Backdoor.CIADoor.13

#1 Hallo zusammen!

Backdoor.CIADoor.13 hat sich auf meinem PC eingenistet.
Skeptisch wurde ich,als plötzlich beim Windows-Start 5 Fenster nacheinander aufgingen und mir sagten,dass was mit der svchost.exe nicht stimmt.
Daraufhin habe ich versucht ,über avast! und BitDefender dies zu beseitigen.
Doch leider vergeblich.
Lange Rede,kurzer Sinn ... habe mit Spyware Doctor gescannt und den Trojaner entdeckt und hab dann gegoogelt und bin bei Euch gelandet.
Habe auch schon einige Threads gelesen,nur weiß ich nicht,ob ich die Beseitigung haargenau auf mein System anwenden kann.
Ich hoffe Ihr könnt mir helfen!


Logfile of HijackThis v1.99.1
Scan saved at 13:04:13, on 15.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Schutz\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Schutz\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Schutz\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Tools\Spyware Doctor\sdhelp.exe
C:\Tools\Spyware Doctor\swdoctor.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programm-Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\Tools\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\Tools\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Schutz\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Tools\Spyware Doctor\swdoctor.exe" /Q
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\Tools\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15A6F73A-97DD-4128-BD78-9468E36B5D13}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Schutz\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Schutz\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Schutz\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Schutz\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Tools\Spyware Doctor\sdhelp.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

#2 Lorenor

Backdoor.CIADoor.13
http://virus-protect.org/artikel/dienste/wsock32sys.html

------------------------------------------------------------------------
1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Files to delete:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\del32.bat

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

Zitat

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe

PC neustarten
--------------------------------------------------
3.
gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....

Start->Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

4.
PC neustarten

5.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat:
registry keys to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Files to delete:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\del32.bat

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

habe es mehrmals versucht ,aber immer kommt eine Fehlermeldung Fatal Error.

in der errorlog steht: "//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!"

was nun?
>>> EDIT <<<
ok hat nun geklappt.

Danke schonmal!!!

Zitat

3.
gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....

Start->Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

hmm also in meiner Registry ist keiner dieser 3 Einträge vorhanden ... ist das nun gut oder Besorgnis erregend?

Gruß
Lorenor

>>> EDIT <<<

1.log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B8-00BA

Verzeichnis von C:\WINDOWS\system32

15.05.2006 16:28 21.961 nvapps.xml
15.05.2006 16:27 9.560 ikhcore.log
15.05.2006 15:18 52 hbdnwlil.txt
14.05.2006 05:43 16.832 amcompat.tlb
14.05.2006 05:43 23.392 nscompat.tlb
12.05.2006 17:45 13.128 wpa.dbl
04.05.2006 17:39 3.009 CONFIG.NT
04.05.2006 06:26 5.818.784 MRT.exe
27.04.2006 19:50 597.504 aswBoot.exe
27.04.2006 19:42 90.112 AVASTSS.scr
21.04.2006 00:19 4.284 qtplugin.log
20.04.2006 23:43 565.170 large.bnk
20.04.2006 23:43 278.528 livesnth.dll
20.04.2006 23:43 11.333 cf_lic.txt
20.04.2006 23:43 203.776 clrviddc.dll
20.04.2006 23:31 176.167 rmoc3260.dll
20.04.2006 23:31 5.632 pndx5032.dll
20.04.2006 23:31 6.656 pndx5016.dll
12.04.2006 03:06 39.992 perfc009.dat
12.04.2006 03:06 48.156 perfc007.dat
12.04.2006 03:06 316.594 perfh007.dat
12.04.2006 03:06 311.604 perfh009.dat
12.04.2006 03:06 723.744 PerfStringBackup.INI
08.04.2006 05:21 118.784 DivXCodecUpdateChecker.exe
06.04.2006 20:11 3.596.288 qt-dx331.dll
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
21.03.2006 21:11 3.136 dtu_de.qm
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 66.560 mtxclu.dll
24.02.2006 13:57 2.272 w95inf16.dll
24.02.2006 13:57 4.608 w95inf32.dll
14.02.2006 09:20 550.120 LegitCheckControl.dll

