autom. Setup.exe und autorun.ini erstellt |
||
---|---|---|
#0
| ||
29.07.2006, 17:07
...neu hier
Beiträge: 6 |
||
|
||
29.07.2006, 21:48
Moderator
Beiträge: 7805 |
||
|
||
29.07.2006, 22:59
Ehrenmitglied
Beiträge: 29434 |
#3
Zitat Alos so wie ich das bei diversen beschreibungen verstanden habe, befällt der Stanit nur .exe Dateien. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.07.2006, 08:30
Moderator
Beiträge: 7805 |
||
|
||
30.07.2006, 13:41
Ehrenmitglied
Beiträge: 29434 |
#5
Zitat raman posteteich bezweifel, dass da was kommt, da nikita auch nicht weiss, was los ist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.07.2006, 13:51
Moderator
Beiträge: 7805 |
||
|
||
01.08.2006, 14:35
...neu hier
Themenstarter Beiträge: 6 |
#7
Hallo Moderatoren!
Falls ihr mit euren Beiträgen über das andere Forum meint, dass ich nicht in jedem Forum ein neues Thema erzeugen soll, sondern nur in einem, dann muss ich euch dagegenreden! Denn wie ihr seht, bekommt man in jedem Forum eine andere Antwort (hier z.B. "Jotti" oder "VT"), was ich aus Erfahrung weis. Und wenn man nur in einem Forum seinen Eintrag schreiben soll, wozu sind dann die ganzen anderen da. Genau! Um verschiedene Meinungen und Tipps zu hören. Werds mit Jotti oder VT versuchen. PS: Habe bereits in 4 Foren dieses Thema eröffnet. |
|
|
||
01.08.2006, 14:45
Ehrenmitglied
Beiträge: 29434 |
#8
ist in Ordnung
teile uns dann die Erkenntnisse von Jotti und von den anderen Foren mit . __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2006, 14:49
...neu hier
Themenstarter Beiträge: 6 |
#9
Hier die Ergebnisse:
(eins verstehe ich aber nicht: Ich hatte Kaspersky installiert. Doch es falnd in dieser Datei kein Maleware. Hier aber fand es eine Maleware. Ich hatte Kaspersky natürlich vorher aktualisiert!) Diese Drei fanden etwas: F-Prot Antivirus W32/Methodbod.gen Kaspersky Anti-Virus Trojan-Proxy.Win32.Horst.eb NOD32 a variant of Win32/Medbot.BD In der Autorun.ini wurde nichts gefunden. |
|
|
||
01.08.2006, 14:57
Ehrenmitglied
Beiträge: 29434 |
#10
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/fprot.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2006, 15:03
...neu hier
Themenstarter Beiträge: 6 |
#11
Soll ich nur die lokalen Festplatten (2) scannen oder auch (falls dies möglich ist) die Netzlaufwerke und sonstige Laufwerke?
Hier das ergebnis der Lokalen Festplatten: (nichts gefunden) Weis jemand, wie man die Maleware oder Virus auch "Manuell" entfernen kann? ╔══════════════════════════════════════╗ ║Virus scanning report - 1 August 2006 @ 15:16 ║ ║ ║F-PROT ANTIVIRUS ║ ║Program version: 3.16f ║ ║Engine version: 3.16.13 ║ ║ ║ ║VIRUS SIGNATURE FILES ║ ║SIGN.DEF created 13 June 2006 ║ ║SIGN2.DEF created 13 June 2006 ║ ║MACRO.DEF created 15 June 2006 ║ ║ Search: Local hard disks ║ ║Action: Report only ║ ║Files: "Dumb" scan of all files ║ ║Switches: /ARCHIVE /PACKED ║ ║No viruses found in memory. ║ ║Hard disk boot sectors were not scanned. ║ ║ ║ ║Scanning C: ║ ║C:\DOKUME~1\**zensiert**\NTUSER.DAT Not scanned (in use by another application) ║ ║C:\DOKUME~1\**zensiert**\NTUSER~1.LOG Not scanned (in use by another application)║ ║Scanning E: ║ Dieser Beitrag wurde am 01.08.2006 um 16:18 Uhr von PinkoPalino editiert.
|
|
|
||
01.08.2006, 16:26
Ehrenmitglied
Beiträge: 29434 |
#12
desinstalliere den kaspersky und lade NOD32 Antivirus System
http://virus-protect.org/antivirshare.html poste dann den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2006, 17:07
...neu hier
Themenstarter Beiträge: 6 |
#13
Während dem download von NOD mit ISDN habe ich noch ein bisschen im Internet gestöbert und dabei herausgefunden, dass die smss.exe Datei im System oft infiziert ist.
