|
Plagegeister aller Art und deren Bekämpfung: was tunWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.08.2005, 15:35 | #1 |
| was tun ich erhalte beim scan mit a-squared die Meldung von meinem a-Virusprogramm Backdoor Win 32/ RC Bot fa. in C:/System Volume Restore |
24.08.2005, 15:37 | #2 |
| was tun Poste bitte ein HijackThis Log hier her,Download und Anleitung auf http://filepony.de/download-hijackthis/
__________________ |
24.08.2005, 15:55 | #3 |
| was tun Sorry ,Habe gescant und gespeichert .Wie poste ich ?
__________________ |
24.08.2005, 16:00 | #4 | |
| was tunZitat:
Natürlich hier her,damit wir das sehen können,kopieren und in der Antwort mit einfügen.... |
24.08.2005, 16:03 | #5 |
| was tun Logfile of HijackThis v1.99.1 Scan saved at 15:51:12, on 24-08-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\a2\a2guard.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\DLL-Scan\DllScan.exe C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe C:\WINDOWS\System32\alg.exe C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=pop.netvisao.pt:25;gopher=pop.netvisao.pt:25;http=pop.netvisao.pt:25;https=pop.netvisao.pt:25 O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [Wyiwzn] C:\Program Files\Yruz\Zfgx.exe O4 - HKLM\..\Run: [SIPPS] C:\Programme\WEB.DE\FreePhone\SIPPS.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe" O4 - Startup: DLL-Scan.lnk = C:\Programme\DLL-Scan\DllScan.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-Secure Anti-Virus\backweb\154149\Program\ServiceWrapper-154149.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe |
24.08.2005, 16:08 | #6 |
| was tun Überprüfe bei Jotti folgende Dateien online und poste das gesamte Ergebnis hier her: C:\Program Files\Yruz\Zfgx.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\DLL-Scan\DllScan.exe http://virusscan.jotti.org/de/ |
24.08.2005, 16:15 | #7 |
| was tun koennt ihr damit was anfangen ? Jettzt weiss ich zumihdest was posten ist Hatte sich bis Portugal noch nicht rumgesprochen |
24.08.2005, 16:24 | #8 |
| was tun Willst du mich veralbern hier? Wenn du auf die Seite von Jotti gehst hast du oben ein schmales Fenster vorein du die Pfade kopierst und dann auf Hochladen gehst! Nach einer Weile kommt das Ergebnis und dies kopierst du für jede Datei einzeln hier her,so schwer is das net! |
24.08.2005, 17:00 | #9 |
| was tun Nr 2 kein Virus Nr 3 the file you uploaded is 0 bytes . It is very likely a firewall or a piece of malware is prohibiting you from uploadig this file |
24.08.2005, 17:02 | #10 |
| was tun Nr 1 wie Nr 3 |
24.08.2005, 17:03 | #11 | |
| was tunZitat:
__________________ Sagamore |
24.08.2005, 17:34 | #12 |
| was tun Datei: SOINTGR.EXE Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden |
24.08.2005, 17:37 | #13 |
| was tun Danke fuer den Tip . Probiere es spaeter mal aus . Danke auch allen anderen |
Themen zu was tun |
backdoor, bot, erhalte, meldung, restore, scan, volume, was tun, win |