W32.Randex.gen vernichten aber wie???? |
||
|---|---|---|
| #0
| ||
|
21.07.2004, 22:02
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
21.07.2004, 22:13
Moderator
Beiträge: 7805 |
#92
Bitte mal das abarbeiten und ein neues Log posten:
http://www.rokop-security.de/board/index.php?showtopic=3867 __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.07.2004, 23:07
...neu hier
Beiträge: 2 |
#93
hab jetzt auch schon nen escan gemacht hat auch was gefunden nur leider keinen w32.randex.gen sondern nur andere sachen wenn einer mal was mit dem neuem hijack log anfangen kann bitte posten
Logfile of HijackThis v1.97.7 Scan saved at 23:04:14, on 21.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.telefonica.net/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38189.5001388889 O17 - HKLM\System\CCS\Services\Tcpip\..\{5811351B-7541-4822-B343-00A7D0EFB1AB}: NameServer = 80.58.34.97 80.58.4.33 |
|
|
|
|
|
|
24.07.2004, 14:12
...neu hier
Beiträge: 2 |
#94
hi leute. kann mir mal jemand helfen?
i hab in w32.randex.gen auf mein pc. die dateien in da reg hab ik gelöscht und da norton findet jetzt a keinen virus mehr. könnt ihr mir weiterhelfen? danke |
|
|
|
|
|
|
24.07.2004, 19:15
Moderator
 Beiträge: 6466 |
||
|
|
|
|
|
25.07.2004, 13:13
...neu hier
Beiträge: 2 |
#96
Hier der HiJack Log.
thx schon mal im voraus Logfile of HijackThis v1.98.0 Scan saved at 14:20:29, on 24.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Dokumente und Einstellungen\stekat\Desktop\HijackThis.exe C:\WINDOWS\system32\notepad.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.utanet.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.utanet.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm |
|
|
|
|
|
|
25.07.2004, 14:56
Member
Beiträge: 13 |
#97
bitte helft mir, habe einen [color="darkred"]W32.RANDEX.GEN [/color]und brauche jemanden um meine LogFile zu analysieren!
hier meine logfile: Logfile of HijackThis v1.98.0 Scan saved at 14:28:25, on 25.07.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\NMSSvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe C:\WINNT\system32\PROMon.exe C:\Programme\AonInformer\informer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\ethernet32m.exe C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE C:\Compaq\EAKDRV\EAUSBKBD.EXE C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\tftp.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0C07/bl8.asp R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0C07/bl7.asp R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [WindowsRegKey%update] ethernet32m.exe O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [WindowsRegKey%update] ethernet32m.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{B819B065-1A8C-442B-BA63-F90751F7B2AD}: NameServer = 195.3.96.67 195.3.96.68 danke, trugbild |
|
|
|
|
|
|
25.07.2004, 15:03
Moderator
Beiträge: 7805 |
#98
...bot?
O4 - HKLM\..\Run: [WindowsRegKey%update] ethernet32m.exe O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe O4 - HKCU\..\Run: [WindowsRegKey%update] ethernet32m.exe Fixen, neu starten an virus@protecus.de schicken, loeschen, http://ntsvcfg.de/ besuchen, www.windowsupdate.com besuchen und das abarbeiten: http://www.rokop-security.de/main/article.php?sid=703 __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
25.07.2004, 22:12
Member
Beiträge: 13 |
#99
kann die datei nicht löschen...zugriff verweigert...hab jetz auch einen W32.SPYBOT.WORM auf meinem rechner entdeckt!
was soll ich tun? |
|
|
|
|
|
|
25.07.2004, 22:20
Moderator
Beiträge: 7805 |
||
|
|
|
|
|
08.08.2004, 16:58
...neu hier
Beiträge: 3 |
#101
Hilfe, habe jetzt leider auch diesen hartnäckigen Wurm w32.Randex.gen
Ersteinmal vielen Dank für dieses Forum und die vielen Antworten, hab auch alles probiert, klappt aber nicht alles. Kann z.B. mein Norton nicht im abgesicherten Modus starten  Habe schon mal mein aktuelles hijackthis.log kopiert Logfile of HijackThis v1.97.7 Scan saved at 16:43:11, on 08.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\winampa.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\rmctrl.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe C:\Dokumente und Einstellungen\Jo\Eigene Dateien\Software\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Startup: Registration-PCTV.lnk = C:\Programme\Pinnacle\PCTV Stereo\ERegister\RegTool.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Pinnacle Scheduler.lnk = ? O17 - HKLM\System\CCS\Services\Tcpip\..\{EB58CE09-5155-4BC1-98C3-4E78FC83FF7D}: NameServer = 217.237.151.33 194.25.2.129 Bin für jede Hilfe sehr dankbar. Liebe Grüße aus der Sonne  Al
|
|
|
|
|
|
|
08.08.2004, 17:49
Ehrenmitglied
 Beiträge: 29434 |
#102
Al_Bundy
#Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #lade mwav.exe (escan) und scanne <alle Dateien< und <alle Folder< http://www.mwti.net/antivirus/free_utilities.asp 1. Virenscanner starten, nachdem die Datei C:\WINDOWS\system32\wuamgrd.exe gefunden worden ist, in das Verzeichnis hingehen und die <wuamgrd.exe< z.B. in< won.exe<umbenennen. 2. Rechner neustarten und nochmal Scannen (mit dem Symantec) diesmal wird die <won.exe <gefunden und erfolgreich gelöscht ;-) 3.Zur sicherheit noch einmal neustarten und nach Viren suchen. ueberpruefe mit Kaspersky "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" http://www.kaspersky.com/remoteviruschk.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.08.2004 um 17:57 Uhr von Sabina editiert.