Mit Jotti die Datei smss.exe im Verzeichnis c:\Windows\system gescannt und folgendes Ergebnis: F-Prot Antivirus Found W32/Methodbod.gen NOD32 Found a variant of Win32/Medbot.BC Dieses Ergebnis verstehe ich jetzt auch nicht ganz, da ich ja zuvor mit fprot dem PC scannte. Jetzt fand aber F-Prot in der smss.exe Datei eine Maleware ?????? Mit VirusTotal (www.virustotal.com) folgendes Ergebnis: Authentium 4.93.8 07.31.2006 W32/Methodbod.gen F-Prot 3.16f 07.31.2006 W32/Methodbod.gen F-Prot4 4.2.1.29 07.31.2006 W32/Methodbod.gen McAfee 4818 07.31.2006 BackDoor-CMQ NOD32v2 1.1686 08.01.2006 a variant of Win32/Medbot.BC Dann habe ich noch herausgefunden: Wichtig: Die Datei "smss.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei smss.exe um einen Virus, Spyware, Trojaner oder Worm! Bei mir befand sich die Datei im Verzeichnis C:\Windows\System. |
|
|
||
01.08.2006, 19:26
Ehrenmitglied
Beiträge: 29434 |
#14
ah so..nun weiss ich, was noch so auf dem Rechner ist....
http://virus-protect.org/artikel/dienste/nvsvcd.html 1. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 2. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2006, 12:14
...neu hier
Themenstarter Beiträge: 6 |
#15
Hier das Log:
Hinweis: Ganz am Ende steht, dass die Datei nvsvcd.exe fehlt. Diese wurde aber nur vom Virusprogramm nach nvsvcd.Vexe umbenannt, da sich darin ein Virus befindet. Kann man, um eine "gesunde" nvsvcd.exe Datei zu bekommen, einfach die "kranke" löschen und von einem anderen PC hierher kopieren? Achja: Gleich nach dem Anmelden kommt immer die Fehlermeldung, dass die Datei "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" fehlt. ?! Logfile of HijackThis v1.99.1 Scan saved at 12:06:57, on 02.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\Programme\VeriSign\NAVI\naviagent.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\Eset\nod32kui.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\OutlookClose\OutlookCloseBack.exe C:\WINDOWS\system32\wuauclt.exe H:\ASAjHotel\hotel.exe H:\ASAjHotel\j2re1.4.2_11\bin\java.exe C:\Programme\Eset\nod32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - Startup: OutlookClose Background.lnk = C:\Programme\OutlookClose\OutlookCloseBack.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{401EB056-1F17-4843-889A-CDADE5D9BBAA}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{4B44E2A7-03B6-40A1-BF2E-8CD6B01E4751}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{966290E5-30D8-4BCF-9684-DB81D01578AD}: NameServer = 62.211.69.150 212.48.4.15 O17 - HKLM\System\CCS\Services\Tcpip\..\{F63C86F3-86D5-4CD8-8D11-B031872D2374}: NameServer = 192.168.0.1 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing) Hier das andere Log: The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 2 Aug 2, 2006 12:12:40 ---> Begin Service Listing <--- Unknown Service # 8 Service Name: Windows Log Display Name: Windows Log Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\windows\system32\nvsvcd.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 85 Win32 services on this machine. 8 were unrecognized. Script Execution Time: 1,359375 seconds. |
|
|
||
Bei meinem PC wird immer automatisch eine Setup.exe und eine autorun.ini in verschiedenen Ordneren erstellt (C:, Nebenplatte, Admin verzeichnis, Eigene Dateien, ...). Habe herausgefunden, dass die Setup.exe Datei und die autorun.ini Datei nur in Ordnern erstellt werden, die fürs Netzwerk freigegeben sind.
Löscht man diese Weg sind sie nach einiger Zeit wieder da.
Ist dies ein Virus oder Trojaner oder ...
Wie kann ich dieses ding entfernen.
Danke