Verdacht auf Virus/Trojaner / nicht eindeutig - Hilfe?

#16 @raman

Hab mal zwei Dateien an die genannte Adresse geschickt, das sind beide die gefunden wurden.
Danke fuer Deine Hilfe.


@arysun

Firewall ist zonealarm, bringt die meldung dass z.B. L0984P30.dipool.highway.telekom.at (62.46.186.254) auf den Rechner zugreifen will.
Sind aber auch verschiedene IPs, z.B.
62.47.25.204
62.47.19.153
62.47.13.151
62.47.17.87
62.47.7.39
62.47.31.3
auch teilweise mit Flag S.
Ist aber eigentlich nicht so ungewoehnlich, oder..?
Kann nicht auseinanderhalten was davon eher ernsthaft ist, und was okay.

Traffic hat sich seit der Firewall allerdings wieder normalisiert.

LG
vlinsanity

#17 Noch ein Zusatz zu den Zugriffen:
Habe gerade das Zonealarm log von heute zugeschickt bekommen; seit 15:50Uhr, als Zonealarm seinen Dienst aufgenommen hat, haben sich schon 642kb log angesammelt, bei mir auf dem Rechner jedoch heute erst 72kb.
Wenn ich mein log mit dem von dem Rechner vergleiche auf dem 'etwas nicht stimmt' ;) hab ich vielleicht pro Minute zwei bis fuenf Zugriffe, in dem anderen sind es aber ca. 60 Zugriffe pro Minute, von der selben IP jeweils auf unterschiedliche ports. Ist _das_ noch normal?

LG
vlinsanity

#18 ...naja, schlechter wäre auf immer dasselbe port.Poste mal die ports, vielleicht kann mit denen jemand was anfangen(da bin ich noch im Kindergarten).
...und laufen wärend der blocks irgendwelche Programme (Kazaa oä.)?

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#19 Ich stelle grad fest dass ich einen Knoten im Hirn hab: Wir haben zu der Zeit Portscans gemacht um nach offenen Ports zu suchen die eventuell angreifbar sind - somit eruebrigt sich das.. Asche auf mein Haupt *unschuldigschau*

Allerdings kann ich mit dieser Meldung in Zonealarm nichts anfangen: weiss jemand was jview ist? kam ein paarmal vor, innerhalb kurzer Zeit. Ist aber sicher wieder nichts aufregendes ;)

ACCESS,2003/12/17,18:19:24 +1:00 GMT,jview wurde vorläufig gesperrt von eine Verbindung hergestellt hat, um das Internet (195.3.96.67:DNS).,N/A,N/A

Uebrigens auch Dir danke fuer Deine Hilfe und Muehe :)

LG
vlinsanity

#20 jview ist dein Java

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#21 So, nun weiss ich etwas mehr. Das ist anscheinend eine Afcore Variante. Du hast den Vorteil, das sie ihre eigene deinstallationsroutine mit sich bringt( sieht man sehr schoen, wenn man die Datei mit einem normalen Texteditor ansieht).
So deinstallierst du es : rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,uninstall
Bitte danach nicht vergessen die DLL zu loeschen und die Eintraege mit Hijackthis zu fixen.

Hier kannst du ein bischen ueber Afcore nachlesen: http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=afcore&product=4
__________
MfG Ralf
SEO-Spam Hunter

#22 Oh prima, damit hats funktioniert, jetzt ist alles wieder in Orndung :)

Herzlichen Dank fuer die Hilfe!

LG
vlinsanity

#23 Hallo ihr,
also ich schildere mal kurz mein Problem:
Ich kenne mich kaum mit pc und co aus das gebe ich ja zu aber so einen Virus oder was auch immer das is hab ich noch nie gesehen...

Beim hochfahren meines Computers ist im Hintergrund das normale Windows Startmenü zu sehen DOCH im vordergrund ist ein grauer Kasten in dem "Fixed" steht,oben rechts ein x zum schließen und unten ein OK Button.

Wenn ich x oder OK anklicke geht es weg dann gebe ich mein Windows Passwort ein er startet kurz (ich sehe kurz meinen eigenen Hintergrund)und dann meldet er sich sofort wieder ab und das mit dem Kästchen geht von vorn los..

Abgesicherter Modus geht auch net...passierts auch!!
Systemwiederherstellung mit der XP CD geht auch net oder funktioniert nicht...
Virenprogramme die ich beim Start Boote (aktuelle c`t Zeitung) finden nichts und sie können sich nicht updaten weil keine Internetverbindung besteht...

Weiß einer was ich tun kann? ich vermute ich habe mir den Virus bei msn eingefangen, habe was geschickt bekommen,entpackt und angeklickt...

HIIILLLLLLLLLLLFFFFFFEEEEEEEEEEEEEEEE!!!!!!!!

Danke