2.log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B8-00BA

Verzeichnis von C:\DOKUME~1\Sanji\LOKALE~1\Temp

15.05.2006 16:38 206 jusched.log
15.05.2006 16:30 16.384 Perflib_Perfdata_78c.dat
09.05.2006 01:48 111 DFC5A2B2.TMP
3 Datei(en) 16.701 Bytes
0 Verzeichnis(se), 22.056.538.112 Bytes frei

3.log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B8-00BA

Verzeichnis von C:\WINDOWS

15.05.2006 16:28 50 wiaservc.log
15.05.2006 16:27 159 wiadebug.log
15.05.2006 16:27 2.048 bootstat.dat
15.05.2006 16:26 32.638 SchedLgU.Txt
15.05.2006 16:26 1.451.524 WindowsUpdate.log
15.05.2006 15:42 6.144 Thumbs.db
15.05.2006 09:39 461.566 setupapi.log
14.05.2006 12:44 31.730 spupdsvc.log
14.05.2006 05:50 378 wmsetup10.log
14.05.2006 05:48 113.998 wmsetup.log
14.05.2006 05:48 13.282 KB911565.log
14.05.2006 05:48 730 avmcoins.log
14.05.2006 05:41 316.640 WMSysPr9.prx
13.05.2006 23:17 54.156 QTFont.qfn
12.05.2006 17:45 124.604 iis6.log
12.05.2006 17:45 270.438 comsetup.log
12.05.2006 17:45 171.829 ntdtcsetup.log
12.05.2006 17:45 1.374 imsins.log
12.05.2006 17:45 346.366 tsoc.log
12.05.2006 17:45 38.242 ocmsn.log
12.05.2006 17:45 10.267 KB911567.log
12.05.2006 17:45 496.183 ocgen.log
12.05.2006 17:45 43.192 msgsocm.log
12.05.2006 17:45 838.570 FaxSetup.log
12.05.2006 17:43 4.318 WGA.log
12.05.2006 03:05 19.808 KB913580.log
12.05.2006 03:05 30.201 updspapi.log
06.05.2006 02:06 100.336 DirectX.log
01.05.2006 18:26 821 avm1.log
01.05.2006 18:26 733 accessdll.log
27.04.2006 02:35 1.409 QTFont.for
26.04.2006 13:28 1.374 imsins.BAK
26.04.2006 13:28 11.178 KB900485.log
22.04.2006 19:22 45.873 avmw2k.log
22.04.2006 19:22 832 avmadd32.log
21.04.2006 00:28 1.309 Q810243.log
20.04.2006 04:08 821 avm17.log
20.04.2006 04:08 733 avm16.log
20.04.2006 04:07 821 avm15.log
20.04.2006 03:42 821 avm2.log
19.04.2006 23:15 7.894 cdplayer.ini
19.04.2006 04:02 4.096 d3dx.dat
15.04.2006 20:23 112 clientshell.INI
14.04.2006 22:11 821 avm6.log
14.04.2006 22:11 733 avm5.log
14.04.2006 22:10 821 avm4.log
14.04.2006 22:10 733 avm3.log
14.04.2006 02:56 107.132 UninstallThunderbird.exe
14.04.2006 02:56 10.799 mozver.dat
14.04.2006 02:56 647 win.tmp
14.04.2006 02:56 647 win.ini
14.04.2006 00:15 821 avm25.log
13.04.2006 04:32 14.935 KB908531.log
13.04.2006 04:32 14.137 KB911562.log
13.04.2006 04:32 16.241 KB912812.log
12.04.2006 03:42 802 avmenum32.log
12.04.2006 03:34 151.269 CFSETUP.TXT
12.04.2006 03:32 5.986 ModemLog_cFos DSL, Internet, PPPoE.txt
08.04.2006 12:21 4 msoffice.ini
08.04.2006 12:09 725 aolback.exe.lnk
25.02.2006 19:14 14.347 KB911927.log
25.02.2006 19:14 10.500 KB910437.log
25.02.2006 19:14 8.129 KB911564.log
25.02.2006 19:14 16.449 KB905915.log
25.02.2006 19:13 11.006 KB912919.log
25.02.2006 19:13 10.151 KB901190.log
25.02.2006 19:13 10.285 KB908519.log
25.02.2006 19:13 7.093 KB913446.log

