Home » Viren, Trojaner & Malware Forum » Trojaner - Qhosts.apd trojan (werde noch narrisch) » Themenansicht
Trojaner - Qhosts.apd trojan (werde noch narrisch)Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
15.09.2004, 15:16
Member
Beiträge: 20 |
||
 
|
|
|
|
15.09.2004, 15:20
Ehrenmitglied
 Beiträge: 29434 |
#77
Hallo @Dexion
Deaktiviere die Wiederherstellung (falls du XP hast) (boote) und aktiviere sie wieder.(Sonst sind die Viren nach der naechsten Wiederherstellung wieder drauf....) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Installiere den Antivirus (!) Fuehre keine Programme aus, ohne vorher das HijackThis.Log zu posten ....(PC von deinem Bruder) MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 15:21 Uhr von Sabina editiert.
|
|
|
|
|
|
|
15.09.2004, 17:23
...neu hier
Beiträge: 10 |
#78
@Sabina
TCPview protokolliert folgendes: TCP junker:1575 junker:0 LISTENING TCP junker:137 junker:0 LISTENING TCP junker:138 junker:0 LISTENING TCP junker:nbsession junker:0 LISTENING TCP 192.168.120.254:137 junker:0 LISTENING TCP 192.168.120.254:138 junker:0 LISTENING TCP 192.168.120.254:nbsession junker:0 LISTENING TCP b6094.b.pppool.de:137 junker:0 LISTENING TCP b6094.b.pppool.de:138 junker:0 LISTENING TCP b6094.b.pppool.de:nbsession junker:0 LISTENING UDP junker:1575 *:* UDP junker:nbname *:* UDP junker:nbdatagram *:* UDP 192.168.120.254:nbname *:* UDP 192.168.120.254:nbdatagram *:* UDP b6094.b.pppool.de:nbname *:* UDP b6094.b.pppool.de:nbdatagram *:* mslti64.exe habe ich nicht auf dem Rechner (höchstens mslt3032.dll) wmmon32.exe habe ich nicht auf dem Rechner Das steht in der hosts.sam: # Copyright (c) 1998 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP stack for Windows98 # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost Habe FxGaobot von Symantec laufen lassen - nichts. Habe SpHjfix.exe laufen lassen - nichts. Stinger meldet nichts; CLRAV ebenfalls nicht ! Habe noch DiskCleaner, Be Clean, RegCleaner und Spybot laufen lassen - nicht gefunden. Aber.....AVG 6.0 meldet mir jetzt auf einmal Trojan horses Downloader.Small.6.I in C:\Recycled\1.exe UND nun ??? |
|
|
|
|
|
|
15.09.2004, 17:46
Ehrenmitglied
Beiträge: 29434 |
#79
@Luvstruck
1.C:\Recycled\1.exe der Virus\Trojaner speichert sich in den Ordner C:\RECYCLED (also "Papierkorb") Loesche diese C:\Recycled\1.exe 2. Suche mal bitte eine:SCD.DLL und SCD1.DLL und SCam32.exe und ScMx32.exe und in der Registry eine: HKLM\Software\Sircam 3.Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. Poste danach Virus Log Information mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 17:55 Uhr von Sabina editiert.
|
|
|
|
|
|
|
16.09.2004, 09:24
...neu hier
Beiträge: 10 |
#80
@Sabina
Die 1.exe wurde gelöscht, kommt aber irgendwann "automatisch" wieder. SCD.DLL, SCD1.DLL, SCam32.exe und ScMx32.exe gibt es auf meiner Festplatte nicht, sind aber ALLE unter HKEY_USERES\.DEFAULT\Software\Windows\CurrentVersion\Explorer\DocFind Spec MRU aufgelistet ! HKLM\Software\Sircam ist nicht vorhanden. eScan lasse ich jetzt gleich laufen - Virus Log Information kommt dann umgehend. Danke für Deine Bemühungen Luvstruck |
|
|
|
|
|
|
16.09.2004, 11:30
Ehrenmitglied
Beiträge: 29434 |
#81
@Luvstruck
#ODER: "W32.Sircam.Worm@mm" http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html #ODER: Trojaner"XWxload" <XWxload.exe im c/temp (sieh mal ob du das findest) <1.exe <load.exe #ODER: c:\Recycled\1.exe - TrojanDownloader:Win32/Small.FO ........................................................................................................... Loesche alle Temporary-Files: leere den Inhalt (nicht den Ordner selbst loeschen) # C:\Windows\Temp # C:\Documents and Settings\<Your Profile>\Local Settings\Temporary Internet Files # C:\Documents and Settings\<Your Profile>\Local Settings\Temp # C:\Documents and Settings\<Any other users Profile>\Local Settings\Temporary Internet Files # C:\Documents and Settings\<Any other users Profile>\Local Settings\Temp # Leere den Papierkorb "Recycle Bin". Poste dann das Viren-Log vom Escan (infizierte Pfade abkopieren) und vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.09.2004 um 11:58 Uhr von Sabina editiert.
