Verdacht auf Trojaner oder anderen Virus |
||
---|---|---|
#0
| ||
18.12.2007, 15:29
Member
Beiträge: 694 |
||
|
||
18.12.2007, 19:47
Member
Themenstarter Beiträge: 23 |
#32
Hm hab mit Dr. Web gescannt und dann alles was gefunden wurde desinfiziert/gelöscht.
Blacklight hat keine Viren gefunden. Aber mein Internet ist immer noch langsam. Wieso ? Dieser Beitrag wurde am 18.12.2007 um 21:37 Uhr von HilfeTrojaner editiert.
|
|
|
||
19.12.2007, 07:38
Member
Beiträge: 694 |
#33
Hi,
gibt es die Datei: C:\Program Files\Vqzg\Jmoxp.exe noch? (Ist mir beim Durchsehen der Logs aufgefallen, leider sind keine Logs dabei welche Dateien z. B. Dr. Web gelöscht hat....) Du hattest eine u.a. eine new.net-Infektion, das hat die unangenehme Eigenschaft sich sehr tief zu verankern. Download LSPfix: http://cexx.org/lspfix.htm und Winfix: http://www.iup.edu/house/resnet/winfix.shtm Wir operieren jetzt an der Interanbindung... Starte LspFix, es wird sich ein Fenster öffnen, suche im linken Fenster die Datei newdotnetx*.* (wenn keine zu finden ist, abbrechen und bei 2. weitermachen)... Verschiebe die newdotnetx_xx.dll von links (Keep) nach rechts (Remove) im Fenster, den Rechner neu starten, danach sollte alles wieder funktionieren! Sollte nach dem Neubooten das Internet nicht laufen Winfix ausführen (und nur dann!) folgen den Anweisungen der angegeben Seite (Druck sie Dir aus) und neu booten, dann sollte das Internet wieder laufen. 2. Hosts-File anzeigen: Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor). Kopiere den Inhalt und poste ihn hier... 3. TCP-View: http://www.chip.de/downloads/c1_downloads_13015059.html Lade Dir TCPview, es werden jetzt alle bestehenden Verbindungen ins Internet aufgelistet, prüfe die Liste (kennst du die Verbindungen/Programme etc.), poste das Log. chris |
|
|
||
19.12.2007, 13:17
...neu hier
Beiträge: 4 |
#34
Hallo ihr,
also ich schildere mal kurz mein Problem: Ich kenne mich kaum mit pc und co aus das gebe ich ja zu aber so einen Virus oder was auch immer das is hab ich noch nie gesehen... Beim hochfahren meines Computers ist im Hintergrund das normale Windows Startmenü zu sehen DOCH im vordergrund ist ein grauer Kasten in dem "Fixed" steht,oben rechts ein x zum schließen und unten ein OK Button. Wenn ich x oder OK anklicke geht es weg dann gebe ich mein Windows Passwort ein er startet kurz (ich sehe kurz meinen eigenen Hintergrund)und dann meldet er sich sofort wieder ab und das mit dem Kästchen geht von vorn los.. Abgesicherter Modus geht auch net...passierts auch!! Systemwiederherstellung mit der XP CD geht auch net oder funktioniert nicht... Virenprogramme die ich beim Start Boote (aktuelle c`t Zeitung) finden nichts und sie können sich nicht updaten weil keine Internetverbindung besteht... Weiß einer was ich tun kann? ich vermute ich habe mir den Virus bei msn eingefangen, habe was geschickt bekommen,entpackt und angeklickt... HIIILLLLLLLLLLLFFFFFFEEEEEEEEEEEEEEEE!!!!!!!! Danke |
|
|
||
19.12.2007, 13:36
Member
Themenstarter Beiträge: 23 |
#35
DIe Datei C:\Program Files\Vqzg\Jmoxp.exe konnte ich nicht finden.
In LspFix konnte ich newdotnetx_xx.dll niocht finden also habe ich mit Schritt 2. weitergemacht. Habe 2 mal 'hosts' gefunden , hier die beiden Logs : # Copyright © 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a "#" symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # 127.0.0.1 localhost # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost Wie kann ich denn das Log von TCPview finden ? |
|
|
||
19.12.2007, 13:55
Member
Beiträge: 694 |
#36
@HilfeTrojaner
Hi, einfach Menü "File", "Save" dann in den Editor laden und hier posten. Das Hostsfile ist OK, wenn nichts unbekanntes bei TCPview auftaucht, bin ich mit meinem Latein am Ende... chris |
|
|
||
19.12.2007, 14:07
Member
Beiträge: 694 |
#37
Hi fixed,
auf der CD von Ct müsste ein Programm sein, das Dir es erlaubt Dich remote mit der Registry deines Rechners zu verbinden. (Ich habe die CD/Heft leider nicht hier). Sinngemäß musst Du die Autostarteinträge suchen und unwirksam machen (z.B. ein .test an den EXE-Namen hängen). Vielleicht hast Du Glück und erwischt so den ungebetenen Gast (wenn es kein Dienst oder Treiber ist)... Prüfe dann auch diese Einträge: [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" <- so sollten sie aussehen [HKEY_CLASSES_ROOT\exefile\shell\runas\command] @="\"%1\" %*" <- so sollten sie aussehen Wenn nicht anderes mehr geht, versuchen Systemwiederherstellung, letzten Funktionsfähigen Stand wiederherstellen oder Neuinstallation... Dann von CD booten, die Daten retten und System neu aufsetzten... chris |
|
|
||
19.12.2007, 14:36
...neu hier
Beiträge: 4 |
#38
Leider habe ich keine Ahnung wovon du sprichst...
