Virusname: Trojan.Dropper -- "trelew.exe" -- Zugriff verweigert

#31

Zitat

Sabina postete
der purityscan ist noch drauf:

fixe mit dem HijackThis:

Zitat

O4 - HKCU\..\Run: [Kisenpgr] C:\Dokumente und Einstellungen\Benutzer0613\Eigene Dateien\??crosoft.NET\m?config.exe gelöscht
O4 - HKCU\..\Run: [Ummr] "C:\WINDOWS\System32\CROSOF~1\wuauboot.exe" -vt ndrv gelöscht
O4 - HKCU\..\Run: [WNSI] C:\WINDOWS\System32\wnscpcc.exe gelöscht

PC neustarten

loeschen:

C:\Dokumente und Einstellungen\Benutzer0613\Eigene Dateien\??crosoft.NET gelöscht
C:\WINDOWS\System32\CROSOF~1\wuauboot.exe nicht vorhanden
C:\WINDOWS\System32\wnscpcc.exe nicht vorhanden
C:\kybrdb_2.exe nicht vorhanden

-----------------------------------------------------------------------------------------

Start - Ausfuehren - regedit

bearbeiten - > suchen -> kybrdb_2 und keyboard nicht vorhanden

««
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\keyboard<--loeschen gelöscht

««
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kybrdb_2 <--loeschen nicht vorhanden

««
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WindowsUpdate
DisableWindowsUpdateAccess <--loeschen gelöscht

««
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools <--loeschen gelöscht

------------------------------------------------------------------------------------

ueberpruefen ! ..auf 0 aendern, wenn du die Service angezeigt haben willst:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network

Zitat

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
NoEntireNetwork 1
NoWorkgroupContents 1
NoFileSharing 1
NoPrintSharing 1

NoFileSharing DWORD 1 Keine "Freigaben" im Netzwerk werden freigegeben
NoPrintSharing DWORD 1 Keine Drucker im Netzwerk werden freigegeben
NoEntireNetwork DWORD 1 Gesamtes Netzwerk fehlt, nur noch Computer in der Arbeitsgruppe ersichtlich
NoWorkgroupContents DWORD 1 Mitglieder der Netzwerk-Arbeitsgruppe werden nicht mehr in der Netzwerkumgebung angezeigt

Zitat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
NoDialIn 1

NoDialIn DWORD 1 Der Zugriff auf den Rechner via Modem wird deaktiviert

Zitat

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoNetConnectDisconnect 0

1. Schritt:
Suchen des Schlüssels HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
2. Schritt:
verändern des DWORD-Wertes NoNetConnectDisconnect auf 1 = verstecken oder 0 = eingeblendet

Zitat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
RunStartupScriptSync 0

Startskripts sind Batchdateien (Befehlslisten), die vor der Benutzeranmeldung ausgeführt werden. Normalerweise wird ein Startskript nach dem anderen ausgeführt. Mit dieser Einstellung wird das Ausführen der Startskripts nicht koordiniert.
http://www.windowspage.de/frame.php?http://www.windowspage.de/gemeinsame/system/skripts/runstartupscriptsync.html

0 = Die Startskripte werden der Reihe nach ausgeführt.
1 = Die Startskripte werden gleichzeitig (parallel) ausgeführt.

wenn du nicht sicher bist, diesen Eintrag in der Registry durch die bewusste Anwendung von Batch-Files erstellt zu haben, loesche den Schluessel ! ..denn er kann durch den Trojaner erstellt worden sein

dieser Schlüssel existiert nicht

Und weiter? Meinst Du, das könnte es gewesen sein?

.

#32 starte den Rechner neu und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Logfile of HijackThis v1.99.1
Scan saved at 15:46:43, on 10.07.06
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\programme\citrix\ica-client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Aspect Communications\Aspect WinSet 4.0\AWinset.exe
C:\PROGRA~1\ASPECT~1\ASPECT~1.0\WINSET~2.EXE
C:\Programme\Makromator\mmmain.exe
C:\Programme\Remedy\Aruser.exe
C:\Programme\IBM\Client Access\Emulator\pcsws.exe
C:\Programme\IBM\Client Access\Emulator\PCSCM.EXE
C:\PROGRA~1\IBM\CLIENT~1\cwblmsrv.exe
C:\Programme\IBM\Client Access\Emulator\pcsws.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\Privat\T\hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.driescher.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = intranet.driescher.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.driescher.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von driescher-service IT Management AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = Proxy.driescher-service.local:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*;intranet.driescher.de;*driescher-service.local;;<local>
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=intranet.driescher.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = driescher-service.local
O17 - HKLM\Software\..\Telephony: DomainName = driescher-service.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC227A2-72CB-43F2-A207-E79D9BFCA3D9}: Domain = driescher-service.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = driescher-service.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = driescher-service.local
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe


Hör mal Sabine ---> Ich will ja mal nicht voreilig sein .... doch ich habe nun seit ca. 2 Std. keine Popupppps mehr bekommen ... soll´s das wirklich gewesen sein?

.

#34 1.
driescher-service.local -> sagt dir das was ?

2.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

3.
mache die WindowsUpdates (SP2)
__________
MfG Sabina

rund um die PC-Sicherheit

#35

Zitat

Sabina postete
1.
driescher-service.local -> sagt dir das was ?

2.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

3.
mache die WindowsUpdates (SP2)

1.
Ja, an der Stelle, an der "driescher-service" steht, steht normalerweise der Firmenname der Firma in der ich arbeite (guckst Du meine IP)! --> Es handelt sich bei dem Rechner um keinen privat PC ...
2.
... aus diesem Grund wird das Onlineupdate des ewido (so auch der Zugriff über FTP etc.) nicht funktionieren (ich scanne aber trotzdem mit der gerade runtergeladenen version ohne frisches Update und poste Dir den Scanreport)!
3.
wir arbeiten noch mit dem SP1, da mit dem SP2 einige Aplikationen nicht laufen würden.

.

#36 du hast ja Traute, an einem Firmenrechner mit meiner bescheidenen Hilfe so rumzuschrauben !!!
Habt ihr keinen Netzwerkadministrator, der sich kuemmert ?
__________
MfG Sabina

rund um die PC-Sicherheit

#37

Zitat

Sabina postete
du hast ja Traute, an einem Firmenrechner mit meiner bescheidenen Hilfe so rumzuschrauben !!!
Habt ihr keinen Netzwerkadministrator, der sich kuemmert ?

Traute ist gut ausgedrückt Und vor allem warum bescheidene Hilfe? Scheint doch alles gut gelaufen zu sein ... vor allem hast Du Dich mächtig ins Zeug gelegt und mich echt glücklich gemacht
Das Problem ist, dass hier kurzer Prozess gemacht wird und die Dose bei dem kleinsten bug neu aufgesetzt wird (ist auch verständlich ... alles Andere würde zu viel Zeit kosten).
Da mir die Feineinstellungen für die einzelnen Aplikationen ziemlich viel Zeit rauben würden, bin ich erst einmal den Weg der "Selbstsäuberung" gegangen.

So ist das ... !

Was machst Du denn nun so den ganzen Tag? Viren oder Würmer finden und Sicherheitslöcher stopfen? Hauptberuflich?
.