| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: komische dateiWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.03.2005, 10:38
| #1 |
 |  komische datei hallo leute, in meinem c:\winnt orderner liegt ne datei, die mir ein bißchen komisch vorkommt. die datei heißt "a95kfrhe.exe" kennt das dingen einer?? vielleicht auch mal der HijackThis log: Logfile of HijackThis v1.99.1 Scan saved at 10:38:30, on 04.03.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe D:\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe D:\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\ZoneAlarm\zlclient.exe D:\Rainlendar\Rainlendar.exe D:\SpybotII\SpybotSD.exe D:\firefox\firefox.exe E:\temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat5\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SpybotII\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\NetTransport 2\NTIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Zone Labs Client] "D:\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Startup: Rainlendar.lnk = D:\Rainlendar\Rainlendar.exe O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\NetTransport 2\NTAddList.html O8 - Extra context menu item: Herunterladen mit Net Transport - D:\NetTransport 2\NTAddLink.html O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{356FA0CA-8F4B-4B6C-BCC2-776A6243E97F}: NameServer = 192.168.1.1,194.25.2.129 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVScan - Symantec Corporation - D:\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe der eScan log kommt jetzt gleich... der mexx.. |
|
04.03.2005, 10:59
| #2 |
| | komische datei hallo nochmal,
__________________ich komme nicht mehr in den abgesichten modus.. der läd bei: multi(0)disk(0)rdisk(0)partition(1)\WINNT\System32\Drivers\Mup.sys nicht mehr weiter und hängt an dieser stelle... habs schon mehr mals versucht... der mexx
__________________ |
|
04.03.2005, 12:46
| #3 |
| | komische datei hier jetzt der escan log
__________________ist das was bei, was ungedingt weg muss.. dass da was in meinen dlls ist gefällt mir gar nicht.. wie bekomme ich die am besten weg? File C:\WINNT\system32\qh4mkbv9.dll infected by not-a-virus:AdWare.Sahat.l File C:\WINNT\system32\qh4mkbv9.dll infected by not-a-virus:AdWare.Sahat.l File C:\WINNT\wt\wtvh.dll infected by not-a-virus:AdWare.WildTangent.b File D:\firefox\plugins\npwthost.dll infected by not-a-virus:AdWare.WildTangent.b File D:\myIRC\mirc.exe infected by not-a-virus:RiskWare.mIRC.6.12 File E:\Tools\CoolWebScrollbars\coolscrl.exe infected by not-a-virus:AdWare.SaveNow.ar File E:\Tools\mIRC\mirc612.exe infected by not-a-virus:RiskWare.mIRC.6.12 Fri Mar 04 11:47:58 2005 => ***** Checking for specific ITW Viruses ***** Fri Mar 04 11:47:58 2005 => Checking for Welchia Virus... Fri Mar 04 11:47:59 2005 => Checking for LovGate Virus... Fri Mar 04 11:47:59 2005 => Checking for CodeRed Virus... Fri Mar 04 11:47:59 2005 => Checking for OpaServ Virus... Fri Mar 04 11:47:59 2005 => Checking for Sobig.e Virus... Fri Mar 04 11:47:59 2005 => Checking for Winupie Virus... Fri Mar 04 11:47:59 2005 => Checking for Swen Virus... Fri Mar 04 11:47:59 2005 => Checking for JS.Fortnight Virus... Fri Mar 04 11:47:59 2005 => Checking for Novarg Virus... Fri Mar 04 11:47:59 2005 => Checking for Pagabot Virus... Fri Mar 04 11:47:59 2005 => Checking for Parite.b Virus... Fri Mar 04 11:47:59 2005 => Checking for Parite.a Virus... Fri Mar 04 11:47:59 2005 => ***** Scanning complete. ***** Fri Mar 04 11:47:59 2005 => Total Files Scanned: 63801 Fri Mar 04 11:47:59 2005 => Total Virus(es) Found: 57 Fri Mar 04 11:47:59 2005 => Total Disinfected Files: 0 Fri Mar 04 11:47:59 2005 => Total Files Renamed: 0 Fri Mar 04 11:47:59 2005 => Total Deleted Files: 0 Fri Mar 04 11:47:59 2005 => Total Errors: 80 Fri Mar 04 11:47:59 2005 => Time Elapsed: 01:06:21 Fri Mar 04 11:47:59 2005 => Virus Database Date: 2005/03/04 Fri Mar 04 11:47:59 2005 => Virus Database Count: 120213 Fri Mar 04 11:47:59 2005 => Scan Completed. Fri Mar 04 12:45:04 2005 => Virus Database Date: 2005/03/04 Fri Mar 04 12:45:04 2005 => Virus Database Count: 120213 Fri Mar 04 12:45:07 2005 => AV Library Unloaded (3)... warum 80 errors???? ist das schlimm? der mexx
__________________ |
|
04.03.2005, 12:57
| #4 | |
   | komische dateiZitat:
|
|
04.03.2005, 13:32
| #5 |
| | komische datei die anderen waren die aus der norton antivir Quarantine aber heir kommen SIe : File D:\Norton AntiVirus\Quarantine\0BE76EC9.exe infected by Trojan-Downloader.Win32.INService.f File D:\Norton AntiVirus\Quarantine\0BEE547B infected by Email-Worm.Win32.NetSky.c File D:\Norton AntiVirus\Quarantine\146604CF infected by not-a-virus:AdWare.WinAD.z File D:\Norton AntiVirus\Quarantine\14FE5B15.class infected by Trojan.Java.ClassLoader.Dummy.a File D:\Norton AntiVirus\Quarantine\15E10FE6 infected by not-a-virus:AdWare.WinAD.z File D:\Norton AntiVirus\Quarantine\15E439E2 infected by not-a-virus:AdWare.WinAD.z File D:\Norton AntiVirus\Quarantine\15F750A1.exe infected by Trojan-Downloader.Win32.INService.f File D:\Norton AntiVirus\Quarantine\17330042 infected by not-a-virus:AdWare.ToolBar.OWS File D:\Norton AntiVirus\Quarantine\1D13419D infected by Exploit.HTML.Mht File D:\Norton AntiVirus\Quarantine\1E0D42CA.exe infected by Trojan-Downloader.Win32.INService.f File D:\Norton AntiVirus\Quarantine\1E3E1894.zip infected by Email-Worm.Win32.Sober.g File D:\Norton AntiVirus\Quarantine\222E26A8.exe infected by Trojan-Downloader.Win32.INService.f File D:\Norton AntiVirus\Quarantine\22FF756F.htm infected by Exploit.HTML.Mht File D:\Norton AntiVirus\Quarantine\231F194B.class infected by Trojan.Java.ClassLoader.Dummy.a File D:\Norton AntiVirus\Quarantine\251C380D.htm infected by Email-Worm.Win32.Mimail.r File D:\Norton AntiVirus\Quarantine\27F20215.exe infected by Trojan-Downloader.Win32.INService.f File D:\Norton AntiVirus\Quarantine\28000FD7.zip infected by Email-Worm.Win32.Sober.g File D:\Norton AntiVirus\Quarantine\2F225170 infected by not-a-virus:AdWare.OrbitView File D:\Norton AntiVirus\Quarantine\2F5030C4 infected by Email-Worm.Win32.NetSky.c File D:\Norton AntiVirus\Quarantine\2F932B07.class infected by Exploit.Java.Bytverify File D:\Norton AntiVirus\Quarantine\318A232B infected by Trojan-Downloader.Win32.IstBar.dw File D:\Norton AntiVirus\Quarantine\32693B1C.class infected by Trojan.Java.ClassLoader.Dummy.e File D:\Norton AntiVirus\Quarantine\356F0E0E infected by Trojan-Downloader.Win32.VB.df File D:\Norton AntiVirus\Quarantine\356F0E0E.exe infected by Trojan-Downloader.Win32.VB.df File D:\Norton AntiVirus\Quarantine\36DE2B75.class infected by Exploit.Java.Bytverify File D:\Norton AntiVirus\Quarantine\379219E2 infected by not-a-virus:PornWare.Dialer.Star File D:\Norton AntiVirus\Quarantine\3B6A7979.zip infected by Trojan.Java.ClassLoader.c File D:\Norton AntiVirus\Quarantine\3B6D2375.class infected by Trojan.Java.ClassLoader.c File D:\Norton AntiVirus\Quarantine\3D4E3CA1.class infected by Exploit.Java.Bytverify File D:\Norton AntiVirus\Quarantine\3D8608D1 infected by Trojan-Downloader.Win32.VB.df File D:\Norton AntiVirus\Quarantine\3D8608D1.exe infected by Trojan-Downloader.Win32.VB.df File D:\Norton AntiVirus\Quarantine\405429CB infected by Trojan-Downloader.Java.OpenStream.h File D:\Norton AntiVirus\Quarantine\464F371A infected by Email-Worm.Win32.NetSky.c File D:\Norton AntiVirus\Quarantine\46E9590C.class infected by Trojan-Downloader.Java.OpenConnection.v File D:\Norton AntiVirus\Quarantine\4CB02FB8.class infected by Trojan.Java.ClassLoader.z File D:\Norton AntiVirus\Quarantine\50003A0A.class infected by Trojan.Java.ClassLoader.Dummy.a File D:\Norton AntiVirus\Quarantine\509F7504 infected by Trojan-Downloader.Win32.IstBar.eh File D:\Norton AntiVirus\Quarantine\50A31F01 infected by not-a-virus:PornWare.Dialer.Star File D:\Norton AntiVirus\Quarantine\59C91F74.class infected by Trojan.Java.ClassLoader.Dummy.c File D:\Norton AntiVirus\Quarantine\5E4C1C40 infected by not-a-virus:AdWare.OrbitView File D:\Norton AntiVirus\Quarantine\63C00825.zip infected by Trojan.Java.ClassLoader.c File D:\Norton AntiVirus\Quarantine\63C33221.class infected by Trojan.Java.ClassLoader.c File D:\Norton AntiVirus\Quarantine\6BB94CFC.class infected by Trojan.Java.ClassLoader.z File D:\Norton AntiVirus\Quarantine\70136617 infected by Backdoor.Win32.Rbot.gen File D:\Norton AntiVirus\Quarantine\702D35FA infected by not-a-virus:AdWare.ToolBar.OWS File D:\Norton AntiVirus\Quarantine\720D51DD.class infected by Trojan-Downloader.Java.OpenConnection.v File D:\Norton AntiVirus\Quarantine\79643929 infected by not-a-virus:AdWare.WinAD.k File D:\Norton AntiVirus\Quarantine\7D4B45DB infected by Email-Worm.Win32.Sober.g der mexx |
|
04.03.2005, 13:50
| #6 | |
| | komische dateiZitat:
hier eine Info zu diesem Virus Mein Rat setze Dein System neu auf um wieder sicher zu sein lese auch mal über Kompromittierung
__________________ --> komische datei |
|
04.03.2005, 14:01
| #7 |
| | komische datei das ist jetzt zeimlich sch****, dass ist mein arbeitsrechner.. mein cheff würde das garnicht gerne hören, der ist von der alten schule und meint, wenn man nur auf den richtigen seiten surf, kann sowas nciht passieren.. was mache ich denn nu.... wie hoch ist denn die wahrscheinlichkeit, das andere datenen jetzt betroffen sind? und online.baking und sowas sollte ich mir auch jetzt tunlichst verkneifen odda..? |
|
04.03.2005, 14:46
| #8 | ||
| | komische dateiZitat:
Zitat:
lese es in Ruhe durch und halte Dich in Zukunft dran. Was Deine persönlichen Daten angeht solltest sie auf CD oder DVD sichern, vermeide aber ausführbare Dateien Hilfe für's Neuaufsetzen |
|
| Themen zu komische datei |
| antivirus, bho, datei, dateien, drivers, escan, explorer, file missing, firefox, hijack, hijackthis, hijackthis log, hotkey, internet, internet explorer, log, microsoft, monitor, programme, rundll, rundll32.exe, security, security center, settings manager, software, symantec, system, system32, temp, windows |
Linear-Darstellung
