|
Plagegeister aller Art und deren Bekämpfung: FrancetteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.12.2004, 13:06 | #1 |
| Francette Mein System: Laptop mit Window XP Professional, SP 2 Antivir vor einer Woche installiert, Wurm vorher nicht bemerkt. Brower: IE und Mordzilla SmartSufer von Web.de Bekam den Rechner vom Büro geschenkt. Ev. war der Trojaner Francette schon droben. Vor einer Woche schlug die Firewall an und zeigte etwas mit windv an. Ich fuhr den Rechner runter, startete, seitdem komme ich nicht oder nur für 6 - 7 Min. ins Internet, danach wird der Server nicht mehr gefunden. Die Seiten brauchen ewig zum laden. Erst komplettes Herunterfahren und neu starten ermöglicht weitere 6 Min surfen Ein oder zweimal hat wie in diesem Forumsbeitrag über Francette http://www.trojaner-board.de/showthread.php?t=6873 antivir Francette angezeigt. Ein Scan ergab jedoch einen virenfreien Rechner. Hat das nicht mehr problemlos Surfen können mit Francette zu tun? Ich werde am Wochenende nach dem o.g. Beitrag vorgehen und bei Bedarf auf eure Hilfe zurückkommen. Wunderbar hilfreiche Webseite. Kompliment! |
16.12.2004, 13:42 | #2 |
| Francette Hallo Ellen_t,
__________________kannst Du bitte zunächst ein aktuelles (v1.99.0) Hijack This Logfile erstellen (www.hijackthis.de) und hier posten? Wir tun unser Bestes, um Dir dann weiter zu helfen. SD |
16.12.2004, 23:14 | #3 |
| Francette Logfile of HijackThis v1.99.0
__________________Scan saved at 19:13:25, on 16.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\atievxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\windrv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe E:\Freeware\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.xxx.de/xxx;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [] windrv.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [] windrv.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.de O17 - HKLM\Software\..\Telephony: DomainName = xxx.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE Hoffe, ich kann abschicken, rechner stürzt ständig ab. PS: Die xxx stehen für den Namen meines AG. Das will ich hier nicht so gerne veröffentichen. Hoffe, es it ok. |
16.12.2004, 23:31 | #4 |
| Francette Fixxe folgende Einträge: C:\WINDOWS\system32\windrv.exe--> das ist der Übeltäter-ist wahrscheinlich dieser O4 - HKLM\..\Run: [] windrv.exe O4 - HKLM\..\RunServices: [] windrv.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.de O17 - HKLM\Software\..\Telephony: DomainName = xxx.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de Starte dann im abgesicherten Modus bei deaktivierter systemwiederherstellung und lösche fol.genden Eintrag: C:\WINDOWS\system32\windrv.exe Starte wieder neu , aktiviere die systzemwiederherstellung und poste einen neuen Log. Geändert von cronos (16.12.2004 um 23:45 Uhr) |
17.12.2004, 08:51 | #5 |
| Francette Vielen 1000 Dank , das mache ich, wenn ich wüsste, was fixen ist. Hast du mir bitte einen Link, wo ich das nachlesen kann? Seitdem die Firewall vor ein paar Tagen anschlug und genau diese Datei anzeigte windrv habe ich Probleme. Sie steht wie folgt im System windrv.exe-016DBD2E-pf Seltsam finde ich nur, dass trotz Firewall der Virus/Trojaner jetzt auf dem Rechner ist. EInes ist sicher, ich habe ihn nicht von einer Mail oder einem Pseudopatch wie unter "hier" beschrieben |
17.12.2004, 09:23 | #6 |
| Francette Fixxen bedeutet: Du startest HijackThis, drückst den Button "Scan", machst ein Häkchen bei den o.g. Dateien und klickst anschliesssend den Button "Fix Checked" |
17.12.2004, 11:21 | #7 |
| Francette Hole dir bitte E-Scan, update und scanne wie beschrieben, poste dann die gefundenen Schädlinge. http://www.trojaner-board.de/42731-escan-anleitung.html Falls es sich nämlich um eine Variante des von cronos geposteten Trojaners handelt (du kannst mal überprüfen, ob die anderen genannten Dateien bei dir vorhanden sind), ist es. fürchte ich, mit fixen allein nicht mehr getan. Eine Firewall nützt dir gegen Infektionen dieser Art im Übrigen gar nichts, das ist eine der leiter weit verbreiteten Fehlinformationen über diese Software. Sie kann idR nicht verhindern, dass du die Schädlinge auf den Rechner bekommst und sie installierst, sondern eventuell eine Kontaktaufnahme nach Außen verhindern. Du solltest dies mal durcharbeiten: http://www.mathematik.uni-marburg.de...ompromise.html |