Wie mache ich das was du sagst? bin echt unerfahren!!! Danke |
|
|
||
20.12.2007, 10:06
Member
Themenstarter Beiträge: 23 |
#39
Das Log ist :
[System Process]:0 TCP carola:epmap dslb-084-061-043-089.pools.arcor-ip.net:48195 TIME_WAIT [System Process]:0 TCP carola:1357 213.199.167.253:https TIME_WAIT [System Process]:0 TCP carola:epmap dslb-084-061-168-076.pools.arcor-ip.net:4087 TIME_WAIT [System Process]:0 TCP carola:epmap dslb-084-061-168-076.pools.arcor-ip.net:4087 TIME_WAIT [System Process]:0 TCP carola:epmap dslb-084-061-168-076.pools.arcor-ip.net:4087 TIME_WAIT [System Process]:0 TCP carola:epmap dslb-084-061-168-076.pools.arcor-ip.net:4087 TIME_WAIT alg.exe:1024 TCP carola:1029 carola:0 LISTENING GoogleToolbarNotifier.exe:2188 TCP carola:1321 ik-in-f103.google.com:http CLOSE_WAIT iexplore.exe:1260 UDP carola:1324 *:* lsass.exe:1136 UDP carola:isakmp *:* lsass.exe:1136 UDP carola:4500 *:* svchost.exe:1400 TCP carola:epmap carola:0 LISTENING svchost.exe:1520 UDP carola:ntp *:* svchost.exe:1520 UDP carola:ntp *:* svchost.exe:1520 UDP localhost:ntp *:* svchost.exe:1584 UDP carola:1341 *:* svchost.exe:1584 UDP carola:1051 *:* svchost.exe:1584 UDP carola:1082 *:* svchost.exe:1584 UDP carola:1340 *:* svchost.exe:1756 UDP carola:1900 *:* svchost.exe:1756 UDP localhost:1900 *:* svchost.exe:1756 UDP carola:1900 *:* System:4 TCP carola:microsoft-ds dslb-084-061-168-076.pools.arcor-ip.net:4102 ESTABLISHED System:4 TCP carola:microsoft-ds dslb-084-061-137-085.pools.arcor-ip.net:2713 ESTABLISHED System:4 TCP carola:microsoft-ds dslb-084-061-041-063.pools.arcor-ip.net:4319 ESTABLISHED System:4 TCP carola:microsoft-ds carola:0 LISTENING System:4 TCP localhost:netbios-ssn carola:0 LISTENING System:4 UDP localhost:netbios-ns *:* System:4 UDP localhost:netbios-dgm *:* System:4 UDP carola:microsoft-ds *:* Vielleicht habe ich ja gar keinen Virus mehr? Woran könnte es denn noch liegen das mein internet so langsam geworden ist? |
|
|
||
20.12.2007, 10:50
Member
Beiträge: 694 |
||
|
||
20.12.2007, 10:55
Member
Themenstarter Beiträge: 23 |
#41
Wie meinst du das ?
Leon Kann meine langsame Internetgeschwindigkeit denn sonst noch Gründe haben ? Dieser Beitrag wurde am 20.12.2007 um 22:55 Uhr von HilfeTrojaner editiert.
|
|
|
||
21.12.2007, 10:09
Ehrenmitglied
Beiträge: 6028 |
#42
Download CounterSpyV2.0 zum Desktop
und dopplelklick um das Program zu installieren CounterSpy wird geupdatet Klicke: " System scan " Nach dem Scan muss man sich entscheiden für: * Remove --> Status: Deleted Nur für Windows XP(32bit) - Windows Vista (32bit) - Windows 2000 (SP3+) Note CounterSpy hat den Nachteil --> es will sich stets updaten Wenn man CS startet: Would you like to enable Automatic Updates? Wähle --> No Would you like to enable Active Protection? Wähle --> No Would you like to join ThreatNet? Wähle --> Yes Häckchen entfernen bei --> Recommended __________ MfG Argus |
|
|
||
21.12.2007, 10:53
Member
Themenstarter Beiträge: 23 |
#43
Hatte ich das nicht schon gemacht ?
Ich Scanne einfach nochmal aber was ist wenn das auch nichts nützt ? Hilft nur noch formatieren ? |
|
|
||
21.12.2007, 11:06
Ehrenmitglied
Beiträge: 6028 |
#44
Ist schon benutzt
Entferne C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb1942.dat C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb4827.dat C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb2391.dat C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb5436.dat Neu aufsetzen waere besser es ist zuviel passiert was die Infektionen betrifft __________ MfG Argus |
|
|
||
21.12.2007, 20:01
Member
Themenstarter Beiträge: 23 |
#45
Was meinst du denn mit neu aufsetzen?
|
|
|
||
Blacklight, unten auf der Page unter "Downloads":
http://www.f-secure.com/security_center/
chris