W32.Randex.gen vernichten aber wie???? |
||
|---|---|---|
| #0
| ||
|
01.10.2004, 00:44
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
03.10.2004, 15:27
...neu hier
Beiträge: 2 |
#137
hallo
ich lese hier zwar viel darüber wie man den Randex.gen - IRC Wurm beseitigen kann.....aber wie kann man den überhaupt bekommen? Ich habe keine Anhänge per mail oder irgendwelche Dateien geöffnet... Folglich kam er ja durch eine Sicherheitslücke von Windows 2000 auf mein System. Frage: Gibt es einen Patch, der die "Randex-Lücke" schliesst ?? ähnlich wie beim Blaster wurm??? gruss gravis |
|
|
|
|
|
|
03.10.2004, 16:52
Moderator
 Beiträge: 6466 |
#138
http://www.heise.de/security/result.xhtml?url=/security/news/meldung/47755&words=Randex
Soweit ich weiß, werden Windows-Freigaben ausgenutzt um auf das sytem zu gelangen. s.a http://vil.nai.com/vil/content/v_100401.htm __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
12.10.2004, 18:23
...neu hier
Beiträge: 2 |
#139
Hi Leute!
Schaut mal bei mir: Logfile of HijackThis v1.98.2 Scan saved at 18:13:10, on 12.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\System32\ati2evxx.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\faxsvc.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\Atiptaxx.exe C:\Programme\Apoint\Apoint.exe C:\WINNT\system32\ICONSPY.EXE C:\WINNT\system32\PRPCUI.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\SYSTEM32\fqfhhwrp.exe C:\WINNT\system32\mxxcva.exe C:\WINNT\system32\mxxcva.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\Apoint\Apntex.exe C:\Programme\PowerPanel\Program\PcfMgr.exe C:\Programme\BatteryScope\Batmgr.exe C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Microsoft Office97\Office\OSA.EXE F:\tools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICONSPY.EXE O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Bactroneaut] C:\WINNT\SYSTEM32\fqfhhwrp.exe O4 - HKLM\..\Run: [gcxxcfwfq] mxxcva.exe O4 - HKLM\..\RunServices: [gcxxcfwfq] mxxcva.exe O4 - HKCU\..\Run: [gcxxcfwfq] mxxcva.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office97\Office\OSA.EXE O4 - Global Startup: VAIO Action Setup (Server).lnk = C:\Programme\Sony\VAIO Action Setup\VAServ.exe O4 - Global Startup: PowerPanel.lnk = C:\Programme\PowerPanel\Program\PcfMgr.exe O4 - Global Startup: BatteryScope.lnk = C:\Programme\BatteryScope\Batmgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Ich hatte auch 5 mal randex meldungen von norton av. Norton hat immer sofort gelöscht. Sagt mal bitte, ob euch bei mir was auffällt. Danke Euch! Vielen Dank Heidel |
|
|
|
|
|
|
12.10.2004, 18:27
Moderator
Beiträge: 6466 |
||
|
|
|
|
|
13.10.2004, 09:14
Ehrenmitglied
Beiträge: 29434 |
#141
Hallo @heidelbeer
TCPView 2.34 http://www.sysinternals.com/ntw2k/source/tcpview.shtml as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri) Fixe mit dem HijackThis (auch im Taskamanger die Prozesse beenden !!! und immer ueberpruefen, ob sie sich wieder aktivieren.) O4 - HKLM\..\Run: [Bactroneaut] C:\WINNT\SYSTEM32\fqfhhwrp.exe O4 - HKLM\..\Run: [gcxxcfwfq] mxxcva.exe O4 - HKLM\..\RunServices: [gcxxcfwfq] mxxcva.exe O4 - HKCU\..\Run: [gcxxcfwfq] mxxcva.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= neustarten Gehe in den abgesicherten Modus, (mit Netverbindung) und scanne: #Onlinescann" eTrust Antivirus"(nur mit IE moeglich) http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20 #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #<Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm (wenn die Antivirenscanns den Virus nicht erkennen sollten, ueberpruefe die einzelnen exe, da wird angegeben, welche Virenscanner die Malware erkennen) Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.dhs.org/ <C:\WINNT\SYSTEM32\fqfhhwrp.exe <mxxcva.exe Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.10.2004 um 09:31 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.10.2004, 19:55
...neu hier
Beiträge: 2 |
#142
Hi Sabina!
