W32.Randex.gen vernichten aber wie???? |
||
|---|---|---|
| #0
| ||
|
11.08.2004, 13:36
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
11.08.2004, 13:46
Ehrenmitglied
 Beiträge: 29434 |
#107
Hallo Vanity
 http://www.hijackthis.de/index.php Das Log ist so weit o.k. Kannst du selbst noch mal ueberpruefen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.08.2004 um 13:46 Uhr von Sabina editiert.
|
|
|
|
|
|
|
11.08.2004, 13:48
Member
Beiträge: 48 |
#108
@Vanity
Hallo, also ein paar Sachen sind hier ok  .Das wäre erstmal CTsvcCDA.exe. Und dann gibt es da noch Prozesse die mir nicht bekannt sind, da wäre ein Antivirusprogramm gut, um es überprüfen. Was hast du überhaupt für ein System? Windows 98 2000 xp.....? |
|
|
|
|
|
|
11.08.2004, 14:06
Ehrenmitglied
Beiträge: 29434 |
#109
@boghog
Vanity hat Windows 2000 SP4 (WinNT 5.00.2195) (aus dem Log ersichtlich) und wenn du was nicht kennst, dann musst du "googeln" Process File: ctsvccda or ctsvccda.exe Process Name: Creative CD-ROM Services Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.08.2004 um 14:07 Uhr von Sabina editiert.
|
|
|
|
|
|
|
11.08.2004, 14:10
...neu hier
Beiträge: 2 |
#110
@Sabina
Danke Der Online Check ergibt dass diese Zeile eventuell nicht okay ist: O17 - HKLM\System\CCS\Services\Tcpip\..\{D6500709-97A8-4441-95AF-14A05EC9C773}: NameServer = 213.191.74.19 213.191.92.86 Alle anderen dinge scheinen okay zu sein. Igend eine Idee was der Key bedeuten könnte? @Boghog Ich nutze Win 2000 Pro. Ich hab Caspersky und AVG aufm PC und nutze ab und an den Norton Online Scanner wenn ich denk ich brauche ihn, keiner dieser Scanner zeigt ein Virus an. CTsvcCDA.exe scheint mir eine Datei für die Creative Soundkarte zu sein, bin aber nicht sicher (Bah Sabina war schneller als ich )Dieser Beitrag wurde am 11.08.2004 um 14:12 Uhr von Vanity editiert.
|
|
|
|
|
|
|
11.08.2004, 14:24
Ehrenmitglied
Beiträge: 29434 |
#111
Hallo @Vanity
Fixe bitte mit dem HijackThis: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm ........................................................................................................... Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '213.191.74.19 213.191.92.86' nicht, fixen. #ISP's: http://www.yopi.de/ISP_s-most_popular Beispiel: GINKO-Netzstatus Freie Fahrt im Netz (jn) Sollte die Namensauflösung einiger Internetseiten nicht funktionieren, so tragen Sie bitte in den Einstellungen Ihrer DFÜ-Verbindung folgenden DNS-Server ein: 213.148...usw... ........................................................................................................... Eine Domain (englisch domain im Deutschen tlw. Domäne) ist im technischen Zusammenhang die Bezeichnung für eine Gruppe vernetzter Computer oder einen einzelnen Rechner aus einer solchen Gruppe. Es existieren verschiedene Systeme zur Benennung von Domänen. Das bekannteste ist das Domain Name System (DNS). In diesem nennt man die Namen höchster Ebene Top-Level-Domains. Dementsprechend heißen die Domänen zweiter und dritter Ebene Second- beziehungsweise Third-Level-Domains. Eine Domäne ist eine Internetadresse wie www.example.org. Technisch gesehen ist eine Domäne eine Art Textvariante einer IP-Adresse (Terminus Technicus: Der Domänenname "korrespondiert" mit der IP-Adresse). Eine IP-Adresse ist eine Nummer, unter der ein Host im WWW (World Wide Web) erreichbar ist. Wenn auf eine Internetseite zugriffen werden möchte, erfolgt dies entweder über eine Domäne oder über eine IP-Adresse. Zweck einer Domäne ist es, dass die Besucher einer Homepage nicht die IP-Adresse (wie 192.0.34.166) angeben müssen, sondern ein Wort verwenden können. Internet-Domänen können nicht nur bei dem jeweils zuständigen Network Information Center angemeldet werden, sondern auch bei vielen Registrierungspartnern der jeweiligen NICs (Network Information Center). In Deutschland ist dies das DENIC. http://de.wikipedia.org/wiki/Dom%C3%A4ne_(Internet) Weblinks * http://www.denic.de - Vergabestelle deutscher Domains [.de] * http://www.consultdomain.de - Ein deutsches Forum zum Thema Domains * http://www.nicit.de - eine deutsche Seite zum Thema Domains mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.08.2004 um 14:45 Uhr von Sabina editiert.