4.log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B8-00BA

Verzeichnis von C:\

15.05.2006 17:03 0 sys.txt
15.05.2006 17:02 11.010 system.txt
15.05.2006 17:01 404 systemtemp.txt
15.05.2006 17:00 100.990 system32.txt
15.05.2006 16:27 1.610.612.736 pagefile.sys
15.05.2006 15:56 3.198 avenger.txt
22.04.2006 16:40 15.360 divx-connected.db
08.04.2006 12:09 1.685 IPH.PH
08.04.2006 11:57 3.523 TDSLCheck.txt

ok ,warte gespannt ^^
Danke nochmal!

Gruß
Lorenor

#4 1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

scvhost

in edit und klicke "Ok".
Notepad wird sich öffnen - poste, was angezeigt wird

"Enter search strings" (reinschreiben oder reinkopieren)

Generic Host Process

in edit und klicke "Ok".
Notepad wird sich öffnen - poste, was angezeigt wird

---------
2.
Gehe in die Registry
Start-Ausfuehren - regedit

suche diesen Schluessel und schreibe mir, welche ini-Datei dort eingetragen ist

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set\set
xxxxxxxx.ini
----------

3.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5

Zitat

scvhost

in edit und klicke "Ok".
Notepad wird sich öffnen - poste, was angezeigt wird

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.05.2006 03:41:00 for strings:
; 'scvhost'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

[HKEY_USERS\S-1-5-21-1715567821-725345543-682003330-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

; End Of The Log...

Zitat

Generic Host Process

in edit und klicke "Ok".
Notepad wird sich öffnen - poste, was angezeigt wird

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.05.2006 03:50:16 for strings:
; 'generic host process'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

[HKEY_USERS\S-1-5-21-1715567821-725345543-682003330-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

; End Of The Log...


2.

Zitat

suche diesen Schluessel und schreibe mir, welche ini-Datei dort eingetragen ist

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set\set
xxxxxxxx.ini

r15o922UXD.ini


3.

Zitat

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

Tuesday, May 16, 2006 6:40:00 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 16/05/2006
Kaspersky Anti-Virus database records: 182404
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
Scan Statistics
Total number of scanned objects 135272
Number of viruses found 1
Number of infected objects 1
Number of suspicious objects 0
Duration of the scan process 02:07:51

Infected Object Name Virus Name Last Action
C:\Spiele\3DSexVilla\3DSexVilla.exe Infected: Trojan-Dropper.Win32.Microjoin.h skipped
Scan process completed.

#6 Gehe in die Registry
Start-Ausfuehren- regedit

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
set\
set\
set\
r15o922UXD.ini <--loeschen

-------------------------------

bearbeiten - suchen - reinkopieren: scvhost.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"<--loeschen


[HKEY_USERS\S-1-5-21-1715567821-725345543-682003330-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]

"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe" -> loeschen

-------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

C:\WINDOWS\system32\r15o922UXD.ini
C:\Spiele\3DSexVilla\3DSexVilla.exe

pc neustarten

loesche manuell:
C:\Spiele\3DSexVilla
C:\avenger\backup.zip

---------------------------------

poste noch mal die 4 Logs von datfindbat + das log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#7

Zitat

poste noch mal die 4 Logs von datfindbat + das log vom HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 13:36:05, on 16.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Schutz\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Schutz\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\Tools\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\PROGRA~1\Schutz\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Tools\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Schutz\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Schutz\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\Tools\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\Tools\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Schutz\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Tools\Spyware Doctor\swdoctor.exe" /Q
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\Tools\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15A6F73A-97DD-4128-BD78-9468E36B5D13}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Schutz\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Schutz\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Schutz\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Schutz\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Tools\Spyware Doctor\sdhelp.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B8-00BA