Ich machte, was du sagtest. Die zwei exe Dateien wurden in der Tat online als verseucht geprüft. Ich habe die Reg geändert. Die beiden O14 Einträge habe ich "gefixed", also nicht manuell. Nun habe ich Zone Alarm installiert und TCP View läuft. Während ich jetzt online bin , habe ich folgendes Log File:19:53 13.10.2004Logfile of HijackThis v1.98.2 Scan saved at 19:47:04, on 13.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\System32\ati2evxx.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\faxsvc.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\Atiptaxx.exe C:\Programme\Apoint\Apoint.exe C:\WINNT\system32\ICONSPY.EXE C:\WINNT\system32\PRPCUI.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\PowerPanel\Program\PcfMgr.exe C:\Programme\Apoint\Apntex.exe C:\Programme\BatteryScope\Batmgr.exe C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Microsoft Office97\Office\OSA.EXE F:\tools\tcpview\Tcpview.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICONSPY.EXE O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office97\Office\OSA.EXE O4 - Global Startup: VAIO Action Setup (Server).lnk = C:\Programme\Sony\VAIO Action Setup\VAServ.exe O4 - Global Startup: PowerPanel.lnk = C:\Programme\PowerPanel\Program\PcfMgr.exe O4 - Global Startup: BatteryScope.lnk = C:\Programme\BatteryScope\Batmgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B9828C3D-73A7-4252-AF7A-0BBC64CB93D6}: NameServer = 217.237.150.97 217.237.149.161 Die letzte Zeile O17 ist - so meine ich - nur im online Stadium da. Meinst Du jetzt sollte alles ok sein? Gruß heidel |
|
|
|
|
|
|
13.10.2004, 19:58
Ehrenmitglied
Beiträge: 29434 |
#143
Hallo @heidelbeer
Das Log ist sauber.  #Nun aktualisiere noch unbedingt den IE auf IE SP1 Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern. #Setze alle Haekchen und --««protected Spywareblaster http://www.javacoolsoftware.com/sbdownload.html Ab und zu updaten (!) #Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! #Windows-Dienste abschalten"! http://www.dingens.org/ http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.10.2004 um 20:03 Uhr von Sabina editiert.
|
|
|
|
|
|
|
14.01.2005, 14:31
Member
Beiträge: 15 |
#144
Hallo
habe auch diesen doofen Wurm er befindet sich in c:windows/system32/Rundl16.exe Hier das Logfile: Logfile of HijackThis v1.99.0 Scan saved at 14:23:42, on 14.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\DeltTray.exe C:\WINDOWS\Dit.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\wingreporg.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\Rundll16.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\System32\SystemReg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe F:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Standar P2P] C:\WINDOWS\system32\Rundl16.exe O4 - HKLM\..\Run: [Standar P2P 2] C:\WINDOWS\system\Rundl16.exe O4 - HKLM\..\Run: [demon force] C:\WINDOWS\system32\1zDm0n1.26Com.exe O4 - HKLM\..\Run: [Microsoft Office] c:\windows\system32\msiexec16b.exe O4 - HKLM\..\Run: [WinEgrep] C:\WINDOWS\wingreporg.exe O4 - HKLM\..\Run: [SystemReg] C:\WINDOWS\System32\SystemReg.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104962549250 O17 - HKLM\System\CCS\Services\Tcpip\..\{41ED8875-ECEF-417C-A93D-FB76FAA27644}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Bin ein absoluter Laie auf diesem Gebiet. Und viele Tipps hier sind für mich Bömische Dörfer  Habe Norton Antivirus auf meinem PC installiert Wenn es geht bitte so antworten dass ich DAU dass auch verstehe. Im voraus besten Dank Udo |
|
|
|
|
|
|
14.01.2005, 14:47
Ehrenmitglied
Beiträge: 29434 |
#145
Hallo@d-udo
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Lade: KillBox http://www.bleepingcomputer.com/files/killbox.php gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" O4 - HKLM\..\Run: [Standar P2P] C:\WINDOWS\system32\Rundl16.exe O4 - HKLM\..\Run: [Standar P2P 2] C:\WINDOWS\system\Rundl16.exe O4 - HKLM\..\Run: [demon force] C:\WINDOWS\system32\1zDm0n1.26Com.exe O4 - HKLM\..\Run: [Microsoft Office] c:\windows\system32\msiexec16b.exe O4 - HKLM\..\Run: [WinEgrep] C:\WINDOWS\wingreporg.exe O4 - HKLM\..\Run: [SystemReg] C:\WINDOWS\System32\SystemReg.exe Button "Fix checked" Killbox: <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" kopiere in die Killbox: C:\WINDOWS\System32\SystemReg.exe C:\WINDOWS\wingreporg.exe c:\windows\system32\msiexec16b.exe C:\WINDOWS\system32\1zDm0n1.26Com.exe C:\WINDOWS\system32\Rundl16.exe PC neustarten #eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp erstelle den Ordner c:\bases mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten --------------------------------------------------------------------------------- #BitDefender Scan www.bitdefender.com/scan/Msie/index.php #Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml Dann poste as neue Log vom HijackThis, die Daten vom eSCan + was die onlinescanns ergeben haben __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.01.2005 um 14:53 Uhr von Sabina editiert.