|
|
|
|
|
|
|
08.08.2004, 20:04
...neu hier
Beiträge: 3 |
#103
Hallo Sabina,
vielen Dank für die schnelle Antwort. Leider hat weder Dein eScan die Datei gefunden, noch ich. Es gab einen Fehler beim Scanning Services Files : Errror!!! ScanFile fails.Die Wurmadresse, die mir Norton immer nennt, die ich aber weder umbenennen noch löschen kann, ist : c:\windows\system32\TFTP3532 Falls Du noch eine Idee hast, würd ich mich freuen, hoffe ohne formatieren den Wurm wieder los werden zu können. Lieber Gruß Al |
|
|
|
|
|
|
08.08.2004, 20:25
Ehrenmitglied
Beiträge: 29434 |
#104
Es sieht so aus, als ob der Wurm (Code Red Worm)in einem <TFTP Server< sitzt.
/Wobei ich nicht weiss, ob das stimmt, denn zu dem angegebenen Namen TFTP3532 ist nicht viel zu finden.........) c:\inetpub\scripts 000-01-10 12:00 296,720 root.exe 001-09-21 11:39 0 TFTP3532 c:\inetpub\scripts\root.exe d:\inetpub\scripts\root.exe c:\progra~1\common~1\system\MSADC\root.exe d:\progra~1\common~1\system\MSADC\root.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable = 0xFFFFFF9D HKLM\SYSTEM\CurrentControlSet\Services\W3SVC \Parameters\Virtual Roots Scripts = 217 msadc = 217 c = c:\,,217 d = d:\,,217 usw.... http://www.hrz.uni-dortmund.de/s3/ivc/code-red-wurm.html http://www.eeye.com/html/Research/Advisories/AL20010804.html ............................................................................................................. Wenn das wirklich in einem Zusammenhang steht...ist es der Virus <CodeRed.C< Der Virus uebernimmt die Kontrolle ueber den Server. (erstellt: SCRIPTS/ROOT.EXE) (kopiert CMD.EXE und das soll von Antivirus - McAfee erkannt werden) ........................................................................................................ Neuformatieren waere also angebracht, da die Sicherheit nicht mehr gewaehrleistet ist. System neu aufsetzen: Auf einem nicht infizierten System alle Service Packs sowie falls in de SPs nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen. Auf dem infizierten System: - format c: - Windows neu installieren - die Service Packs und Patches von der CD installieren - bei XP die Firewall einschalten -Firewall laden (falls kein Router da) und die von XP wieder abschalten - nach Anleitung von http://www.ntsvcfg.de/ vorgehen - Virenscanner installieren (AntiVir und AVG gibts kostenlos) - jetzt erst können übers Windows-Update die noch fehlenden Updates installiert werden. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.08.2004 um 13:32 Uhr von Sabina editiert.
|
|
|
|
|
|
|
08.08.2004, 23:05
...neu hier
Beiträge: 3 |
#105
Danke Sabina,
das habe ich befürchtet. Möcht mal wissen, wo der Hund her ist. Fahre jetzt ne Woche weg, falls Dir noch etwas einfallen sollte, würd ich mich freuen, von Dir zu hören, sonst mach ich nächstes Weekend die Formatierung und Neuinstallierung nach Deiner Anweisung. Allen Beteiligten danke für dieses Forum. Ciao Al
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
wäre für schnelle hilfe echt dankbar
thx
Logfile of HijackThis v1.97.7
Scan saved at 22:00:36, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.telefonica.net/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\mbsumy.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38189.5001388889
O17 - HKLM\System\CCS\Services\Tcpip\..\{5811351B-7541-4822-B343-00A7D0EFB1AB}: NameServer = 80.58.34.97 80.58.4.33