|
|
|
|
|
|
|
11.08.2004, 14:38
Member
Beiträge: 48 |
#112
@Vanity,
Der Internet Explorer ist übrigens verbugt. Falls du einen anderen Browser installieren willst, hier--> http://www.mozilla.org/ Dann den Text in Fett ''switching from Internet Explorer to Firefox'' klik0rn. Der hat PopUp-Bloker .MfG boghog |
|
|
|
|
|
|
12.08.2004, 22:57
...neu hier
Beiträge: 2 |
#113
hi zusammen ich weiß das es vieleicht allmählig etwas nervt aber ich brauch da mal hilfe...
Logfile of HijackThis v1.98.2 Scan saved at 22:49:39, on 12.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\NetLimiter\NetLimiter.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE D:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{496B947D-9130-452F-A4D6-45CA3DDCCF98}: NameServer = 192.168.0.130 Ich habe das system neu installiert, alle updates drauf....antivir, stinger mehrere online sanns gelaufen...haben den rbot, bobax und/oder rendax drauf habe die reg schon gecleant...habe da das ursache file auch gefunden in der /windows/system32/tftp.exe wenn ich das file löschen will funktioniert das erst aber keine 10 secs später ist es wieder da...dieses file ist aber laut antivir nicht der virus..aber es generiert ihn anscheinend...die WinXP prof Firewall ist aktive.... hoffe es sind schomal genug info für eine diagnose....wirklich nett ich verzweifle hier schon PS: Ich bin im Netzwerk mit ca. 20 Compis...fast oder alle sind infected... Dieser Beitrag wurde am 12.08.2004 um 22:57 Uhr von Spyzero editiert.
|
|
|
|
|
|
|
12.08.2004, 23:29
Ehrenmitglied
Beiträge: 29434 |
#114
Spyzero
#Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Kanns t du nach der Reinigung wieder aktivieren Zu fixen gibt es nichts, da du die C:\WINDOWS\system32\ftp.exe anscheinend schon geloescht hast...auf jedenfall ist sie nicht zu sehen. Suche eine C:\winnt\system32\os2\dll und loesche sie im abgesicherten Modus. .............................................................................................................. Lade eScan (entpacke in C:\base) http://www.mwti.net/antivirus/free_utilities.asp 2) "kavupd.exe" suchen und anklicken. Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) #Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm 3)den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken. Danach die Virus Log Information posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.08.2004 um 23:35 Uhr von Sabina editiert.
|
|
|
|
|
|
|
24.09.2004, 18:26
...neu hier
Beiträge: 3 |
#115
Hi Leute,
ich habe mich jetzt durch das Thema gekämpft und es irgendwie geschafft, den Virus zu beseitigen - oder auch nicht. Weder AntiVir, noch Norton konnten den Virus erkennen und beseitigen. Zumindest nicht dauerhaft. Ich habe alles mögliche gemacht, die Registry-Einträge gelöscht, die infizierten Dateien gelöscht, doch irgendwie hat es der Virus immer wieder geschafft, sich auf den Rechner einzuschleichen. Manchmal auch mehrmals unter verschiedenen Dateien - ntlogin32.exe, msnsvr.exe, mstosk.exe, wsass.exe, etc. Auf meinem Notebook ist Windows 2000 installiert, samt allen aktuellen Updates die es gibt. Ich habe nicht nur mit AntiVir und Norton versucht, das Problem zu beheben. Ich habe es mit Nortons Online-Scan, MicroTrends Online-Scan und einem Removal Tool von MicroTrend versucht - vergebens. Egal ob im normalen Modus oder im abgesicherten. Die Dateien kamen immer wieder auf das Notebook. Mittlerweile habe ich auch eine Firewall am Rechner installiert - ZoneAlarm. Dachte zuerst, die Firewall von meinem Router reicht aus. Anscheinend nicht. Seitdem ich ZoneAlarm installiert habe und die Dateien samt Registry-Einträge gelöscht habe, herrscht kein Problem mehr. Nun endlich zu meinem Anliegen: Momentan - das Notebook läuft jetzt seit 13 Uhr - hab ich 1910 verhinderte Zugriffsversuche. Dazu möchte ich sagen, dass ich ADSL als Internetzugang nutze. Sprich, ich bekomme eine dynamische IP-Adresse. Ich vermute, dass es doch ein Programm geschafft hat (der Virus), mit dem Internet zu kommunizieren. Anders kann ich mir die Angriffe nicht erklären. Kann mir irgendjemand sagen, wie ich dem Ganzen ein Ende machen kann? Langsam nervts wirklich! Danke schon mal im Vorhinein. MfG Harald PS: Hier übrigens ein Logfile von mir Logfile of HijackThis v1.98.2 Scan saved at 18:09:46, on 24.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\hkcmd.exe C:\WINNT\AGRSMMSG.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.EXE C:\Setup\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/de/win/QuickTimeInstaller.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/027c2f35106e968e2914/netzip/RdxIE601_de.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SZ.AT O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SZ.AT O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SZ.AT Dieser Beitrag wurde am 24.09.2004 um 18:27 Uhr von AWishmaster editiert.
