|
Plagegeister aller Art und deren Bekämpfung: Mutant #1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.11.2006, 18:14 | #1 |
| Mutant #1 Moin, gerade hat mir mein Antivir beim Booten mehrere verseuchte Dateien gemeldet ("...enthält die Signatur des Virus Mutant #1"). Nach dem Löschen der Dateien hat ein Check mit Antivir (letztes Update vom 4.11.06) keine weiteren Funde gebracht. Seltsam ist aber, daß die Update-Funktion von Antivir nicht mehr ansprechbar ist und mit nach Aufruf des Antivir-Hauptprogtrammes zwar der Guard als aktiv gemeldet wird, aber der kleine Schirm in der Programmleiste nicht mehr auftaucht (System Windows 2k Pro, ich surfe grundsätzlich nur mit eingeschränktem Benutzerkonto). Hat jemand eine Idee, was da los ist? Mit freundlichen Grüßen und vielem Dank im Voraus Gerry G |
07.11.2006, 18:17 | #2 |
Administrator > Competence Manager | Mutant #1 Hallo,
__________________poste mal ein Hijacklog nach der Anleitung in meiner Signatur, alles weiter dann später.. Gruß Sunny
__________________ |
07.11.2006, 18:35 | #3 |
| Mutant #1 Okay, das sieht so aus:
__________________Logfile of HijackThis v1.99.1 Scan saved at 18:26:50, on 07.11.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe F:\programme\AntiVir PersonalEdition Classic\sched.exe F:\programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE F:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINNT\system32\internat.exe C:\Programme\iPod\bin\iPodService.exe f:\programme\hercules\Bin\VxD\noSPDIF\Mixer.exe F:\PROGRA~1\WINZIP\wzqkpick.exe G:\Programmdownloads\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Willkommen bei MSN Deutschland R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Willkommen bei MSN Deutschland O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [C-Media Mixer] f:\programme\hercules\Bin\AudioRack.exe /MixerStartup O4 - HKLM\..\Run: [avgnt] "F:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = F:\programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = F:\programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Thanx a lot, Gerry G Geändert von Gerry G (07.11.2006 um 19:34 Uhr) |
07.11.2006, 19:55 | #4 |
Administrator > Competence Manager | Mutant #1 Abgesehen davon das dir einige Updates fehlen und damit eine riesige Sicherheitslücke in deinem System "klafft", war auch dein Hijacklog ohne "Befund". Scann mal bitte dein System mit eScan, nach dieser Anleitung -> so wirds gemacht.. Poste dann das Ergebnis mit Hilfe der find.bat. Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
08.11.2006, 00:20 | #5 |
| Mutant #1 Sorry, war ´ne Weile außer Haus. Werde sofort eScan einsetzen. Zu den fehlenden Updates: m.W. war SP4 das letzte Update; hatte nicht erwartet, das MS sich noch um 2k kümmert... Gruß, GG |
08.11.2006, 00:40 | #6 |
/// Helfer-Team | Mutant #1 SRY, in welcher Welt lebst Du eigentlich? W2K ist in vielen Verwaltungen Standard
__________________ --> Mutant #1 |
08.11.2006, 00:57 | #7 |
| Mutant #1 Hallo Sunny, habe soeben eScan ("eScan AntiVirus for Windows") runtergeladen. In Deinem "so wirds gemacht"-Link ist die Rede von einem Tool, das nur entzipped werden muß, ich habe aber eine Installationsdatei ("es_awne") bekommen. Leider ist nicht genau erwähnt, welchen Download man aus dem vielfältigen MicroWorld-Angebot wählen soll. Auch der Link "Systemwiederherstellung" sagt nur knapp, wozu die gut ist, aber nicht, wie man sie deaktiviert. Sorry, ich hoffe, ich hatte hier keine Küprbisse auf den Augen, aber ich habe die Seite mehrfach aufgerufen und keine sachdienlichen Hinweise gefunden. Gruß, GG PS: Lieber Felix, ich kenne in meinem privaten Umfeld keine einzige Maschine mehr mit W2k. Entweder sind es Uralt-Rechner, die noch mit 98 laufen, oder man hat XP. Und mit Verwaltungen, gottlob, habe ich wirklich nx am Hut, i bewahre... Geändert von Gerry G (08.11.2006 um 01:03 Uhr) |
Themen zu Mutant #1 |
aktiv, ansprechbar, antivir, aufruf, benutzerkonto, booten, check, confused, dateien, eingeschränktem, funde, gemeldet, guard, kleine, löschen, mehrere, nicht mehr, programmleiste, seltsam, signatur, surfe, system, update, verseuchte, virus, weiteren, windows |