hpzgat01.exe
C:\Programme\HP\digital imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\mshta.exe
C:\Dokumente und Einstellungen\C:\WINDOWS\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{34E67E5F-BF0D-4453-880A-20D5CB0CE3F2}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

danke

gruss jörg

#53 loesche keine Konten, lasse alle, und surfe nur im eingeschraenkten Benutzerkonto, was du angelegt hast.
Wenn du etwas laden willst, so wechsel ins Adminkonto oder setze die Berechtigung, wie es auf meiner Seite erklaert ist.
Und aufpassen mit dem P2P...denn auch der beste Virenschutz + Firewall nuetzt nichts, wenn du selbst ausfuehrbare Dateien auf den Rechner laedst.
__________
MfG Sabina

rund um die PC-Sicherheit

#54 moin moin sabina :-)

okay da weis ich jetzt bescheid

habe hier mal dn log service filter gemacht mir scheint ich habe da zu viele svchost
am laufen welche dienste kann man den alle ausschalten............

gruss jörg

#55 The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Mai 5, 2006 11:34:28


===> Begin Service Listing <===

Unknown Service #1
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #2
Service Name: CAISafe
Display Name: CA ISafe
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\zonelabs\isafe.exe
State: Running
Process ID: 2072
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 3
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Running
Process ID: 1800
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 4
Service Name: de_serv
Display Name: AVM FRITZ!web Routing Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\avm\de_serv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: O&O Defrag
Display Name: O&O Defrag
Start Mode: Auto
Start Name: LocalSystem
Description: O&O Defragmentation ...
Service Type: Own Process
Path: c:\windows\system32\oodag.exe
State: Running
Process ID: 1860
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #6
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #7
Service Name: StyleXPService
Display Name: StyleXPService
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tgtsoft\stylexp\stylexpservice.exe"
State: Running
Process ID: 1160
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #8
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{0a42aa87-f5d5-43e4-ac15-19dd36bedce9}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: TUWinStylerThemeSvc
Display Name: TuneUp WinStyler Theme Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 92 Win32 services on this machine.
9 were unrecognized.

Script Execution Time: 1,984375 seconds.

#56 Aktive Verbindungen
und hier netstad

edit Sabina

#57

Zitat

zu viele svchost
am laufen welche dienste kann man den alle ausschalten............

Finger weg vom Dienste abschalten
ansonsten ist alles in Ordnung .
__________
MfG Sabina

rund um die PC-Sicherheit

#58 hy sabina

okay lass da mal die finger weg :-)
habe jetzt alles soweit drauf auf meinem neuen system aber es sind schon 14563 zugriffe die verhindert werden konnten ist das nicht ein bissel viel es werden zusehendst immer mehr .

gruss jörg

#59 "Windows-Dienste abschalten" ist ein Programm, das Microsoft Windows XP Home, Microsoft Windows XP Professional und Windows 2000 wesentlich sicherer gegen Angriffe aus dem Netz macht.
http://www.dingens.org/
__________
MfG Sabina

rund um die PC-Sicherheit

#60 hy sabina

so habe jetzt alles im griff keine unnötige svchost mehr am laufen mit etwas probieren hats geklappt vielen dank für alles und der portexplorer istecht supi :-)


http://www.windows-tweaks.info/html/dienste.html

hier habe die einstellungen übernommen


gruss jörg