Verzeichnis von C:\WINDOWS\system32

16.05.2006 13:31 21.961 nvapps.xml
16.05.2006 13:31 13.190 ikhcore.log
15.05.2006 15:18 52 hbdnwlil.txt
14.05.2006 05:43 16.832 amcompat.tlb
14.05.2006 05:43 23.392 nscompat.tlb
12.05.2006 17:45 13.128 wpa.dbl
04.05.2006 17:39 3.009 CONFIG.NT
04.05.2006 06:26 5.818.784 MRT.exe
27.04.2006 19:50 597.504 aswBoot.exe
27.04.2006 19:42 90.112 AVASTSS.scr
21.04.2006 00:19 4.284 qtplugin.log
20.04.2006 23:43 565.170 large.bnk
20.04.2006 23:43 278.528 livesnth.dll
20.04.2006 23:43 11.333 cf_lic.txt
20.04.2006 23:43 203.776 clrviddc.dll
20.04.2006 23:31 176.167 rmoc3260.dll
20.04.2006 23:31 5.632 pndx5032.dll
20.04.2006 23:31 6.656 pndx5016.dll
12.04.2006 03:06 39.992 perfc009.dat
12.04.2006 03:06 48.156 perfc007.dat
12.04.2006 03:06 316.594 perfh007.dat
12.04.2006 03:06 311.604 perfh009.dat
12.04.2006 03:06 723.744 PerfStringBackup.INI
08.04.2006 05:21 118.784 DivXCodecUpdateChecker.exe
06.04.2006 20:11 3.596.288 qt-dx331.dll
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
21.03.2006 21:11 3.136 dtu_de.qm
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 66.560 mtxclu.dll
24.02.2006 13:57 2.272 w95inf16.dll
24.02.2006 13:57 4.608 w95inf32.dll
14.02.2006 09:20 550.120 LegitCheckControl.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B8-00BA

Verzeichnis von C:\DOKUME~1\Sanji\LOKALE~1\Temp

16.05.2006 13:28 412 jusched.log
16.05.2006 13:27 16.384 ~DFAFDC.tmp
16.05.2006 01:52 832 java_install_reg.log
15.05.2006 17:46 72.192 ~e5.0001
15.05.2006 17:46 32.768 ~DFD35F.tmp
09.05.2006 22:50 111 DFC5A2B2.TMP
6 Datei(en) 122.699 Bytes
0 Verzeichnis(se), 22.055.972.864 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B8-00BA

