| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner VBS.Psyme.x und JS.MinerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.06.2005, 16:55
| #1 |
| |  Trojaner VBS.Psyme.x und JS.Miner Hallo Zusammen! Ich habe mit Kasperssky VBS.Psyme.x und JS.Miner entdeckt. Eine automatische Desinfektion ist allerdings fehlgeschlagen. Als ich versucht habe, dem angezeigten Pfad manuell zu folgen C:\Doku..\Temporary Internet Files\Content.IE5\S1INSLEZ\Count[1].chm musste ich feststellen, dass es diesen Pfad im Explorer gar nicht gibt, obwohl ich auch die versteckten Dateien hab anzeigen lassen. Kann mir vielleicht jemand weiterhelfen. Bin im Umgang mit Viren blutiger Amateur, deshalb wäre eine technisch simple Antwort nett. Vielen Dank! |
|
01.06.2005, 17:01
| #2 |
   | Trojaner VBS.Psyme.x und JS.Miner Hi,
__________________diesen Pfad sollte es schon geben versuch es noch mal mit der Einstellung Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK" Zur Datenträgerbereinigung: Lade ClearProg Haken setzen bei alles löschen und auf ok.
__________________ |
|
01.06.2005, 17:17
| #3 |
| | Trojaner VBS.Psyme.x und JS.Miner Hi, habe die Einstellung vorgenommen, allerdings wird der ordner immer noch nicht angezeigt, auch über "suchen" ist zwecklos. wenn ich clearprog anklicke, öffnet sich eine internetseite und ein sql-fehler wird angzeigt. wie ist das genaue vorgehen. danke im voraus.
__________________ |
|
01.06.2005, 17:30
| #4 |
| | Trojaner VBS.Psyme.x und JS.Miner erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung |
|
01.06.2005, 17:45
| #5 |
| | Trojaner VBS.Psyme.x und JS.Miner Logfile of HijackThis v1.99.1 Scan saved at 18:43:37, on 01/06/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp3\winampa.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe F:\Office2000\Office\1031\OLFSNT40.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = F:\Office2000\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = F:\Office2000\Office\1031\OLFSNT40.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1117636579553 O17 - HKLM\System\CCS\Services\Tcpip\..\{12CC5987-6135-4289-8E78-E79F4813E4F5}: NameServer = 195.50.140.250 145.253.2.174 O17 - HKLM\System\CS1\Services\Tcpip\..\{12CC5987-6135-4289-8E78-E79F4813E4F5}: NameServer = 195.50.140.250 145.253.2.174 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe |
|
01.06.2005, 18:05
| #6 |
| | Trojaner VBS.Psyme.x und JS.Miner Du solltest unbedingt Dein System updaten Windowsupdate oder CD-Bestellung SP2 ansonsten sehe ich nichts auffälliges. Du kannst noch folgende zwei Einträge mit HJT fixen: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm und von Hand die datei löschen: C:\WINDOWS\web\related.htm Um den Pad zu finden kannst du auch noch folgendes versuchen: Lade den Total Commander und nehme folgende Einstellung vor: Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA) Führe mal noch folgendes aus wenn Clearprog bei dir nicht funtioniert: Windowstaste+R --> cleanmgr --> <enter> klick bei Temp klick bei temporary internet files klick bei papierkorb ok Du solltest auch auf sichere Browser umsteigen und IE nur noch für Windowsupdates verwenden http://filepony.de/download-opera/ http://www.mozilla.org/
__________________ --> Trojaner VBS.Psyme.x und JS.Miner Geändert von Gigamail (01.06.2005 um 18:20 Uhr) Grund: TotalCommander Ergänzung |
|
| Themen zu Trojaner VBS.Psyme.x und JS.Miner |
| angezeigte, antwort, anzeige, anzeigen, automatische, content.ie5, dateien, entdeck, explorer, files, folge, hallo zusammen, interne, internet, manuell, simple, stelle, temporary, troja, trojaner, versteckte, versteckten, versucht, viren, zusammen |
Linear-Darstellung
