|
Log-Analyse und Auswertung: tv media und mehr.....Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.11.2004, 22:53 | #1 |
| tv media und mehr..... Hi Ganz ehrlich: leider muss ich jetzt dieses board auch selber benutzen... nix mehr mit nur lesen. *gg* Denn ich hab mir gestern mit einer gewissen .exe datei gleich mal einige Spyware und troyaner eingefangen... ich hab jetzt scho einige stunden am pc rumgebastelt. einiges hab ich löschen können. aber an tv media scheitere ich immer wieder und ich fürchte es sind auch noch ein paar andere progs... könnt ihr mir vielleicht helfen, wie ich die am besten wieder weg bekomm???? hier mal mein log von Hijack This: Logfile of HijackThis v1.98.2 Scan saved at 22:50:36, on 23.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\Explorer.EXE D:\Grisoft\AVGFRE~1\avgamsvr.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Grisoft\AVGFRE~1\avgupsvc.exe D:\ßLogitech\iTouch\iTouch.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\System32\MsPMSPSv.exe D:\Winamp 5\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\Messenger\msmsgs.exe D:\Pulse\Pulse.exe D:\Opera\opera.exe D:\WinRAR\WinRAR.exe D:\shared\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINNT\System32\SearchBar.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/ R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing) O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\WS_FTP Pro\wsbho2k0.dll O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:\WINNT\neti.dll O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - C:\WINNT\3_0_1browserhelper3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:ßLogitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] D:\Winamp 5\winampa.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVG7_CC] D:\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Pulse] D:\Pulse\Pulse.exe -splash O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{D5C45E1A-D091-4ED1-B83C-FCBA3370FA13}: NameServer = 209.47.15.118,64.157.143.38, O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1 ich hoff ihr könnt mir helfen!!! thx schon mal clee Geändert von clee (23.11.2004 um 23:01 Uhr) |
23.11.2004, 23:48 | #2 |
| tv media und mehr..... @ clee
__________________besser aufpassen beim lesen ;-) Eigentlich hättest Du wissen können und müssen, dass wir mit dem SP1 nicht zufrieden sind, also --> Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com bitte überprüfe mit virusscan.jotti.dhs.org: D:\Pulse\Pulse.exe teile uns das Ergebnis der Überprüfung mit. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file) O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing) O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:\WINNT\neti.dll O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - C:\WINNT\3_0_1browserhelper3.dll O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen: (Häk'chen setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINNT\System32\SearchBar.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.web.de/ R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll boote in den normalen Modus. beende: Tvm.exe lösche: C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL C:\WINNT\neti.dll C:\WINNT\3_0_1browserhelper3.dll C:\Programme\TV Media\Tvm.exe Aktiviere die Systemwiederherstellung. Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Öffne die "mwav.log" und teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, die Namen der Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt? Erstelle dann ein weiteres Hijack This Logfile und poste es. SD |
24.11.2004, 14:50 | #3 |
| tv media und mehr..... hi SD!
__________________hab jetzt gestern nacht des tv media teil doch noch runter bekommen. nach so ner englischen anleitung (http://forums.devshed.com/t159811/s....hlight=tvm.exe). ich hoff ich hab alles richtig gemacht. was ich genau gemacht hab: 1. tvm.exe beenden (war scho beendet. also doch nicht *gg*) 2. hijack this: das gefixt: O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file) O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:\WINNT\neti.dll O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office10\OSA.EXE 3. in den abgesicherten modus gebootet und dann C:\Programme\Tv Media gelöscht. das wars schon. und es hat funktioniert! ich hab danach nochmal hijack this durchlaufen lassen, das log online auswerten lassen, und dann noch das gefixt: O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing) O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - C:\WINNT\3_0_1browserhelper3.dll R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINNT\System32\SearchBar.htm So in etwa hab ich des alles gemacht. ich kann mich nicht mehr so genau erinnern, ob ich auch ganz genau das gefixt hab, bzw, hab ich noch ein zwei sachen mehr gefixt. so, jetzt zu dem ganzen zeugs, was du mir noch so geraten hast: sp2. ja, das hatte ich auch schon auf dem pc. allerdings hat dann mein internet nicht mehr funktioniert. ich hab den fehler nie gefunden, deswegen hab ichs wieder deinstalliert. (und inzwischena auch mein system neu aufgesetzt...) pulse.exe ist ein kleines programm, das ich immer benutz, es enthält ziemlich sicher keine viren. habs jetzt aber au nicht geprüft.... C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL hab ich schon vorher irgendwann gelöscht.. hab halt nur gemerkt, dass es nicht von mir war... C:\WINNT\neti.dll hab ich nicht gefunden. auch nicht mir der suchfunktion... C:\WINNT\3_0_1browserhelper3.dll das gleiche wie mit neti.dll C:\Programme\TV Media\Tvm.exe wie gesagt: der ganze ordner ist schon weg.... eScan und ein weiteres hijack this log werd ich gleich mal machen... soweit mal thx!!! clee |
24.11.2004, 17:44 | #4 |