Verzeichnis von C:\WINDOWS

16.05.2006 13:33 6.144 Thumbs.db
16.05.2006 13:31 159 wiadebug.log
16.05.2006 13:31 1.468.914 WindowsUpdate.log
16.05.2006 13:31 50 wiaservc.log
16.05.2006 13:31 2.048 bootstat.dat
16.05.2006 13:30 32.638 SchedLgU.Txt
16.05.2006 04:06 465.076 setupapi.log
14.05.2006 12:44 31.730 spupdsvc.log
14.05.2006 05:50 378 wmsetup10.log
14.05.2006 05:48 113.998 wmsetup.log
14.05.2006 05:48 13.282 KB911565.log
14.05.2006 05:48 730 avmcoins.log
14.05.2006 05:41 316.640 WMSysPr9.prx
13.05.2006 23:17 54.156 QTFont.qfn
12.05.2006 17:45 124.604 iis6.log
12.05.2006 17:45 270.438 comsetup.log
12.05.2006 17:45 171.829 ntdtcsetup.log
12.05.2006 17:45 1.374 imsins.log
12.05.2006 17:45 346.366 tsoc.log
12.05.2006 17:45 38.242 ocmsn.log
12.05.2006 17:45 10.267 KB911567.log
12.05.2006 17:45 496.183 ocgen.log
12.05.2006 17:45 43.192 msgsocm.log
12.05.2006 17:45 838.570 FaxSetup.log
12.05.2006 17:43 4.318 WGA.log
12.05.2006 03:05 19.808 KB913580.log
12.05.2006 03:05 30.201 updspapi.log
06.05.2006 02:06 100.336 DirectX.log
01.05.2006 18:26 821 avm1.log
01.05.2006 18:26 733 accessdll.log
27.04.2006 02:35 1.409 QTFont.for
26.04.2006 13:28 1.374 imsins.BAK
26.04.2006 13:28 11.178 KB900485.log
22.04.2006 19:22 45.873 avmw2k.log
22.04.2006 19:22 832 avmadd32.log
21.04.2006 00:28 1.309 Q810243.log
20.04.2006 04:08 821 avm17.log
20.04.2006 04:08 733 avm16.log
20.04.2006 04:07 821 avm15.log
20.04.2006 03:42 821 avm2.log
19.04.2006 23:15 7.894 cdplayer.ini
19.04.2006 04:02 4.096 d3dx.dat
15.04.2006 20:23 112 clientshell.INI
14.04.2006 22:11 821 avm6.log
14.04.2006 22:11 733 avm5.log
14.04.2006 22:10 821 avm4.log
14.04.2006 22:10 733 avm3.log
14.04.2006 02:56 107.132 UninstallThunderbird.exe
14.04.2006 02:56 10.799 mozver.dat
14.04.2006 02:56 647 win.tmp
14.04.2006 02:56 647 win.ini
14.04.2006 00:15 821 avm25.log
13.04.2006 04:32 14.935 KB908531.log
13.04.2006 04:32 14.137 KB911562.log
13.04.2006 04:32 16.241 KB912812.log
12.04.2006 03:42 802 avmenum32.log
12.04.2006 03:34 151.269 CFSETUP.TXT
12.04.2006 03:32 5.986 ModemLog_cFos DSL, Internet, PPPoE.txt
08.04.2006 12:21 4 msoffice.ini
08.04.2006 12:09 725 aolback.exe.lnk
25.02.2006 19:14 14.347 KB911927.log
25.02.2006 19:14 10.500 KB910437.log
25.02.2006 19:14 8.129 KB911564.log
25.02.2006 19:14 16.449 KB905915.log
25.02.2006 19:13 11.006 KB912919.log
25.02.2006 19:13 10.151 KB901190.log
25.02.2006 19:13 10.285 KB908519.log
25.02.2006 19:13 7.093 KB913446.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B8-00BA

Verzeichnis von C:\

16.05.2006 13:39 0 sys.txt
16.05.2006 13:39 11.010 system.txt
16.05.2006 13:38 544 systemtemp.txt
16.05.2006 13:37 100.990 system32.txt
16.05.2006 13:31 1.610.612.736 pagefile.sys
15.05.2006 15:56 3.198 avenger.txt
22.04.2006 16:40 15.360 divx-connected.db
08.04.2006 12:09 1.685 IPH.PH
08.04.2006 11:57 3.523 TDSLCheck.txt
14.11.2005 06:34 124 DownloadLog.txt
30.10.2005 14:22 22.000 infantry_128.dds
14.10.2005 01:32 4.608 Thumbs.db
21.07.2005 13:22 211 boot.ini
26.04.2005 03:13 560 b_anzeigen.gif
11.04.2005 18:21 47.564 NTDETECT.COM
11.04.2005 18:21 251.184 ntldr
09.03.2005 21:21 35.636.811 NIS05DEU.EXE
09.03.2005 20:19 0 IO.SYS
09.03.2005 20:19 0 MSDOS.SYS
09.03.2005 20:19 0 AUTOEXEC.BAT
09.03.2005 20:19 0 CONFIG.SYS

Gruß
Lorenor

#8 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\NIS05DEU.EXE

berichte...............
__________
MfG Sabina

rund um die PC-Sicherheit

#9

Zitat

Sabina postete
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\NIS05DEU.EXE

berichte...............

Danke schonmal im Vorraus für die prompte Hilfestellung!
wirklich super Service!!!

sollte ich es per Mail oder per online-scan machen?
habe jetzt per online-scan angefangen - nur ich fürchte das dauert Stunden ...

