Trojanerverdacht!? |
||
---|---|---|
#0
| ||
03.03.2004, 11:32
...neu hier
Beiträge: 6 |
||
|
||
03.03.2004, 12:41
Moderator
Beiträge: 7805 |
#2
Das solltest du "fix"en:
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wininet.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe Wenn es dann noch nicht funktionieren sollte, fix =17 auch noch. und du solltest dich fuer ein AV-Waechter entscheiden. Entweder fuer Norton oder AVG. Es waeere nett, wenn du mir diese Datei schicken koenntest ( Adresse siehe mein Profil, oder virus@protecus.de): C:\WINDOWS\System\wininet.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.03.2004, 13:01
...neu hier
Themenstarter Beiträge: 6 |
#3
Danke für die schnelle Antwort!
War ja auch nur eine Notlösung da Norton wie gesagt nicht mehr lief! Hab mich gerade wieder für Norton entschieden, es läuft wieder! Konnte nur nicht updaten etc. da meine Systemzeit total verstellt war. Dasselbe Problem wars wohl auch bei mwavscan, hat mir auch direkt die wininet als befallen angezeigt (TrojanClicker.Win32.Small.k) und gelöscht. Speichert es die Datei irgendwo ab? Dann kann ich sie dir noch schicken.... Werd nochmal Neustart machen und dann das Ergebnis veröffentlichen. |
|
|
||
03.03.2004, 14:02
Moderator
Beiträge: 7805 |
#4
Nein, diese Version loescht "nur", ist aber auch nicht so wichtig, da du ihn ja eh los bist und weisst, was es war.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.03.2004, 14:12
...neu hier
Themenstarter Beiträge: 6 |
#5
Also isgesamt hat er nach dem fixen 19 (!!!!) Viren gefunden, was macht das programm denn mit denen die es umbenennt (portalordner von Norton)? Sollte ich die noch Löschen?
Die svchost.ese hat jedoch immer noch 15.000 im Speicher, ist das normal? Daß mehrere drinstehen können wußte ich ja... Ansonsten schonmal vielen Dank Raman! MfG aus der Lederstadt, Gregor P.S.: hier nochmal das "gefixte" log, die 17 hats wieder eingetragen.. Logfile of HijackThis v1.97.7 Scan saved at 14:12:02, on 03.03.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton Personal Firewall\NISUM.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\taskmgr.exe C:\Dokumente und Einstellungen\austin_powers\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38049.1082060185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A35692DF-035F-482F-83E6-BCF7E5EE35C3}: NameServer = 62.225.252.16 194.25.2.129 |
|
|
||
03.03.2004, 14:47
Moderator
Beiträge: 7805 |
#6
Wenn jetzt alles wieder laeuft( alle deine Programme mal durchtesten), kannst du sie problemlos loeschen lassen. Die Groesse der svchost.exe Dateien im Speicher kann durchaus unterschiedlich sein, bei mir geht es bis 21.xxx Kb.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
Also erstmal ein dickes Kompliment an dieses Forum, hab mir schonmal einen Überblick verschafft.
Trotzdem werde ich das Gefühl nicht los daß auf meinem Rechner etwas nicht stimmt:
1. Die Downloadgeschwindigkeiten und Serververbindungen sind seit kurzem wirklich miserabel
2. Ich kann Norton AV nicht mehr updaten, obwohl das Aktualisierungsdatum erst am 25.09.2004 abläuft, ebenso CWS-Shredder und mwavscan
3. Die rundll32 wird ständig unter den laufenden prozessen angezeigt, das ist doch nicht normal oder? Hab außerdem ne svchost.exe die 15 - 16.000kb beansprucht, und irgendwann geht gar nichts mehr.
AVG findet übrigens nichts...
Im Anschluß mal meine logfile von hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 11:09:52, on 03.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System\wininet.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\austin_powers\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wininet.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A35692DF-035F-482F-83E6-BCF7E5EE35C3}: NameServer = 62.225.252.16 194.25.2.129
Sieht irgendwie auch kürzer aus als andere hier im forum...
Schonmal vielen Dank im Voraus!