| tv media und mehr..... so, bin jetzt endlich dazu gekommen, die beiden teile durchlaufen zu lassen. hier die logs: hijack this: Logfile of HijackThis v1.98.2 Scan saved at 17:42:09, on 24.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\Explorer.EXE D:\Grisoft\AVGFRE~1\avgamsvr.exe D:\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\ßLogitech\iTouch\iTouch.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\System32\MsPMSPSv.exe D:\Winamp 5\winampa.exe D:\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\Messenger\msmsgs.exe D:\Pulse\Pulse.exe D:\Office\Office10\OUTLOOK.EXE D:\Office\Office10\WINWORD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Opera\opera.exe D:\WS_FTP Pro\wsftpgui.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\System32\svchost.exe C:\bases\mwavscan.com C:\bases\kavss.exe D:\shared\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:ßLogitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] D:\Winamp 5\winampa.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [AVG7_CC] D:\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Pulse] D:\Pulse\Pulse.exe -splash O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1 beitrag zu lang.... der escan is im nächsten post... |
24.11.2004, 17:58 | #5 |
| tv media und mehr..... so, habs jetzt aufgegeben, des log als thread reinzuschreiben. denn der letzte abschnitt war immer noch zu lang.... ich habs jetzt einfach mal hier als .txt datei reingestellt, falls es doch wichtig ist.....: http://web487.server2.dce4u.de/escan.txt aja, und ich hätts jetzt fast vergessen: anzahl der viren: 117 desinfizierte dateien: 0 gelöschte dateien: 18 unbenannte dateien: 2 fehler: 3 |
24.11.2004, 18:53 | #6 |
| tv media und mehr..... jetzt muss ich leider immer mehr finden, was nicht mehr geht: 1. ich kann die windowsupdate seite nicht mehr öffnen 2. ich kann beim IE nicht mal mehr unter internetoptionen gehen: Dieser Prozess wurde auf Grund von Einschränkungen die für Ihren Computer gelten abgebrochen. Wenden Sie sich an den Systemadministrator..... ahh!!! kann mir irgendjemand sagen, was noch zu tun ist?? vielen dank im voraus!!! clee |
25.11.2004, 22:55 | #7 |
| tv media und mehr..... mh, irgendwie will mir hier leider keiner mehr antworten.... vielleicht liegts daran, dass der eScan so lang ist??? ich bin den jetzt mal selber durchgegangen und fass jetzt mal kurz zusammen, da ziemlich vieles doppelt bzw. noch öfter vorkommt: File C:\WINNT\System32\angelex.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken. ...(seeeehr oft) File C:\WINNT\label.exe infected by "Trojan.Win32.StartPage.nv" Virus. Action Taken: File Deleted. ...(7x) File C:\WINNT\system32\cnbjmon2.exe tagged as not-a-virus:AdWare.ToolBar.VB.a. No Action Taken. File C:\WINNT\system32\in10b6s.dll tagged as not-a-virus:AdWare.EZula.m. No Action Taken. File C:\WINNT\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File C:\MemoryWatcher_b.exe infected by "Backdoor.VB.oq" Virus. Action Taken: File Renamed. File C:\Overpro-347.exe tagged as not-a-virus:AdWare.ToolBar.VB.a. No Action Taken. File C:\SEPinst.exe infected by "Trojan.Win32.Septic.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0005966.exe infected by "Trojan.Win32.VB.od" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006018.exe tagged as not-a-virus:AdWare.EZula. No Action Taken. ...(2x) File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006055.dll tagged as not-a-virus:AdWare.ToolBar.FWN.a. No Action Taken. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006073.exe tagged as not-a-virus:AdWare.PurityScan.v. No Action Taken. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006075.exe tagged as not-a-virus:AdWare.Midadle.b. No Action Taken. ...(3x) File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006082.exe tagged as not-a-virus:AdWare.MediaTickets.h. No Action Taken. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006090.exe tagged as not-a-virus:AdWare.WinFetcher.c. No Action Taken. ...(2x) File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006092.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken. ...(2x) File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006094.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006095.exe tagged as not-a-virus:AdWare.ToolBar.FWN.a. No Action Taken. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006096.exe tagged as not-a-virus:AdWare.TotalVelocity.v. No Action Taken. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006159.dll infected by "Trojan.Win32.Septic.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006160.exe tagged as not-a-virus:AdWare.F1Organizer.n. No Action Taken. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006474.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006475.