W32.Randex.gen vernichten aber wie????

#151 Hallo@d-udo

Deaktivieren Wiederherstellung (nache dem Neustart wieder aktivieren)
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

lade die KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

kopiere rein:
C:\WINDOWS\system32\1zDm0n1.26.exe
C:\WINDOWS\system32\Theef2Server.exe

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#152 Vielen herzlichen Dank Sabina
hab alles nochmal gecheckt.
Alles Sauber !
Wundert mich nur dass diese 2 Trojaner das Norton nicht gemeldet hat.
Der einzige der drauf angeschlagen hat, war der Mcafee
Naja was solls, hauptsache, alles weg jetzt.
Danke nochmal

Gruß
Udo

#153 hallo...ich hab auch mal ne frage....

habe von symantex folgende meldung bekommen:
c:\windows\system32\msconfg.exe ist infiziert mit w32.randex.gen
c:\windows\system32\TFTP2648 ist infiziert mit w32.spybot.worm
c:\windows\system32\TFTP2652 ist infiziert mit w32.spybot.worm
c:\windows\system32\usbhardware32c.exe ist infiziert mit w32.spybot.worm

NAV kann sie nicht entfernen und antivir, stinger bzw. verschiedene onlinescanner erkennen sie erst gar nicht.
hab dann liveupdate von NAV und windowsupdate gemacht und NAV nochmal laufen lassen, danach hab ich sie alle isoliert mit NAV.

reicht das jetzt aus????
weil nach nach isolieren hab ich NAV nochmal laufen lassen und es kam dann keine meldung mehr.
bin totaler laie auf dem gebiet...

für ne rückantwort wär ich dankbar *smile*

#154 Hallo@Samtess

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes

c:\windows\system32\msconfg.exe
c:\windows\system32\TFTP2648
c:\windows\system32\TFTP2652
c:\windows\system32\usbhardware32c.exe

neustarten

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#155 Hallo, alle zusammen!

Bin neu hier und ein absoluter DAU... Bitte um Geduld!

Auch ich habe mir diesen fiesen W32.Randex eingefangen und auch bei mir zeigt ihn das Antivirus-Programm (Norton) an, aber er kann ihn weder loeschen noch in Quarantaene stellen.

Habe schon eine Weile im Internet (mittlerweile geschuetzt durch eine Firewall) hier im Forum rumgestoebert, wie ich ihn loswerden kann und nun nach Anleitung versucht, ihn im abgesicherten Modus (Windows XP) durch den Norton loeschen bzw. unschaedlich machen zu lassen. Er wird auch gefunden aber auch in diesem Modus kann er ihn nicht loeschen und nicht in Quarantaene stellen... Der Rechner bleibt infiziert.

Da ich ansonsten leider nicht viel Ahnung vom PC habe (bin nur "Anwender"), sagen mir die sonstigen Tipps nicht viel - klingt fuer mich alles nach "Bahnhof"...

Gibt es keine einfachere Loesung, diesen Wurm loszuwerden, fuer solche Ahnungslosen, wie mich???

Bitte helft mir!

Vielen Dank im voraus und viele Gruesse an alle Helfer!

#156 Hallo@blueeyes-ole

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

#157 Ja hi erstmal. Und zwar hat sich einer meiner Kumpel der mit ISDN online geht den W32-Randex Wurm eingefangen. Da nach sehr kurzer zeit seine Internetverbindung nicht mehr funktioniert hat er mich gebeten hier mal sein Hijack-.log zu posten und um Hilfe zu bitten. Hoffe Ihm bzw. Uns kann hier geholfen werden.

THX TSX

Logfile of HijackThis v1.99.1
Scan saved at 21:14:34, on 09.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\system32\sdkhsu.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Microsoft System Backup] sdkhsu.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\RunServices: [Microsoft System Backup] sdkhsu.exe
O4 - HKCU\..\Run: [Microsoft System Backup] sdkhsu.exe
O4 - HKCU\..\RunServices: [Microsoft System Backup] sdkhsu.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

#158 Hallo@T-S-X

Kompromittiertes System
http://virus-protect.org/seite1.html
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.

Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben:

* Entwenden oder Ändern von Kennwörtern oder Kennwortdateien
* Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren)
* Installieren von Software zur Aufzeichnung von Tastatureingaben
* Konfigurieren von Firewall-Regeln
* Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
* Löschen und Bearbeiten von Dateien
* Versenden von anstößigem/diskriminierendem Material (E-Mail-Benutzerkonto)
* Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien
* Löschen von Protokolldateien, um solche Aktivitäten zu verbergen

Um sicherzustellen, dass das System sicher ist, muss das Betriebssystem neu installiert werden.
Dateien aus Sicherungskopien vor der Infizierung müssen wiederhergestellt werden und alle Kennwörter,
die sich auf den infizierten Computern befanden oder auf die von diesen zugegriffen werden konnte, müssen geändert werden.
Dies ist die einzige Möglichkeit, die Sicherheit der Systeme zu gewährleisten.
---------------------------------------------------------------------------

O4 - HKLM\..\Run: [Microsoft System Backup] sdkhsu.exe
O4 - HKLM\..\RunServices: [Microsoft System Backup] sdkhsu.exe
O4 - HKCU\..\Run: [Microsoft System Backup] sdkhsu.exe
O4 - HKCU\..\RunServices: [Microsoft System Backup] sdkhsu.exe

C:\WINNT\system32\sdkhsu.exe --> u.a.
__________
MfG Sabina

rund um die PC-Sicherheit

#159 Hallo, hatte ich mir auch schon gedacht. Naja jetzt haben wir Gewissheit. Dann sag ich mal besten Dank.

Bye TSX

#160 Logfile of HijackThis v1.99.1
Scan saved at 07:10:36, on 30.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\asuskbservice.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\UAService7.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\WinPoET Broadband Connection\WrOS.EXE
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\dontyoux.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINNT\system32\internat.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Dokumente und Einstellungen\Acktun Andreas\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\eliteskt32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Screen Saver] SCRNSA~1.SCR
O4 - HKLM\..\Run: [caxdy] C:\WINNT\SYSTEM32\somepn.exe
O4 - HKLM\..\Run: [Wronglike] dontyoux.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Jermaine] C:\WINNT\SYSTEM32\clarkson.exe
O4 - HKLM\..\Run: [Hollaback] mozilla.exe
O4 - HKLM\..\Run: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\RunServices: [Screen Saver] SCRNSA~1.SCR
O4 - HKLM\..\RunServices: [Wronglike] dontyoux.exe
O4 - HKLM\..\RunServices: [Hollaback] mozilla.exe
O4 - HKLM\..\RunServices: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
O4 - HKCU\..\Run: [TaskBar] C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [RamCleaner] C:\Programme\RamCleaner\RamCleaner.exe
O4 - HKCU\..\Run: [Wronglike] dontyoux.exe
O4 - HKCU\..\Run: [Screen Saver] SCRNSA~1.SCR
O4 - HKCU\..\Run: [Hollaback] mozilla.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Word\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/122e6826b12187195715/netzip/RdxIE601_de.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINNT\asuskbservice.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Programme\WinPoET Broadband Connection\WrOS.EXE

Hi Kann mir bitte jemand helfen? Habe seit 3 Tagen nur Virenprobleme Randex etc...... Clarkson und Mozilla Würmer weiss bald nicht mehr weiter versuche immer alle im abgesicherten Modus zu löschen funktioniert aber bei dem Randex nicht . Ich finde den nihmal mit Hijack this aber der Norton zeigt ihn immer an.
Danke!!!!!

#161 Hallo@JEdiJoda

wie du noch ins Net kommst, ist mir schleierhaft.....formatiere sofort und dann komm noch mal wieder....


Kompromittiertes System
http://virus-protect.org/seite1.html
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.

Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben:

* Entwenden oder Ändern von Kennwörtern oder Kennwortdateien
* Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren)
* Installieren von Software zur Aufzeichnung von Tastatureingaben
* Konfigurieren von Firewall-Regeln
* Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
* Löschen und Bearbeiten von Dateien
* Versenden von anstößigem/diskriminierendem Material (E-Mail-Benutzerkonto)
* Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien
* Löschen von Protokolldateien, um solche Aktivitäten zu verbergen

Um sicherzustellen, dass das System sicher ist, muss das Betriebssystem neu installiert werden.
Dateien aus Sicherungskopien vor der Infizierung müssen wiederhergestellt werden und alle Kennwörter,
die sich auf den infizierten Computern befanden oder auf die von diesen zugegriffen werden konnte, müssen geändert werden.
Dies ist die einzige Möglichkeit, die Sicherheit der Systeme zu gewährleisten.
---------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit