|
Log-Analyse und Auswertung: Rechner kompromittiert?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.02.2006, 19:30 | #1 |
| Rechner kompromittiert? Hallo, seit vorgestern drehe ich am Rad ... Habe nach etwas längerer Zeit mal wieder einen Totalscan meines Rechners mit Antivir gemacht und prompt einen Virus an drei Stellen gefunden: Worm/Robobot gefunden in: C:\Aktuell\AP SSB\install.exe C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe C:\Netzwerk\install.exe Die drei Dateien hatten übrigens das Datum 13.12.2005. Ich habe sie zunächst mit Antivir gelöscht und in Quarantäne verschoben. Dann etwas gegoogelt und bei Kaspersky folgendes gefunden: Worm/Robobot Aliases Backdoor.Win32.Robobot.b (Kaspersky Lab) auch bekannt als: Trojan.Proxy.106 (Doctor Web), Troj/ Bdoor-T (Sophos), DDoS:Win32/Boxed.T (RAV), Worm/Robobot (H+BEDV), Backdoor.Robobot.B (SOFTWIN), W32/Dedler.R.worm (Panda), Win32/Webus.C (Eset) Datum: Wann entdeckt? 15 Jan 2005 behavior: Backdoor Für dieses Schadprogramm gibt es keine Beschreibung. Beim Weitersuchen bin ich auf eure Site gelangt und habe dort stundenlang gelesen (nur leider nicht alles kapiert - halt typischer ONU). Als erstes habe ich meinen PC aus dem Netz genommen (LAN-Verbindung daktiviert) und bei deaktivierter Systemwiederherstellung in den abgesicherten Modus gebracht. Ich schreibe im Moment vom Notebook aus (das möglicherweise auch verseucht ist, obwohl Antivir nichts gefunden hat, aber darum kümmere ich mich dann später ...). Dann einen eScan durchgeführt (dauerte mehr als 6 Stunden - ist das normal?) Der hat den Robobot-Wurm zwar nicht mehr gefunden, dafür aber folgendes: Virus Protokoll Information: Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\WINDOWS\$NtServicePackUninstall$\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Alte HDD\Boot (C)\Dokumente und Einstellungen\Eva\Lokale Einstellungen\Temp\fna03464.txt infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Alte HDD\Boot (C)\WINDOWS\ServicePackFiles\i386\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Alte HDD\Boot (C)\WINDOWS\system32\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Backup Alt-PC\Laufwerk D\T-Online 3.0\EMAIL2\1WLEZ1PG.5CH\Ablage.dat infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Backup Alt-PC\Laufwerk D\T-Online 3.0\EMAIL2\BACKUP\Ablage.dat infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Ich kann auch gerne noch die relevanten Ausschnitte aus dem Logfile posten. Insgesamt hat er 7 Viren (s.o.) und 14 Fehler (was ist das?) gefunden. Den Marker habe ich schon lange im System und werde ihn nicht los, weil er in meinen alten Email-Backups hängt - von wo aus er hoffentlich keinen Schaden anrichten kann. Über den Trojaner habe ich folgendes gefunden: Trojan.Win32.Agent.on Andere Version: .cp Datum: Wann entdeckt? 04 Feb 2006 Behavior: Trojan Für dieses Schadprogramm gibt es keine Beschreibung. Heißt das, er ist am Tag seiner Entdeckung schon bei mir untergekrochen? Kreisch! Danach habe ich auch noch den HJT Scan gemacht. Hier das Ergebnis: Logfile of HijackThis v1.99.1 Scan saved at 23:04:34, on 04.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Explorer.EXE C:\DOKUME~1\1\LOKALE~1\Temp\mexe.com C:\DOKUME~1\1\LOKALE~1\Temp\kavss.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Works\MSWorks.exe C:\WINDOWS\system32\notepad.exe C:\HJT\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [routcnf] C:\Programme\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\HP OfficeJet G85\AiO\hp officejet g series\Bin\hpoavn07.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {86B28C72-357E-4C1C-94C1-DB17F056C11A} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{6631B81C-758E-4047-991E-C9302C5B308B}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Noch ein paar Infos, die evtl. interessant sind:
Wer bis hierhin durchgehalten hat: Vielen Dank für die Geduld! Ich hoffe, ihr könnt mir weiterhelfen, wie ich jetzt am besten weiter vorgehe. Liebe Grüße Hilli. |
05.02.2006, 19:49 | #2 |
| Rechner kompromittiert? grundregel:
__________________wenn backdoor oder rootkit --> neuaufsetzen bei vieler malware findet sich auf der klab seite nicht unbedingt eine beschreibung dazu. die malware ist über 1 jahr alt |
06.02.2006, 18:04 | #3 |
| Rechner kompromittiert? Hallo,
__________________inzwischen habe ich mein Notebook ebenfalls mit escan gescannt - kein Virus gefunden, d.h. es scheint wirklich sauber zu sein. Hier nochmal zur Sicherheit der HJT-Log des Notebooks, wäre toll, wenn da mal jemand drübergucken könnte: Logfile of HijackThis v1.99.1 Scan saved at 03:29:00, on 06.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Company\Quick Start Button\QSB.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Office 97\Office\OSA.EXE C:\DOKUME~1\***~1.NOT\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gericom.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [routcnf] C:\Programme\Eumex\routcnf.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online 5\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [QSB] C:\Programme\Company\Quick Start Button\QSB.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Office 97\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Office 97\Office\OSA.EXE O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Word 2002\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{79E201E3-20A6-4573-882E-379CB8632E8D}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF756C4-1656-4E79-B6C7-367D246B0DCA}: NameServer = 192.168.1.1 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Das Plattmachen und Neuaufsetzen meines PCs schaffe ich nicht ohne Hilfe. Ich erinnere mich noch mit Grausen daran, wie lange es gedauert hat, bis mein Mini-Netzwerk aus PC, Notebook und DSL-Router damals halbwegs stand - und das auch nur mit Profihilfe. Deshalb will ich jetzt erstmal nur noch mit dem Notebook ins Internet gehen. Meint ihr, das ist sicher? Muss ich dann den PC komplett aus dem Netz rauslassen oder kann ich noch sicher intern mit dem Notebook Daten austauschen? Ach Scheiße, das ist alles so kompliziert! Ich kann schon nachts nicht mehr richtig schlafen, seit dieser Mist läuft. Falls jemand von euch im Umkreis von Wuppertal einen kennt, der Ahnung (und einen nicht zu extrem teuren Stundensatz) hat, oder eine Idee hat, an wen ich mich wenden kann, bitte melden! Liebe Grüße Hilli. |
07.02.2006, 16:26 | #4 |
| Rechner kompromittiert? Hallo, da mein Thread schon so weit nach hinten gerutscht ist, melde ich mich einfach nochmal. Sorry falls das als unverschämt angesehen wird, kenne mich hier noch nicht so aus ... Jedenfalls tappe ich immer noch völlig im Dunkeln bezüglich der Sicherheit meines Notebooks. Könnte sich evtl. jemand mal meinen Log anschauen? Oder weiß jemand ein anderes Forum, an das ich mich wenden kann? Danke und viele Grüße Hilli. |
07.02.2006, 19:20 | #5 |
| Rechner kompromittiert? Hallo hilli, dein IE könnte ein Update vertragen,sollte man machen auch wenn man den IE nicht nutzt. Ansonsten ist dein zweites Log in Ordnung.Ich nehme an es ist ein Firmenrechner ? C:\Programme\Company\Quick Start Button\QSB.exe Irrlicht |
08.02.2006, 12:45 | #6 |
| Rechner kompromittiert? Hallo, vielen Dank fürs Drübergucken! Nein, das ist kein Firmenrechner, sondern mein privates Notebook. Keine Ahnung, was das Company-Quickstart-Teil sein soll? Evtl. ein Direktlink zu Gericom oder so was? Die entsprechende Datei sieht vom Datum her jedenfalls so aus, als wäre sie schon vorinstalliert gewesen beim Kauf. Übrigens erscheint seit ein paar Tagen jedesmal beim Start folgende Meldung: SPRINGFLD_ADV_DAEMON: WksCal.exe - Einsprungpunkt nicht gefunden Der Prozedureinsprungpunkt "GetTextExtentPointI" wurde in der DLL "MSDART.DLL" nicht gefunden. Hat jemand eine Ahnung, was das bedeutet? Ich werde langsam etwas paranoid. Dazu muss ich noch sagen, dass mein Notebook während des Scannens mit escan im abgesicherten Modus einen totalen Systemabsturz hatte. Der Rechner bootete danach nicht mal mehr. Nachdem ich mit der Recovery CD Windows neu installiert hatte, ging es wieder. Ich habe jetzt allerdings anscheinend zwei Versionen auf dem Notebook (eine unter C:\WINDOWS, die andere unter C:\WINDOWS.0). Am Anfang bekam ich dann beim Booten die Auswahl zwischen beiden Versionen, inzwischen kommt automatisch wieder meine neue. Die scheint durch die Neuinstallation wieder repariert zu sein, hoffe ich jedenfalls mal .... Bin immer noch auf der Suche nach jemand, der mir beim Plattmachen und Neuaufsetzen meines PC helfen kann. Habe schon nach einem Computernotdienst in Wuppertal gegoogelt, aber wie kann ich feststellen, ob die Leute vertrauenswürdig sind und auch was draufhaben? Je mehr ich mich mit der Materie beschäftige, desto komplizierter erscheint mir das alles. Selbst die Fachleute scheinen sich ja uneins zu sein, ob man einen solchen Befall nicht auch ohne Neuaufsetzen eliminieren kann. Fragen über Fragen:
