| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/LowZones.FAWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.08.2005, 09:01
| #1 |
| |  TR/LowZones.FA hallo, mein antivir bringt ständig die meldung. trojaner TR/LowZones.FA entdeckt und unterbricht die leitung ins netz. dann klick ich auf löschen und 5 min später passiert das selbe. ich hab schon gegoogelt, aber nur rausgefunden der dieser trojaner was mit dem ie macht, aber nicht wie ich dieses mistding wegbekomme. bitte um rat für einen noob. danke |
|
31.08.2005, 09:13
| #2 |
| | TR/LowZones.FA MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
__________________Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\CLJ1500\Toolbox\HPPOUMUI.EXE C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Hewlett-Packard\CLJ1500\Toolbox\HPPOUMUI.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\Mixer.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\WINDOWS\MXOALDR.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\plugin.exe C:\Programme\Dantz\Retrospect\retrorun.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Status Monitor CLJ1500] C:\Programme\Hewlett-Packard\CLJ1500\\Toolbox\HPPOUMUI.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [DOS Security Service] dos.pif O4 - HKLM\..\RunServices: [DOS Security Service] dos.pif O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\byypfbq.exe O4 - HKCU\..\Run: [DOS Security Service] dos.pif O4 - HKCU\..\RunServices: [DOS Security Service] dos.pif O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1731C26D-14B6-4114-AFDE-EE183C7C9957}: NameServer = 217.237.151.161 217.237.151.33 O17 - HKLM\System\CCS\Services\Tcpip\..\{C6679905-A1C7-4406-AC99-3A66383E37F7}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{1731C26D-14B6-4114-AFDE-EE183C7C9957}: NameServer = 217.237.151.161 217.237.151.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: plugin - Unknown owner - C:\WINDOWS\plugin.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe |
|
31.08.2005, 09:20
| #3 |
   | TR/LowZones.FA ich rechne hier mit einem backdoor..
__________________lass die datei c:\windows\system32\dos.pif bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis. warum hast du außerdem nicht auf sp2 geupdatet? würde ich schnellstens nachholen. abgesehen davon sollten die ersten 3 zeilen schon vorhanden sein bei einem hjt-logfile. also nächstes mal ganz kopieren und einfügen. |
|
31.08.2005, 22:03
| #4 |
| | TR/LowZones.FA ich kann so gut wie nichts mehr an dem rechner machen, da sofort nach ca 1 minute die verbindung wieder unterbrochen wird. ich hab die datei hochgeladen und die ersten 3 oder 4 programme haben nichts entdeckt, bis dann wieder die verbindung ins netz unterbrochen wurde. bitte helft mir die sau weg zu bekommen. gruss grease |
|
31.08.2005, 23:54
| #5 |
 | TR/LowZones.FA Hallo greasegun, in Deinem System ist/war u.a. der aktiv: http://www.sophos.de/virusinfo/analy...ojbdoorav.html Grund für den Befall ist Dein nicht aktuelles Betriebssystem, SP 2 und alle weiteren Updates müssen installiert sein. Bei einem Trojaner mit Backdoorfunktionalität (und Du hast mehrere) wird Dir dringend zur Neuinstallation geraten. http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Botnet http://de.wikipedia.org/wiki/Backdoor Empfohlene Anleitung zur Neuinstallation http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 dartus
__________________ Kein Support per PN |
|
| Themen zu TR/LowZones.FA |
| antivir, entdeck, entdeckt, klick, leitung, löschen, min, troja, trojaner, unterbricht |
Linear-Darstellung