>>> EDIT <<<

"es mayor" kam als Antwort

aber zu der NIS05DEU.exe kann ich Folgendes sagen
Norton Internet Security müsste das sein - das habe ich damals gekauft

Gruß
Lorenor

Zitat

>>> EDIT <<<

hmm also wenn ich neustarte ,wird meine Firewall immer automatisch abgestellt und der Backdoor-Trojaner ist laut Spyware Doctor auch noch drauf ... habe da ne Menge Registry-Einträge,weiß jedoch nicht ob ich die einfach so löschen kann.
und laut Kaspersky ist die verseuchte Datei nun in C:\!KillBox\ ... bleibt die da nun für immer?
wie soll ich weiter vorgehen?

DANKE schonmal in Vorraus!

Gruß
Lorenor

#10 1.
loesche alle Dateien unter C:\!KillBox\

2.
Spyware Doctor -> scanreport bitte posten

3.
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#11

Zitat

Sabina postete
1.
loesche alle Dateien unter C:\!KillBox\

2.
Spyware Doctor -> scanreport bitte posten

3.
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157

dann berichte

1. habe ich gemacht
2. hab das Programm nun gekauft,da ich wichtige sicherheitssensitive Aktionen am Rechner durchführen musste und ich nicht länger warten konnte.

Spyware Doctor zeigt nun nix mehr an - habe alle Malware-Sachen löschen lassen

3. bin ich dabei ...

nun aber Folgendes ... starte grad den Rechner und Firefox ist nicht mehr mein Firefox ...
sämtliche Favoriten ,alle Seiten und das Outfit sind weg bzw verändert!
Systemwiederherstellung ist auch durch den Dämonenadministrator deaktiviert worden

menno ... was läuft da nur schief noch?!

hoffe Sabina,du kannst mir abermals helfen!

Gruß
Lorenor

#12 ich weiss nicht, was der Spyware Doctor da geloescht hat... du hast mir den scanreport trotz meiner Bitte nicht gepostet..
ich kann dir also nicht weiterhelfen, da ich keine Infos habe, sorry.
-> installiere den Firefox neu.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Deine Antwort kam leider etwas zu spät - ich musste gestern Nachmittag alles wegschicken und hab dann mit dem Doctor alles gelöscht.
sorry ,aber ich musste erstmal sichergehen ...

Firewall startet nun wieder normal beim Neustart!
DANKE!

noch eine Frage zu Firefox

wenn ich das neu installiere,kann ich dann wieder meine alten Favoriten einsetzen?
sind die irgendwo auf dem Rechner?

Danke schonmal!
Gruß
Lorenor

#14 Hallo Lorenor,

mein PC ist von dem gleichen Trojaner befallen worden. Sabina hat mir analog Deinen Problemen auch versucht zu helfen (siehe meine geposteten Texte). Einige Dinge konnte ich daraufhin wieder aktivieren. Wie z.B. den Task-Manager.

Leider hat Sabina sich seit ein paar Tagen nicht mehr gemeldet. Krank, Urlaub??

Ich befürchte, dass ich nicht um eine komplette Neuinstallation herum komme, damit ich sicher bin, dass der Trojaner verschwunden ist. Er scheint sich ziemlich tief in die Einstellungen von Windows eingeschaltet zu haben.

Hast Du eine Ahnung wo Du den Trojaner vielleicht eingesammelt hast? Wäre ja gut zu wissen, damit einem das nicht nochmal passiert.

Viele Grüße
Tommy

#15

Zitat

Tommy55 postete

Leider hat Sabina sich seit ein paar Tagen nicht mehr gemeldet. Krank, Urlaub??

Viele Grüße
Tommy

wieso habe ich nicht geantwortet ?????????
http://board.protecus.de/t23316-2.htm

der Trojaner kommt ueber ein Hackertool auf den Rechner, wahrscheinlich ueber Schwachstellen, offene Ports usw....
__________
MfG Sabina

rund um die PC-Sicherheit