|
|
|
|
|
|
|
25.09.2004, 01:00
Ehrenmitglied
Beiträge: 29434 |
#116
Hallo @AWishmaster
Ist das deine korrekte Domäne: 'SZ.AT ? O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SZ.AT O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SZ.AT O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SZ.AT 1.Was den Zonealarm betrifft, so sind das bestimmt Portscanns, also normal. 2.Fuehre bitte mit diesem Tool einen Portscann durch. und poste das Ergebnis. #ANTS 2.1 http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547 3.Konfiguriere deine Dienste... NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org Besonders : Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! Start<Systemsteuerung<Verwaltung<Dienste 4.NETSTAT http://www.firool.de/netstatgui/ http://www.freeware.de/software/Download_netstat_ueber_Windowsoberflaeche_ausfuehren_15026.html #Start-->>Ausführen-->>Netstat -a eingeben-->>Enter <Stelle doch zunächst einmal fest, welche Verbindungen in diesem Moment von Deinem Rechner zu anderen bestehen und welche Ports dabei verwendet werden. Eine Anzeige erhälst Du zwar auch offline, die Ausgabe wird jedoch realer und interessanter, wenn Du Dich zunächst ins Internet einwählst und einige Web-Seiten abrufst. Gib nun ein: C:\>netstat –a (beschreibende) oder C:\>netstat –an (numerische Portangabe) Die Ausgabe von netstat -an sieht etwa so aus: http://www.gurusheaven.de/security/trojan_horse.htm So kann man ungewoehnliche Verbindungen kontrollieren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.09.2004 um 01:02 Uhr von Sabina editiert.
|
|
|
|
|
|
|
25.09.2004, 15:14
...neu hier
Beiträge: 3 |
#117
Zitat Ist das deine korrekte Domäne: 'SZ.AT ?Das Notebook ist ein Firmennotebook gehört der Mutter meiner Freundin. Meine Freundin nutzt ihn, da ihn die Mutter im Moment nicht braucht. Die Domäne gehört zu der Firma, wo die Mutter angestellt ist. Demnach ist sie korrekt. 1.Was den Zonealarm betrifft, so sind das bestimmt Portscanns, also normal. Ich hab Zonealarm auch kurz auf meinem Notebook getestet - wenn auch nicht lange. Da bekam ich nur ca. 3 Versuche zusammen. Und die, da ich etwas updaten wollte. Aber gut, wenn das normal ist, dann passts ja. Zitat 2.Fuehre bitte mit diesem Tool einen Portscann durch. Zitat Port 135 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefundenSollen/müssen diese Ports denn offen sein? Wenn nicht, kann man die irgendwie schließen (also 135, 139, 445)? Ich kenne nur die Standardports für http, https, ftp, irc, icq. Und die Ports 102x sind von SZ.AT. Zitat 3.Konfiguriere deine Dienste...Hab ich gemacht! Kann es sein, dass über das Netzwerk jedesmal die Registryeinträge des Virus/Trojaners wieder hineingeschrieben wurde, nachdem ichs gelöscht habe? Zitat 4.NETSTAT Zitat *** netstat.exe -a - 25.09.2004 15:05:33 *** Zitat *** netstat.exe -an - 25.09.2004 15:08:01 ***So, das hab ich jetzt einmal gemacht. Die mit SZ.AT und M920P008.adsl.highway.telekom.at:ftp kenn ich. Das eine ist wie geschrieben die Domäne der Firma, das zweite ist eine FTP-Verbindung über I-Net auf mein eigenes Notebook (klingt komisch, ist aber so *g*). Das kenn ich nicht: prisoner.iana.org Dazu gibts auch keine Homepage oder so. So, hier mal alle Infos die du haben wolltest. Ich danke dir recht herzlich dafür, dass du so schnell geantwortet hast. War wirklich schon am Verzweifeln! MfG Harald Dieser Beitrag wurde am 25.09.2004 um 15:17 Uhr von AWishmaster editiert.