Hilli, ratlos. |
08.02.2006, 13:26 | #7 |
| Rechner kompromittiert? Ach nochwas, habe gerade ein Update meines IE versucht, aber soweit ich das erkennen kann, habe ich schon die aktuellste Version?? Finde jedenfalls bei MS nichts aktuelleres. Mein Opera ist auf dem Notebook allerdings noch Version 6. Sollte ich das aus Sicherheitsgründen mal updaten? Hilli. |
08.02.2006, 13:33 | #8 |
> MalwareDB | Rechner kompromittiert? Hallo, zu deinem Problem mit der "WksCal.exe" gibt es hier einen Patch. Für Deine weiteren Fragen: Zu dem Thema Neuaufsetzten bei Backdoor Befall gibt es tatsächlich mehrere Meinungen, hier wird allerdings meistens ein Neuaufsetzten des Systems empfohlen. Wie viele Windows Installationen hast Du jetzt auf Deinem Laptop? Edit: Opera aktualisieren! Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
08.02.2006, 14:04 | #9 |
| Rechner kompromittiert? Hallo und danke für die schnelle Reaktion. Das mit dem Patch ging schon mal in die Hose. Aus dem Logfile (dahotfix.log): [12:52:50]: An error occurred while setup was trying to verify the version of Microsoft Data Access Components current installed on the machine. Either the version currently installed does not match the version of this hotfix package, or setup was unable to determine the version currently installed. Zu den Windows-Versionen auf meinem Laptop. Das scheinen jetzt 2 zu sein, eine unter C:\Windows, die andere unter C:\Windows.0 Komischerweise wurde ich auch beim Installieren nicht auf eine schon vorhandene Version hingewiesen. Anfänglich konnte/musste ich beim Hochfahren anklicken, welche Version ich öffnen will. Die neue habe ich am leeren Desktop und anderen Hintergrundbild erkannt. Nachdem ich dann 2 x die alte ausgewählt hatte, wird die jetzt wieder automatisch beim Starten genommen. Dafür kam dann diese DAEMONische Sache mit der WksCal.exe neu dazu. Um den Opera-Update kümmere ich mich demnächst. Sollte ich gleich die Version 8 nehmen, oder bin ich mit 7 (was ich auch auf dem großen PC habe) auf der sicheren Seite? Hilli, immer noch ziemlich ratlos ... PS. Muss jetzt leider weg, schaue aber heute nacht oder morgen früh wieder rein. |
08.02.2006, 18:31 | #10 |
| Rechner kompromittiert? Hallo Hilli, hilft der Thread dir weiter ? http://www.trojaner-board.de/showthread.php?t=12154 Irrlicht |
09.02.2006, 13:54 | #11 |
| Rechner kompromittiert? Hallo, da hatte ich schon versucht, mich durchzukämpfen, bevor ich mich hier gemeldet habe. Aber vieles ist mir einfach noch unklar, vor allem was die Rettung meiner Anwendungsdaten und Einstellungen und die Wiedereinrichtung meines Netzwerks für den Online-Zugang betrifft. Ich denke ich lasse den PC jetzt erstmal "ruhen", bis ich jemanden gefunden habe, der mir hilft, das ganze systematisch anzugehen. Kann ich eigentlich bei deaktivierter LAN-Verbindung bis dahin wieder im normalen, nicht abgesicherten Modus arbeiten oder kann der Backdoor-Wurm auch offline Schäden anrichten? Nach wie vor frage ich mich auch, was mit dem 2. Teil (Trojan.Win32.Agent.on) ist, das nur von escan gefunden wurde. Bei F-secure habe ich folgenden Hinweis gefunden: F-Secure Anti-virus had a false alarm with this name in several files on 3rd of February 2006, including LOGONUI.EXE. This false alarm was fixed with update 2006-02-03_04. Technical Details: Mikko Hypponen, February 3, 2006 Bedeutet das, dass bei mir der Fund in der LOGONUI.EXE evtl. auch ein Fehlalarm war? Falls jemand noch Ideen für mich hat, oder noch eine meiner weiteren Fragen beantworten kann, (z.B. Opera 7 oder 8, Ausmerzen der Viecher vor dem Plattmachen und Wiederaufsetzen), bitte melden. Danke und liebe Grüße an alle, die sich hier die Mühe machen, den Leuten in der Not zu helfen! Hilli. |
09.02.2006, 23:57 | #12 |
| Rechner kompromittiert? du solltest den rechner "nicht laptop" auf jeden fall formatieren ... hoffnungslos kompromitiert |
Themen zu Rechner kompromittiert? |
7 viren, abgesicherten modus, antivir, avgnt, avgnt.exe, bho, browser, dateisystem, einstellungen, email, fehler, festplatte, hijack, hijackthis, hängt, internet, internet explorer, kaspersky, lan-verbindung, logfile, maßnahme, netzwerk, officejet, outlook express, quara, rundll, software, t-online, trojaner, usb, vielen dank, viren, virus, windows, windows xp |