Unterschiedliche Viren wie z.B, WORM/Sdbot.95232.74 u.ä. |
||
---|---|---|
#0
| ||
05.10.2006, 16:28
...neu hier
Beiträge: 4 |
||
|
||
05.10.2006, 17:38
Ehrenmitglied
Beiträge: 29434 |
#2
««
poste dieses log http://virus-protect.org/artikel/tools/combofix.html «« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.10.2006, 18:50
...neu hier
Themenstarter Beiträge: 4 |
#3
Hui, recht kompliziert....... ok ich fang mal an....
Was genau bewirken diese Programme? Bei einem hab ich gesehen das es unter anderem Spyware vernichtet. C:\WINDOWS\system32 05.10.2006 17:58 7.006 jupdate-1.5.0_06-b05.log 04.10.2006 20:17 81.496 nvapps.xml 04.10.2006 18:07 41.472 TFTP3232 04.10.2006 18:05 70 i 04.10.2006 18:04 0 h323log.txt 04.10.2006 17:59 0 TFTP3344 04.10.2006 17:56 0 TFTP3176 C:\WINDOWS\is-EVEIM.exe « Anhang: Logs.txt Dieser Beitrag wurde am 05.10.2006 um 19:09 Uhr von Mel_T editiert.
|
|
|
||
05.10.2006, 22:58
Member
Beiträge: 130 |
#4
combofix und datfindbat zeigen nur vorhandene dateien an, kannst du so gesehen als scan sehen, damit Sabina weiß was da an bösen dateien unter guten ist
cleanup löscht nur temporäre internetfiles |
|
|
||
06.10.2006, 10:27
Ehrenmitglied
Beiträge: 29434 |
#5
Mel_T
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\is-EVEIM.exe poste den report ______________________________ Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste den report vom avenger, der nach neustart erscheint ** loesche das backup vom Avenger, unter C:\Avenger\backup.zip ** scanne, lasse alles loeschen und poste den report http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.10.2006, 18:52
...neu hier
Themenstarter Beiträge: 4 |
#6
Ok ich hab hier mal virustotal durchlaufen lassen, er zeigt mir an, dass diese Datei kein Virus sei. Die Datei sollte ich prüfen richtig ? C:\WINDOWS\is-EVEIM.exe
Hier der Virustotal LOG und Avanger LOG Seit kurzem erscheint bei meiner Firewall eine Meldung dass ein Angriff von außen blockiert worden sei. Ich habe AVG ABti-Spy 7.5 durchlaufen lassen, habe die Datei gelöscht "downloader" weitere Informationen waren nicht vorhanden über diese Dabei. Einen Fehler habe ich gemacht: ich habe weiter geklick und den LOG nicht gespeichert, kann man den irgendwie anschauen außer direkt nach dem Scan?? Anhang: Virustotal und AVANGER LOG.txt Dieser Beitrag wurde am 08.10.2006 um 19:27 Uhr von Mel_T editiert.
|
|
|
||
09.10.2006, 10:39
Ehrenmitglied
Beiträge: 29434 |
#7
scanne, lasse alles loeschen und poste den scanreport
http://virus-protect.org/a2.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.10.2006, 15:51
...neu hier
Themenstarter Beiträge: 4 |
||
|
||
11.10.2006, 00:12
Ehrenmitglied
Beiträge: 29434 |
#9
Mel_T
so richtig traue ich dem Braten nicht .. waere zu leicht. klicke noch mal die datfindbat, bedenke, es sind 6 logs und ich will von jedem ca. 3 Monate sehen, denn sie sind nach Datum geordnet. http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.10.2006, 00:57
...neu hier
Beiträge: 2 |
#10
Hallo,
bin seit gestern auch ein verwundertes Opfer von Virenfunden auf meinem Rechner geworden. Habe das Avira Antivir Programm und neben dem dem Droppers DR/Shelled Gen ist ausserdem noch der Worm Alcra B gemeldet. Habe schon ein bißchen im Netz dazu rumgesucht und auch schon das HijackThis Programm runtergeladen und ausgeführt. Das ist dabei rausgekommen: Logfile of HijackThis v1.99.1 Scan saved at 00:40:44, on 11.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\SOUNDMAN.EXE C:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Java\j2re1.4.2_08\bin\jusched.exe C:\Programme\XpertVision\TBPanel.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\WINNT\system32\ntvdm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Dokumente und Einstellungen\Abi1\Desktop\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Hotplug] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe O4 - HKLM\..\Run: [SiSRaid] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_08\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GAINWARD] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe muss ich jetzt meine Festplatte wieder formatieren? und wie werde ich diese Dinger wieder los? kann mir jemand dazu einen Tipp geben? gruß Abi |
|
|
||
11.10.2006, 01:21
Ehrenmitglied
Beiträge: 29434 |
#11
abilacht
poste bitte dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.10.2006, 10:17
...neu hier
Beiträge: 2 |
#12
Hallo Sabina,
erstmal danke für deine Antwort. Muss zugeben, der von dir angegebene linkbringt mich zwar auf eine Seite mit einer combofix Anleitung, aber die beiden downloadlinks dort lassen sich irgendwie nicht öffnen oder zeigen error ann, und daher kann ich das combofix nicht downloaden. kannst du mir noch einen anderen Link zum downloaden posten? gruß Abi |
|
|
||
11.10.2006, 10:46
Ehrenmitglied
Beiträge: 29434 |
#13
im Moment sind beide obrigen Links tot (11.10.2006) - ich lade also mal die Verison hoch, die ich selbst vor einiger Zeit geladen habe
http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Jedoch tauchen immer weitere Viren auf.
Ich habe sämtliche Anti-Spyware programme wie: Ad-Aware, SpyBot S&D den Spywarescanner von Agnitum Outpost Firewall und Anitvir durchlaufen lassen. Manchmal wird etwas gefunden, manchmal aber auch nicht. Sobald ich mit dem Einwahlclienten mich in das Internet einwähle erscheint von AntiVir wieder eine Meldung einer Virus Infektion.
Was kann ich machen um die Viren restlos zu Eliminieren?
Ich vermute ich habe durch diesen BackDoor Virus weitere Viren hinzubekommen.
Hier mein Hijackthis Log:
Logfile of HijackThis v1.99.1
Scan saved at 16:27:25, on 05.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\kathi r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160048939062
O17 - HKLM\System\CCS\Services\Tcpip\..\{0822BE79-B7E4-4623-AD8F-437A5305F023}: NameServer = 217.237.150.115 217.237.150.188
O17 - HKLM\System\CS1\Services\Tcpip\..\{0822BE79-B7E4-4623-AD8F-437A5305F023}: NameServer = 217.237.150.115 217.237.150.188
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)
Ich bitte um Hilfe, ich habe viele Möglichkeiten ausprobiert, jedoch die Viren bleiben....
MFG Mel_T
EDIT: Mir wurde jetzt schon ein Paar mal eine Meldung gezeigt, daß ein Prozess versucht meine Firewall auszuschalten "16:43:03 Versuchte Beendigung des Outpost Firewall Pro-Prozesses wurde verhindert. Anwendung: Anwendung für Dienste und Controller, Path: C:\WINDOWS\system32\services.exe" kommt mir ebenfalls etwas verdächtig vor.