|
|
|
|
|
|
|
16.09.2004, 15:12
Member
Beiträge: 20 |
#82
SO hi Sabina ,
Hier sind HiJackThis File (von meinen Bruder) : ( ich glaube ist alles verseucht  ) sag am bessten alles was ich machen muss weiß ja jetzt wie es geht ! thx schon mal im Vorraus (aja und er hat den selben Trojaner drauf wie ich hatte !) :::Logfile of HijackThis v1.98.2 Scan saved at 15:15:31, on 16.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Dit.exe C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\sysconf.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\inKline Global\PC Booster\pcbooster.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\virtualmemory.exe C:\WINDOWS\DitExp.exe C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\KLaus\LOKALE~1\Temp\Rar$EX00.593\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Video Process] sysconf.exe O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MSN UPDATERS] virtualmemory.exe O4 - HKLM\..\RunServices: [Video Process] sysconf.exe O4 - HKLM\..\RunServices: [MSN UPDATERS] virtualmemory.exe O4 - HKCU\..\Run: [MSN UPDATERS] virtualmemory.exe O4 - HKCU\..\RunServices: [MSN UPDATERS] virtualmemory.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab P.s.: Habe den Trojaner mit Stinger entfernt, sage nun einfach was ich machen soll ! Dieser Beitrag wurde am 16.09.2004 um 15:25 Uhr von Dexion editiert.
|
|
|
|
|
|
|
16.09.2004, 15:35
Ehrenmitglied
Beiträge: 29434 |
#83
Hallo @Dexion
1. Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 2.fixe und sofort neustarten O4 - HKLM\..\Run: [Video Process] sysconf.exe O4 - HKLM\..\Run: [MSN UPDATERS] virtualmemory.exe O4 - HKLM\..\RunServices: [Video Process] sysconf.exe O4 - HKLM\..\RunServices: [MSN UPDATERS] virtualmemory.exe O4 - HKCU\..\Run: [MSN UPDATERS] virtualmemory.exe O4 - HKCU\..\RunServices: [MSN UPDATERS] virtualmemory.exe neustarten #Ueberuefe mit Kaspersky (poste das Ergebnis, bitte) (Online) http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS\System32\sysconf.exe C:\WINDOWS\System32\virtualmemory.exe ...................................................................................................... #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. .............................................................................................................. Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm #loeschen: C:\WINDOWS\System32\sysconf.exe C:\WINDOWS\System32\virtualmemory.exe #und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. Normalmodus: ##Antivirus (free) http://www.free-av.de/ (konfigurieren: "alle Dateien" und "Heuristik": mittel) Dann einen Vollscann machen. Poste danach Virus Log Informationen und das neue HijackThis posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.09.2004 um 16:02 Uhr von Sabina editiert.
|
|
|
|
|
|
|
16.09.2004, 15:41
Member
Beiträge: 20 |
#84
eeeh ja ok aber eine Frage muss man nicht auf C den Ordner Base aufmachen so hastes bei mir geschrieben ! also ich machs dann mal wie du es beschrieben hast ;
 Dieser Beitrag wurde am 16.09.2004 um 15:41 Uhr von Dexion editiert.
|
|
|
|
|
|
|
16.09.2004, 15:44
Ehrenmitglied
Beiträge: 29434 |
#85
na klar (!)
 Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner Stand ja auch geschrieben...hatte es nicht vergessen... Vergiss bitte nicht, C:\WINDOWS\System32\sysconf.exe C:\WINDOWS\System32\virtualmemory.exe mit Kaspersky zu pruefen, damit ich weiss, um welche Trojaner es sich namentlich handelt. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.09.2004 um 15:47 Uhr von Sabina editiert.
|
|
|
|
|
|
|
16.09.2004, 15:53
Member
Beiträge: 20 |
#86
also was nun ???
in Bases oder in Base Muhahahahahha lase gerade dieses Kavperspro runter danach poste ich Daten sofort ! aber ich weiß nicht ob noch VIren drauf sind weil mit STINGER hab ich den selben Trojaner entfernt wie ich hatte !!! C:\Window\system32\driver\etc\hosts Found the QHosts.apd trojan !!! udn nochwas wenn ich mit Kaverspro fertig gescannt habe soll ich es dann wieder runter machen ??? Weil 2 Viernsoftwares ist nichst so gut glaub ich !!! Dieser Beitrag wurde am 16.09.2004 um 16:06 Uhr von Dexion editiert.
