Antivir meldet TR/TCPParams.D.1 -> |
||
---|---|---|
#0
| ||
13.12.2006, 20:38
...neu hier
Beiträge: 4 |
||
|
||
13.12.2006, 20:54
Moderator
Beiträge: 7805 |
#2
Das hoert sich nach ungepatchtem System an. in dem Fall und der Verseuchung wa3ere neu Aufsetzen und absichern die sicherste und wohl im endeffekt schnellste loesung...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.12.2006, 15:15
...neu hier
Themenstarter Beiträge: 4 |
#3
Hab mittlerweile das Servicepack2 installiert mit sämtlichen Updates.
Format C:\ wäre in meinen Augen auch das beste. Nun leider ist das nicht mein Computer. Von vielen Programmen sind die Install-CD's nicht vorhanden, weil dieser PC von wiederum jemand anderem aufgesetzt wurde. Hier mal die Log von Hijack Logfile of HijackThis v1.99.1 Scan saved at 14:38:17, on 14.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINDOWS\system32\tcpsvcs.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nc.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NETGEAR\WG311v3\wlancfg5.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\WINDOWS\system32\wpabaln.exe C:\Dokumente und Einstellungen\Joelle\Desktop\Virensuchprogramme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll O4 - HKLM\..\Run: [PartyGuide Tray] C:\PROGRA~1\PGTRAY~1\PartyGuide.exe O4 - HKLM\..\Run: [Microsoft Windows Network Controller] nc.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKLM\..\RunServices: [Microsoft Windows Network Controller] nc.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {1BE7B301-ED56-4E47-BCA8-68D80A44DCB8} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing) O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing) O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing) O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
14.12.2006, 20:20
Moderator
Beiträge: 7805 |
#4
Das System ist nach wie vor total durchseucht. Norton und ANtivir scheinen beide ihre Hintergrundwaechter aktiv zu haben...
Das sieht noch stark nach Bot aus: O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe Antivir mit diesen Einstellungen wird bestimmt noch einiges finden: http://board.protecus.de/t23979.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.12.2006, 20:55
...neu hier
Themenstarter Beiträge: 4 |
#5
Ja, kann schon sein, dass alles versäucht ist. Kann man dieses System entsäuchen? (ausgenommen format)
Vielen Dank erstma für dein Tipp mit Antivir. Stell ich gleich so ein und schau mal was noch alles auf dem Pc verwurmt ist. |
|
|
||
14.12.2006, 21:37
Moderator
Beiträge: 7805 |
#6
Erstmal entschuldige, ich bin in die falsche Zeile gekommen. Das sieht sehr nach BOT aus:
O4 - HKLM\..\RunServices: [Microsoft Windows Network Controller] nc.exe Zu deiner Frage, 100%ige Reinigung wird wohl nicht funktionieren. Alle aktiven Dinge zu erwischen koennte klappen, aber richtig sauber ist es dann immer noch nicht. Infos die uns helfen koennten findest du u.a. hier: http://board.protecus.de/t23188.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.12.2006, 22:12
...neu hier
Themenstarter Beiträge: 4 |
#7
Jep, über das NC hab ich mich auch schon gewundert wieso, dass die Windowsfirewall eine Meldung macht, "zulassen oder nicht".
Dieser PC, von dem wir hier sprechen ist derjene von meiner Freundin. Nun, stell ich mir die Frage: Können sich diese Schädlinge per WLan auf mein System übertragen? Wenn das so wäre kommt natürlich nur eine Variant in Frage -> Format xyz Angenommen man könnte alle Aktiven vernichten, welche Risiken bestehen dann noch mit den Inaktiven? |
|
|
||
Hatte zuvor noch weitere, bei denen zwar keine Meldung mehr kommt, weil ich sie villeicht gelöscht habe. Sicher bin ich mir aber nicht.
W32/Parite.B.1 (C:\Dokumente und Einstellungen... \sna3.tmp)
WORM/Rbot.210944 (msns.exe und dlm.exe)
Systemwiederherstellung hab ich deaktivirt und im abgesicherten Modus ein Scan mit CounterSpy laufen lassen. Ergebnis 2
VX2.Transponder (C:\Windows\System32\o)
Rbot (C:\Windows\System32\bling.exe)
Ich wäre sehr dankbar, wenn sich jemand mein Problem bzw. die Log's mal genauer unter die Lupe nehmen könnte.
LG