|
|
|
|
|
|
|
14.01.2005, 15:17
Member
Beiträge: 15 |
#146
ohje ist das kompliziert
diese bit defender, trend Micro und mcaffee muss ich da auch was machen ? Udo |
|
|
|
|
|
|
14.01.2005, 15:31
Ehrenmitglied
Beiträge: 29434 |
#147
nachdem du alles abgearbeitet und gepostet hast, machst du die Onlinescanns
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.01.2005, 16:56
Member
Beiträge: 15 |
#148
Also hier schon mal die Scans von E-Scan:
Dateien in denen ein Virus gefunden wurde: Fri Jan 14 15:41:39 2005 => File C:\WINDOWS\System32\1zDm0n1.26.exe infected by "Backdoor.Zdemon.125" Virus. Action Taken: No Action Taken. Fri Jan 14 15:43:19 2005 => File C:\WINDOWS\System32\Theef2Server.exe infected by "Backdoor.Delf.dy" Virus. Action Taken: No Action Taken. Fri Jan 14 15:56:56 2005 => File C:\WINDOWS\system32\1zDm0n1.26.exe infected by "Backdoor.Zdemon.125" Virus. Action Taken: No Action Taken. Fri Jan 14 16:01:36 2005 => File C:\WINDOWS\system32\Theef2Server.exe infected by "Backdoor.Delf.dy" Virus. Action Taken: No Action Taken. Fri Jan 14 16:30:39 2005 => File C:\WINDOWS\system32\1zDm0n1.26.exe infected by "Backdoor.Zdemon.125" Virus. Action Taken: No Action Taken Fri Jan 14 16:35:18 2005 => File C:\WINDOWS\system32\Theef2Server.exe infected by "Backdoor.Delf.dy" Virus. Action Taken: No Action Taken. ZusammenFassung: Fri Jan 14 16:35:52 2005 => Total Files Scanned: 102271 Fri Jan 14 16:35:52 2005 => Total Virus(es) Found: 9 Fri Jan 14 16:35:52 2005 => Total Disinfected Files: 0 Udo P.S. Die weiteren Scans folgen noch Dieser Beitrag wurde am 14.01.2005 um 16:57 Uhr von d-udo editiert.
|
|
|
|
|
|
|
14.01.2005, 17:03
Member
Beiträge: 15 |
#149
so und hier mal HiJack Logfile nach den Anweisungen von Sabina:
Logfile of HijackThis v1.99.0 Scan saved at 17:01:51, on 14.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\DeltTray.exe C:\WINDOWS\Dit.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\msiexec.exe F:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104962549250 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4419/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{41ED8875-ECEF-417C-A93D-FB76FAA27644}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
|
|
|
|
14.01.2005, 18:16
Member
Beiträge: 15 |
#150
So.
Mcafee Online fand folgendes: C:\WINDOWS\system32\1zDm0n1.26.exe BackDoor-APT C:\WINDOWS\system32\Theef2Server.exe BackDoor-QW Trend-Micro hat gar nix gefunden Bit Defender auch nichts: Udo |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Meiner Erfahrung nach, ist <eScan< nur 30 Tage "free"
Deshalb sollte es nur in bestimmten Faellen angewendet weden und nicht bei "Lappalien", wie ich schon sagte.
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit