Home » Viren, Trojaner & Malware Forum » Kann mir bitte wer helfen ?? - Dcom / Virus? » Themenansicht
Kann mir bitte wer helfen ?? - Dcom / Virus? |
||
|---|---|---|
| #0
| ||
|
29.12.2003, 11:04
Member
Beiträge: 11 |
||
 
|
|
|
|
29.12.2003, 11:48
Moderator
Beiträge: 7805 |
#2
Den letzten Eintrag kannst du loeschen und deaktiviere dann mal DCOM Hier kannst du nachlesen wie: http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823#xp2a
Nach einem Neustart bitte mal dein Windows updaten (www.windowsupdate.com) und mit hilfe von RAV oder Bitdefender (http://www.bul-online.de/av/onlinescan.html) nachsehen, ob noch was an Viren uebrig geblieben ist. Wenn du das machst, bitte Norton Autoprotect deaktivieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.12.2003, 12:00
Member
Themenstarter Beiträge: 11 |
#3
Der Virus wehrt sich!
Wenn ich die Komponentendienste aufmachen will, dann kommt das "System fährt in 60 sek runter". Nachdem ichs beendet hab (Shutdown -a), schließt er das Komponentendienst-Fenster einfach... Gibts da noch eine andere Methode ?? |
|
|
|
|
|
|
29.12.2003, 12:09
Moderator
Beiträge: 7805 |
#4
Klar, XP Firewall "anwerfen", Norton aktualisieren und es den Rechner im abgesicherten Modus scannen lassen. Oder RAV den Rechner scannen lassen http://www.bul-online.de/av/onlinescan.html. Infizierte Dateien notieren und selbst die Dateien im abgesicherten Modus loeschen.
Ich halte ja soieso nicht viel von PFW aber die von Steganos scheint ja gar nichts zu taugen, wenn sie nicht mal RPC Wuermer blocken kann. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 29.12.2003 um 12:13 Uhr von raman editiert.
|
|
|
|
|
|
|
29.12.2003, 12:14
Member
Themenstarter Beiträge: 11 |
#5
Nein, ich meine eine andere Art zum Deaktivieren von DCOM...
So lästig der Virus ist, trotzdem ist der faszinierend! Jedesmal, wenn ich einen der Schritte mache, die du mir empfohlen hast, wird er aktiv, versucht den PC runterzufahren oder er beendet "Generic Host Process"... Das war bis jetzt beim Komponentendienstfenster so, bei "Hilfe und Support"... |
|
|
|
|
|
|
29.12.2003, 12:18
Moderator
Beiträge: 7805 |
||
|
|
|
|
|
29.12.2003, 15:38
Member
Themenstarter Beiträge: 11 |
#7
Es hat alles nichts geholfen.....
Der DCOMbob sagt bei der lokalen Überprüfung, dass der Dienst deaktiviert ist und bei der remoten Überprüfung, dass er nicht deaktiviert ist (= Port 135 ist offen) 3 Mal is der PC einfach so runtergefahren und neu gestartet... Der Norton Scan im abgesicherten Modus hat auch nix gfunden.... Windows is geupdated... BitDefender Online Scan hat auch keine Ergebnisse gehabt... nochmal das aktuelle Log: Logfile of HijackThis v1.97.7 Scan saved at 15:37:00, on 29.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Euler\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CcRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKCU\..\Run: [SOS] C:\Programme\Steganos\sos.exe /s O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37984.1305902778 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FDAFEAEA-46FF-4F25-9A8F-D79ACDA807DC}: NameServer = 195.96.0.4 195.70.224.45 Ich will ihn nicht neu aufsetzen müssen, das wäre eine Katastrophe!!!!! Dieser Beitrag wurde am 29.12.2003 um 16:15 Uhr von userniki editiert.
|
|
|
|
|
|
|
29.12.2003, 16:24
Moderator
Beiträge: 7805 |
#8
Das ist aber das, was ich dir empfehlen wollte!