|
|
|
|
|
|
|
16.09.2004, 16:01
...neu hier
Beiträge: 10 |
#87
@Sabina
Das einzige, was eScan schreibt, ist: ...Windows\Options\Cab\EBD.CAB tagged as not-a-virus: tod.DOS.Restart. No Action taken (?) ...Windows\Command\EBD\EBD.CAB tagged as not-a-virus: tod.DOS.Restart. No Action taken (?) Programme\Password-Finder\PWFinder.dll as not-a-virus: Riskware.PSWTod.Find.a No Action taken Kann die infizierten (?) Pfade nicht abkopieren, da das Viren-Log knappe 15 MB groß ist und ich nach dem öffnen dergleichen nicht navigieren kann. SORRY ! W32.Sircam.Worm@mm Die von Dir genannten Schlüssel (...recycled\sirc32.exe bzw. get*, hot* usw.) gibt es in der Registry. <%system%\sc?1.dll existiert nicht <run32.exe existiert nicht FixSirc.com meldet mir ebenfalls nichts. Trojaner "XWxload" XWload.exe existiert nicht (auch nicht unter c/temp) 1.exe existiert nicht load.exe existiert nicht Temporary-Files werden jeden abend gelöscht (DiskCleaner + BeClean) Das gleiche gilt für Temporary Internet Files und für alles andere, was die Tools noch so löschen. Hier nochmal TCPView: TCP junker:1041 junker:0 LISTENING TCP junker:1046 junker:0 LISTENING TCP junker:137 junker:0 LISTENING TCP junker:138 junker:0 LISTENING TCP junker:nbsession junker:0 LISTENING TCP 192.168.120.254:137 junker:0 LISTENING TCP 192.168.120.254:138 junker:0 LISTENING TCP 192.168.120.254:nbsession junker:0 LISTENING TCP pdbn-d9b8d515.pool.mediaways.net:137 junker:0 LISTENING TCP pdbn-d9b8d515.pool.mediaways.net:138 junker:0 LISTENING TCP pdbn-d9b8d515.pool.mediaways.net:nbsession junker:0 LISTENING UDP junker:1041 *:* UDP junker:1046 *:* UDP junker:nbname *:* UDP junker:nbdatagram *:* UDP 192.168.120.254:nbname *:* UDP 192.168.120.254:nbdatagram *:* UDP pdbn-d9b8d515.pool.mediaways.net:nbname *:* UDP pdbn-d9b8d515.pool.mediaways.net:nbdatagram *:* ...und Hijack This: Logfile of HijackThis v1.98.2 Scan saved at 15:56:35, on 16.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE C:\PROGRAMME\ATNOTES\ATNOTES.EXE C:\WINDOWS\RSRCMTR.EXE C:\PROGRAMME\WINAMP\WINAMP.EXE C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE D:\- TEMP\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe O4 - Startup: Rsrcmtr.lnk = C:\WINDOWS\RSRCMTR.EXE O4 - Startup: win-data 7 Zahlungserinnerung.lnk = C:\Programme\win-data 7\win-data pro Zahlungserinnerung.exe O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll Abschließend: Seit gestern habe ich keinerlei Meldungen (1.exe o.ä.) mehr gehabt. Gruß Luvstruck |
|
|
|
|
|
|
16.09.2004, 16:03
Ehrenmitglied
Beiträge: 29434 |
#88
@Dexion
in C:\base....... Muhahahahahha mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.09.2004 um 16:04 Uhr von Sabina editiert.
|
|
|
|
|
|
|
16.09.2004, 16:05
...neu hier
Beiträge: 10 |
#89
@Sabina
Ups, verschrieben W32.Sircam.Worm@mm Die von Dir genannten Schlüssel (...recycled\sirc32.exe bzw. get*, hot* usw.) gibt es in der Registry NICHT !!! |
|
|
|
|
|
|
16.09.2004, 16:13
Ehrenmitglied
Beiträge: 29434 |
#90
Hallo @Luvstruck
Dann ist ja alles gut. Wenn C:\Recycled\1.exe definitiv geloescht ist und die Temp-Dateien ebenfalls. Falls wieder mal was ungewohnliches auftritt, (denn der Trojaner hat Veraenderungen am System vorgenommen), die man nicht mehr rueckgaengig machen kann, dann komme ins Forum. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Antivir Ergebnis :
2147 Verzeichnisse wurden durchsucht
72870 Dateien wurden geprüft
24 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden
Bei Mwav.exe findet er gar nichs mehr !!! b.z.w. löscht nichs und benennt nichs um !!!
Ich benutze schon Firefox aber Outlook ( Firewall hab ich im Router )
nur das mit der "Systemwiederhertsllung" musste noch mal sagen !!! also austelln ??? aber warum ?
und dann bei meinen Bruder die HiJackThis sachen schick ich nachher, und sonst das selbe Programm durchführen wie ich bei mir gemacht habe ?