Hilfe Wurm Dumaru.e.keydll und TR/Small.AR |
||
|---|---|---|
| #0
| ||
|
08.03.2004, 12:34
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
08.03.2004, 12:51
Moderator
Beiträge: 7805 |
#2
Fixe mal bitte dieses:
O4 - HKLM\..\Run: [Online Service] C:\WINNT\system.exe und schicke bitte die Datei c:\winnt\system.exe an Virus@rokop-security.de oder an die Adresse aus meinem Profil. Du solltest dir auch ueberlegen, dein Windows via www.windowsupdate.com zu aktualisieren. Anscheinend ist der Waechter von Antivir auch nicht aktiv. Den solltest du aber einschalten. Wenn du nicht weisst wie ----> Fragen!  BTW: Wo genau, mit welchem dateinamen und in welchem Ordner/Verzeichniss, werden diese Viren gefunden? __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 08.03.2004 um 12:53 Uhr von raman editiert.
|
|
|
|
|
|
|
08.03.2004, 13:21
...neu hier
Themenstarter Beiträge: 4 |
#3
hallo, vielen Dank für die schnelle Antwort.
Ich habe ein Link im Sicherheitsforum bei ebay angeklickt .Bitte nicht anklicken sonst habt Ihr auch den Wurm auf der festplatte wie ich hxxp://xx.XXX.XX./ws/eBayISAPI.dll&ViewItem&item=5421098202&category=40413.html Dann habe einige Datei auf meinem Rechner gefunden C:\x.exe , C:\y.exe , C:\Winnt\svchost.exe ,C:\Winnt\system.exe, C:\Winnt\msto32.dll, C:\Winnt\sysini.ini, C:\Winnt\ system32\svchostc.exe , C:\Winnt\ system32\wingua.exe und C:\Winnt\mstu.exe gefunden . Dann habe ich den Scanner rüber laufen lassen. Der hat dann Dumaru und Small gefunden. ich finde die Datei c:\winnt\system.exe nicht mehr, da ich sie gelöscht habe vielen Dank neuling2004 Dieser Beitrag wurde am 08.03.2004 um 14:25 Uhr von raman editiert.
|
|
|
|
|
|
|
08.03.2004, 14:25
Moderator
Beiträge: 7805 |
#4
Hast du die Dateien inzwischen alle schon geloescht? Wenn das nicht geklappt haben sollte, versuche es im abgesicherten Modus nocheinmal.
Ich habe deinen Link mal entschaerft, das ist einer dieser Typischen "dumaru" Spoofing Links. Der hat mit Ebay nichts zu tun, Bei Dumaru.d ist es soweit ich weiss eine Seite, die angeblich zu einem Microsoft Patch fuehrt. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.03.2004, 14:53
...neu hier
Themenstarter Beiträge: 4 |
#5
vielen Dank Raman
Ich hab die Dateien so gelöscht. Ist das jetzt in Ordnung Logfile of HijackThis v1.97.7 Scan saved at 13:37:35, on 08.03.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\WINNT\System32\internat.exe E:\dinosoft\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm Gruß neuling2004 |
|
|
|
|
|
|
08.03.2004, 14:57
Moderator
Beiträge: 7805 |
#6
Das log sieht sauber aus, denke aber bitte an das Windowsupdate und daran, einen Virenscanner zu installieren.
Suche auch mal nach einer mstasks1.exe auf deinem Rechner. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.03.2004, 15:14
...neu hier
Themenstarter Beiträge: 4 |
#7
vielen Dank, werde sofort machen.
Die Datei mstasks1.exe ist nicht auf meinem Rechner zu finden. Gruß neuling2004 |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe hier im Forum gelesen und habe mit Hijackthis folgendes erhalten
Logfile of HijackThis v1.97.7
Scan saved at 10:30:35, on 08.03.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\dinosoft\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Online Service] C:\WINNT\system.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
Da ich keine Ahnung habe, bitte ich euch mir zu helfen.
Ich habe mit Antiviren gescannt.
Für Antworten bin ich sehr dankbar
Gruß
neuling2004