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006505.exe infected by "Backdoor.VB.oq" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006506.exe infected by "Trojan.Win32.Septic.a" Virus. Action Taken: File Deleted. File D:\Opera\profile\cache4\opr02EYC.exe tagged as not-a-virus:PornWare.Dialer.PluginAccess.gen. No Action Taken. File D:\shared\backups\backup-20041123-235132-521.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted. File D:\shared\backups\backup-20041123-235132-785.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted. File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006031.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken. File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006507.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted. File D:\File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006031.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken. File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006507.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted. File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006508.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted.\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006508.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted. so, ich hab bei einigen dateien noch die anzahl hinten dran geschrieben. was mich jetzt selber wundert ist, dass fast alle dateien im Ordner "System Volume Information" liegen?? was ist das für ein Ordner?? ich kann nicht darauf zugreifen, nur über einen direktlink in einen _restore{...} Ordner. Ist mein System eigentlich überhaupt noch zu retten?? oder muss ich es neu aufsetzen?? das wäre extrem sch... äh blöd. vielleicht antwortet ja jetzt mir jemand.. wär schön! clee |
27.11.2004, 22:38 | #8 | |
| tv media und mehr..... Hallo clee, tut mir leid, dass Du noch keine Antwort bekommen hast. Dein Posting ist leider untergegangen, und ich hatte in den letzten Tagen keine Zeit, mit zu lesen. Ich führe hier in Wiederholung Deines Postings die wichtigsten und schlimmsten Viren auf .... Zitat:
Trojan.Win32.Septic.-, Troj/SpyVB-, Troj/Delf- bitte jeweils "Erläutert" und "Erweitert" beachten. Du hattest etliche Viren mit Backdoor-Funktionalität auf Deinem System. Das bedeutet, dass Dein System kompromittiert ist und formatiert werden sollte. Beachte hierzu bitte den Rat von Lutz zu Datensicherung und Cidre's Rat. Es reicht leider nicht, Würmer mit Backdoor-Funktionalität zu löschen, siehe dazu Entfernung von Schädlingen und Kompromittierung unvermeidbar?. Hier findest Du vielleicht eine Antwort zu Deiner Frage zum Ordner "System Volume Information". SD |
28.11.2004, 17:41 | #9 |
| tv media und mehr..... mh, damit dass ich mein System neu aufsetzen hab ich jetzt schon ziemlich gerechnet. Ich versteh auch ganz klar warum, und hab mir auch die ganzen Links und Begründungen durchgelesen. Aber wie gefährlich sind/können die Reste auf meinem System (sein)??? Ich meine, ich geh jetzt einfach mal davon aus, dass ich einer von seeehhhr vielen (schätze mehrere hundert täglich) war, der dieses "Packet" von Trojanern und Viren heruntergeladen und ausgeführt hat. Naja, und ich denke ich gehöre zu wenigen, die das sofort gemerkt haben, und innerhalb von 2-3 Tagen "alles" wieder deinstalliert haben. Ich denke da einfach, da würde doch dann jeder "Hacker" eines von den vielen, noch total verseuchten Systemen bevorzugen. Zur ganz konkreten Frage: Wäre es sehr gefährlich und fahrlässig, wenn ich jetzt dieses System noch ein, zwei Monate drauf lassen würde? Gerade, weil ich einige Homepages mache und daher FTP-Verbindungen sehr oft benutze? Klar, ich werde hier nicht mehr die Onlinebanking-Seite aufrufen, aber ich will/kann grad nicht meinen Pc schon wieder formatieren. Das letzte mal ist erst einige Wochen her... Jaaaa, so wird man bestraft, wenn man keine Backups macht. Das werde ich ab jetzt aber auf jeden Fall anfangen. clee |
28.11.2004, 17:51 | #10 | |||
| tv media und mehr.....Zitat:
Zitat:
Zitat:
|
30.11.2004, 19:43 | #11 |
| tv media und mehr..... ok. Ich werde das System wohl in nächster Zeit neu aufsetzen. Und bis dahin, nur noch wenn es wirklich sein muss online gehen (hab hier noch einen anderen PC zur Verfügung). Das mit den 2 Backdoors hab ich auch noch (zu) gut in Erinnerung, aber ich frage mich halt immer noch, wie hoch die Wahrscheinlichkeit ist, dass der "Hacker" es wirklich ganz genau auf mein System abgesehen hat. Ich kann hier meinen PC nicht so einfach formatieren, da ich gerade für ein halbes Jahr in Frankreich lebe. Aber gut, ich habe es jetzt schon einmal geschafft (wenn auch mit Problemen) da werde ich es wohl auch noch ein zweites mal schaffen. Naja, die dummen "Wahrscheinlichkeits-spielchen" (wird mein system benutzt - wird es nicht - oder doch...... ) langen mir jetzt auch. Ich denke spätestens nächstes Wochenende ist er dran. Und bis dahin praktisch kein Internet mehr auf diesem PC. So bedanke ich mich noch mal für eure Hilfe!!! Ohne euch würde der PC wohl noch viiiieeel zu lange laufen, ohne formatiert zu werden... clee |
Themen zu tv media und mehr..... |
.exe, .exe datei, adobe, dateien, excel, explorer, file missing, helfen, hijack, hijack this, hijackthis, icq, immer wieder, internet, internet explorer, log, löschen, mein log, messenger, microsoft, object, opera, programme, software, spyware, sun java, system, system32, tcpip, troyaner, urlsearchhook, wieder weg, windows, windows xp |