 Du kannst ja erst einmal versuchen deine Firewall kurtzzeitig zu deaktivieren/deinstallieren um das als Fehlerquelle auszuschliessen. Das Log sieht sauber aus. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.12.2003, 16:39
Member
Themenstarter Beiträge: 11 |
#9
okay, ich probiers
Welche Firewall ist die Beste? welche würdest du empfehlen? Oder welche Alternative zur Firewall, wenn du nicht so viel von denen hältst, raman??? Dieser Beitrag wurde am 29.12.2003 um 16:47 Uhr von userniki editiert.
|
|
|
|
|
|
|
29.12.2003, 16:48
Member
 Beiträge: 5291 |
#10
@userniki
nebenbei bemerkt: vielleicht ist es auch besser gar keine desktop Firewall zu benutzen - ich behaupte mal die meisten Privat leute die nur ein Rechner zu Hause haben brauchen die sowieso nicht und ohne entsprechende Konfiguration steht die vielleicht sogar mehr einem im Weg als sie schützt. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
29.12.2003, 16:53
Member
Themenstarter Beiträge: 11 |
||
|
|
|
|
|
29.12.2003, 17:00
Moderator
Beiträge: 7805 |
#12
Wir fahren mal schwerere Geschuetze auf: Lies dich hier mal schlau
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.12.2003, 18:22
Member
Themenstarter Beiträge: 11 |
#13
so, also ich habe mich jetzt entschlossen keine Firewall mehr zu verwenden...
Steganos ist deinstalliert und ... der Fehler/Virus (was auch immer) ist weg, zumindest seit dem nicht mehr aufgetreten! Bin aber noch etwas misstrauisch. Ich warte noch eine Woche und betrachte "uns" dann als geheilt... Ohne Firewall (und nach etlichen Veränderungen) sind jetzt nur mehr diese Ports offen: 25 Simple Mail Transfer 110 POP3 1723 PPTP Kann ich bei denen eh nichts mehr machen, weil die brauche ich, oder lieg ich da falsch??? Special Thanks nochmal an raman für die Hilfe !!!!!!!! mfg, Niki |
|
|
|
|
|
|
29.12.2003, 18:29
Moderator
Beiträge: 7805 |
#14
Port 25 ist SMTP. Laesst du einen SMTP Server laufen? Koennte auch der NAV Mailchecker sein.
Port 110 POP3, koennte auch der Mailchecker sein, aber das sollte man doch mit Hilfe con Norton in den Griff bekommen koennen. Was ist den laut TCPVIEW am port 1723 am horchen. Wie gehst du denn ins Internet? __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.12.2003, 18:31
Moderator
Beiträge: 7805 |
#15
Du kannst wahlweise, ja die Windows XP eigene Firewall aktivieren.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Seit gestern hab ich irgendeinen Virus am System...
Anzeichen bis jetzt waren:
1. Das Fenster, das den PC in 60 sek herunterfährt (ausgelöst von NT-SystemAutorität) erscheint immer wieder mal (ich schaffs aber es ausser Kraft zu setzen)
2. sämtliche Suchfuntionen gehen nicht mehr (Strg+F, im Startmenü, IE...)
3. "Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden" ist gerade gekommen
4. Copy and Paste geht nirgends mehr
Mein System:
WinXP (SP1)
IE 6.0 (SP1)
Steganos Firewall
AdAware 6.0
Norton AntiVirus 2004
(Norton findet bei jedem Scan wieder neu infizierte Files...)
Das HijackThis File von heute:
Logfile of HijackThis v1.97.7
Scan saved at 10:47:18, on 29.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SOSsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Steganos\sos.exe
C:\Dokumente und Einstellungen\Euler\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CcRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [SOS] C:\Programme\Steganos\sos.exe /s
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37871.4688888889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://216.65.38.226/crack.CAB
Der letzte Eintrag kommt mir komisch vor...
sonst fällt mir jetzt nichts mehr ein, wär schön wenn mir jemand helfen könnte...
ich danke euch
Niki ;-)
Edit:
genau, hab ich noch vergessen:
Die Datei "tftp.exe" wollte sich mit dem Internet verbinden. Die is vorher aber noch nie vorgekommen und ich hab auch nichts neues installiert...