explorer.exe will cocolite.ath.cx auf port 80 kontaktieren |
||
---|---|---|
#0
| ||
30.09.2006, 19:21
Ehrenmitglied
Beiträge: 29434 |
||
|
||
30.09.2006, 19:25
...neu hier
Themenstarter Beiträge: 9 |
#17
Nächster Versuch:
Der Reg-Eintrag Icon Times wird hochgezählt, allerdings noch kein explorer.exe - Absturz seither. Kommst Du damit weiter? In jedem Falle nochmal vielen Dank für die große Hilfestellung! Zitat The script did not recognize the services listed below. |
|
|
||
01.10.2006, 00:31
Ehrenmitglied
Beiträge: 29434 |
#18
Lade Dir das Tool Autoruns runter
entpacke im abgesicherten Modus von Windows unter Deinem Benutzernamen angemeldet die Zip-Datei führe autoruns.exe aus mach bei "Options" bei "Verify Code Signatures" - "Hide Signed Microsoft Entries" jeweils Häckchen und vergewissere Dich, dass bei "Include Empty Locations" kein Häckchen ist. http://virus-protect.org/artikel/tools/autoruns.html ----- dann ueberpruefe auch noch mit icesword http://virus-protect.org/artikel/tools/icesword.html schau, ob du was auffaelliges findest ----- mit diesem Proggie kannst du veraenderugen in der Registry feststellen: http://virus-protect.org/artikel/tools/regshot.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.10.2006, 15:56
...neu hier
Beiträge: 1 |
#19
Hallo,
habe das selbe Problem gehabt, das ist tatsächlich ein gängiger Hacker Angriff. Nach Rücksprache mit der örtlichen Kripo kann man nur jedem davon abraten ein Remote tool wie VNC zu benutzen, da die Source ja offen für jeden zugänglich ist. Die Windows remote connection soll ähnlich unsicher sein, da Windows sehr weit verbreitet ist. Mir wurde PCanywhere als Remote tool empfohlen, leider kost das natürlich was. Betroffene User sollten auf jeden Fall checken ob der Rechner nicht zum "stillen" FTP Server umgemogelt wurde. Eine gängige Attacke ist zB ein Hacker, der die Tür öffnet und ein Stück Speicher belegt, den er dann einem "Filler" mitteilt, der dann anfängt diesen Speicher mit illegalen Inhalten wie .B Kinderp****s/Filme ect. einstellt die wiederum im Web angeboten werden. Nach 5 Wochen hat man dan die Kripo vor der Tür und oftmals selber keine Ahnung von dem ganzen Vorgang (das wurde mir so vom Kripo IT Experten so erzählt). |
|
|
||
02.10.2006, 21:05
...neu hier
Themenstarter Beiträge: 9 |
#20
Naja... ganz so dramatisch war die Lage glaube ich noch nicht. Aber Fakt ist, dass ich nicht lokaliseren konnte, woher die Registry-Einträge stammten.
Ich bin jetzt den Weg des geringsten Wiederstandes gegangen und habe das System komplett neu aufgesetzt. Vielen Dank trotzdem, die Hilfe geleistet haben! Grüße, Frank PS: Falls jemand noch eine Idee hat, wo der Schädling sich finden lassen könnte bin ich natürlich trotzdem noch interessiert. Habe das Altsystem noch auf einer anderen Partition am Laufen, werde von dort jedoch nicht online gehen. |
|
|
||
http://virus-protect.org/artikel/tools/ServiceFilter.zip
- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina
rund um die PC-Sicherheit