17.12.2004, 12:08 | #8 | |
| FrancetteZitat:
Wenn es mit fixen alleine nicht mehr getan ist, was kommt auf mich zu? Rechner platt machen und neu installieren? Wenn ja, tolles Weihnachtsgeschenk |
17.12.2004, 12:18 | #9 |
| Francette Ich meinte die Dateien, die als weitere bestandteile dieses Schädlings im von cronos geposteten Link genannt sind. http://www.sophos.de/virusinfo/analyses/w32dumarua.html Falls es sich tatsächlich darum handelt, würde ich in der Tat eine Neuinstallation empfehlen, denn dein System wäre nicht mehr vertrauenswürdig. Aber überprüfe erst mal wie angesprochen alles mit E-Scan. |
17.12.2004, 14:47 | #10 |
| Francette Danke, hab verstanden. Noch eine nicht dumme aber vielleicht naive Frage: Wenn ich eine Systemwiederherstellung durchführe vor dem windrv.exe Befall, ich weiß das Datum, dann habe ich nur den bisher nicht aktiven Francette drauf, den ich dann löschen könnte. Würde das denn mit der Systemwiederherstellung funktioneren? Ellen |
17.12.2004, 15:28 | #11 |
| Francette Auch mit der Systemwiederherstellung gibt es keine absolute Sicherheit mehr. Die besondere Gefährlichkeit dieser Art von Schädlingen liegt darin, dass jemand von Außen Zugriff auf deinen Rechner haben und dort alles manipulieren konnte. Was genau, ist nur sehr schwer nachzuvollziehen und zumindest für einen Laien zu umständlich. Deswegen ist eine Neuinstallation anhand bestimmter Regeln die einfachste Möglichkeit ein definitiv sauberes System wiederzubekommen. auf dem aufbauend man dann auch seine Surfgewohnheiten ändern kann. Aber bevor wir diese letzte Möglichkeit in Betracht ziehen, solltest du nun wirklich erst mal E-Scan verwenden und überprüfen, ob der Verdachte berechtig ist. |
18.12.2004, 23:52 | #12 |
| Francette 1. Das wird nach eScan angezeigt File C:\Programme\AVPersonal\INFECTED\LOL.DLL.VIR infected by "TrojanSpy.Win32.Xpyout.a" Virus. Action Taken: No Action Taken. Wollt ihr das gesamte Protokoll sehen, was alles gescannt wurde? 2. Im abgesicherten Modus starten. Mein Login Ellen + PW ging nicht (AdminStatus). Ich wurde mit diesem Login ständig nach dem DomainName gefragt, konnte aber nichts eingeben. Es war nur die Möglichkeit den Loginnamen und das PW einzugeben gegeben. Erst als ich das AdminPasswort änderte (es ist auch ein Admin Account mit adminStatus angelegt) und dann nochmals einloggte, ging's nach einigen Versuchen. 3. windrv.exe war im abgesicherten Modus nach dem fixen mit Highjackthis nicht mehr unter windows/system32 auffindbar. Aber nach einem gezielten Suchen über den Exporer fand ich die Datei im Pfad c:/windows/prefetch mit der Bezeichnung windrv.exe-016DBD3E.pf. Löschen im abgesicherten Modus? Ohne Systemwiederherstellung? 4. Folgende Dateien fand ich nicht: dllreg.exe load32.exe vxdmgr32.exe 5. Anbei das letzte Highjackthis Protokoll nach eScan. Logfile of HijackThis v1.99.0 Scan saved at 23:40:20, on 18.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\atievxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe E:\Freeware\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.xxx.de/xx;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.de O17 - HKLM\Software\..\Telephony: DomainName = xxx.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE 6. Danke, danke, danke. Wie kann ich mich erkenntlich zeigen für eure Hilfe und die, die noch folgen wird? 7. Bitte um weitere Anweisungen. Vielen Dank. |
19.12.2004, 00:18 | #13 |
Gast | Francette Leere den AntiVir-Infected-Ordner. Aktivieren "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen". Suche die Dateien nochmals. |
19.12.2004, 01:27 | #14 |
| Francette Äh, und wie mache ich das? "Leere den AntiVir-Infected-Ordner." Ich kenne mich zwar gut mit Word, Excel, PPT und Outlook aus, aber hier versagen meine spärliche Kenntnissse. Der Rest: Aktivieren "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen". Suche die Dateien nochmals." ist klar. Danke. Und, hurray, ich kann wieder normal online gehen, ohne dass nach 6 Min. die Onlineverbindung abstürzt. Welch ein vorweihnachtlicher Segen. |
19.12.2004, 01:30 | #15 | |
Administrator, a.D. | FrancetteZitat:
|
Themen zu Francette |
brauche, firewall, france, herunterfahren, hilfe, hilfreiche, installiert, internet, laptop, neu, neu starten, nicht mehr, problemlos, professional, rechner, runter, scan, seite, seiten, server, starten, system, trojaner, web.de, window xp, woche, wurm |