Hilfe bei evtl. Virus-/Backdoorbefall! |
||
---|---|---|
#0
| ||
06.04.2004, 23:47
...neu hier
Beiträge: 2 |
||
|
||
07.04.2004, 11:03
Moderator
Beiträge: 7805 |
#2
Fix diesen Eintrag:
O4 - HKLM\..\Run: [Windows Login] winlog.exe und schicke die Datei bitte an virus@protecus.de , oder teste die Datei hier: http://www.kaspersky.com/remoteviruschk.html um herauszubekommen, welcher Virus/Malware das ist. Auf jeden fall sieht es nicht gut aus fuer deinen Rechner! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.04.2004, 14:10
Member
Beiträge: 54 |
#3
Die svchost.exe sollte sich eigentlich auch nicht im system32/drivers/ Ordner befinden ....
C:\WINDOWS\System32\drivers\svchost.exe am besten auch mal an virus@protecus.de senden (aber auch wirklich die aus dem drivers Ordner!) __________ (-- Rokop --) www.rokop-security.de |
|
|
||
07.04.2004, 14:26
Member
Beiträge: 15 |
#4
Ich glaube Schranzy hat diesen wurm, hier: http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.welchia.b.worm.html
Der Wurm nutzt glaube ich sicherheitslücken,und versteckt sich in dem system32 ordner in drivers als svchost.exe. Ich bin mir zwar nicht sicher ob er diesen virus hat aber möglich ist es Dieser Beitrag wurde am 07.04.2004 um 14:41 Uhr von Auron editiert.
|
|
|
||
07.04.2004, 15:15
Member
Beiträge: 54 |
||
|
||
07.04.2004, 17:01
...neu hier
Themenstarter Beiträge: 2 |
#6
Sers,
leider finde ich weder die Winlog.exe noch die svchost.exe (im drivers Ordner) Hmm kann mir evtl. jemand weiter helfen wo ich die Dateien finde? So habe mal Eure Tips zu Herzen genommen und das Prog von Symantec ausgeführt. Ersteinmal ein dickes Danke für Eure schnelle Hilfe. Hier das aktuelle Logfile of HijackThis v1.97.7 ========================================================== Logfile of HijackThis v1.97.7 Scan saved at 17:11:22, on 07.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\H3dTweaker.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\D3D3DTwkAnim.exe D:\PROGRA~1\POP-UP~1\PSFREE.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\MsPMSPSv.exe D:\Programme\WinRaR\WinRAR.exe C:\DOKUME~1\ANDREE~1\LOKALE~1\Temp\Rar$EX00.687\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Andree Sonnenberg F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\H3dTweaker.exe -hide O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "D:\PROGRA~1\POP-UP~1\PSFREE.EXE" O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.5901736111 O17 - HKLM\System\CCS\Services\Tcpip\..\{63AE21F1-2273-4190-BBBE-E6E1996EB727}: NameServer = 62.225.253.9,62.225.249.16 ========================================================== Dieser Beitrag wurde am 07.04.2004 um 17:12 Uhr von ScHraNzY editiert.
|
|
|
||
Irgendwie spinnt mein System seit dem letzten format C:, kann z.B. immer erst nach 2-3 min mich ins Internet wählen da voher die Verbindung nicht ausführbar ist. Dann blinkt der Desktop einmal und alles geht. Oder der TaskManager lässt sich nicht aufrufen.
Hatte den Wurm MSBlast drauf konnte ihn aber löschen. Ist er evtl. noch irgendwo ?
Hab mal ein Log erstellt und würde gerne wissen ob ich da irgendwo etwas habe was da nicht wirklich hingehört. Besten Dank im vorraus.
Code
Ups sorry falsches Board ... verschiebt mal bitte