|
|
|
|
|
|
|
25.09.2004, 15:31
Ehrenmitglied
Beiträge: 29434 |
#118
Hallo @AWishmaster
#TCP sz-12-2:1443 prisoner.iana.org:domain Port 1443 :Integrated Engineering Software\Firewall Wizards Port 1443 en TCP : Integrated Engineering Software Port 1443 en UDP : Integrated Engineering Software Port 1444 en TCP : Marcam License Management Port 1444 en UDP : Marcam License Management Port 139 en TCP (offen): NETBIOS Session Service NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios Port 445 en UDP (offen) : Microsoft-DS Port 135 en TCP (offen) : Location Service Port 1025 en TCP (offen) network blackjack (von MS) Port 1026 en TCP (offen) Port Authority Database Calender Access Protocol Description: Microsoft operating systems tend to allocate one or more unsuspected, publicly exposed services (probably DCOM, but who knows) among the first handful of ports immediately above the end of the service port range (1024+). Port 1095 =Post Office Protocol - Version 2 Port 1273 =Locus PC-Interface Conn Server Port 1028 =(offen) Port Authority Database Port 1215 = Drucker (?) Port 1266 = DELLPWRAPPKS Port 1387 en TCP : Computer Aided Design Software Inc LM Port 1387 en UDP : Computer Aided Design Software Inc LM Port 4500 = ISAKMP traffic on UDP http://www.grc.com/port_102.htm <PC-Selbsttest http://check.lfd.niedersachsen.de/start.php <Sygate-Portscann http://scan.sygatetech.com/ <FIREWALLS, NETZWERK-SICHERHEIT UND DIE BÖSEN HACKER http://www.nickles.de/c/s/26-0015-204-1.htm mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.09.2004 um 16:01 Uhr von Sabina editiert.
|
|
|
|
|
|
|
26.09.2004, 23:02
...neu hier
Beiträge: 3 |
#119
Danke für deine Antwort, hab nun die restlichen Probleme behoben. Hoffe mal, dass ich jetzt keine schlaflosen Nächte mehr habe.
Danke nochmals, Harald |
|
|
|
|
|
|
27.09.2004, 16:28
...neu hier
Beiträge: 7 |
#120
HI leute!!
ich bin neu hier, gerade erst angemeldet!! Ich hab so ähnliche Probleme , wie hier zum Teil beschreiben worden. SO das ist mein Problem:wenn ich meinen Internet Explorer starte dann komm die Seite :about:Blank, als Startseite . Ich kann keine andere Seite als Startseite machen .....es ändern sich immer wieder auf die Seite!!!Und dann kommt da noch so ein kleineres Fenster: Network Adminitrator Important Notice!!! Attention:Your computer is infected with Spyware and Adware. You can protect your privacy and improve your Pc perfomance by removing spyware.dann so schild  o yo want to Remove spyware in a few minutes?klick ok? Aber die kosten ja alle so viel!!! ich kenn mich halt damit kaum aus und würde mich sehr freuen wenn es mir jemand gut erklären könnte wie ich mein problem beheben könne!!! Schon mal danke im Voraus!!! |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich bin neu hier, hatte das gleiche Problem wie der Rest der Leute hier mit W32.Randex.gen. Ich hab versucht ihn anhand der hier angegebenen Tipps loszuwerden.
Könnt ihr mal bitte checken ob die Log okay ist?
Logfile of HijackThis v1.97.7
Scan saved at 13:31:56, on 11.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.animesuki.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38207.5315509259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6500709-97A8-4441-95AF-14A05EC9C773}: NameServer = 213.191.74.19 213.191.92.86
Danke im vorab
Mfg
Vanity