hallo zusammen,

nachdem mich die 1und1 mail zum Neuaufsetzen gezwungen hat folgende anfänger frage bitte. wenn ich mit adaware oder ähnlichen tools etwas finde, ist dies dann zu löschen oder in quarantäne zu bringen ?

besten dank
sony

Zitat:

Zitat von |SONY|

nachdem mich die 1und1 mail zum Neuaufsetzen gezwungen hat folgende anfänger frage bitte. wenn ich mit adaware oder ähnlichen tools etwas finde, ist dies dann zu löschen oder in quarantäne zu bringen ?

Zunächst sollten diese Tools überhaupt nichts finden, was schädlich sein könnte.

Ob die Funde sofort gelöscht oder in Quarantäne gesteckt werden sollte egal sein. Beides kann aber je nach Art des Fundes falsch sein, wenn ein Neuaufsetzen die einzige Möglichkeit zur Bekämpfung ist!

Gruß
Yopie

Quarantäne ist auf jeden Fall besser, da es ja auch mal Fehlalarm geben könnte. Löschen lässt sich nicht mehr rückgängig machen.

Zitat:

Zitat von rich20

Quarantäne ist auf jeden Fall besser, da es ja auch mal Fehlalarm geben könnte. Löschen lässt sich nicht mehr rückgängig machen.

Danke, guter Hinweis!

Gruß
Yopie

hi rich20 & Yopie,

und besten dank für eure antworten.

nachdem ich auf die 1und1 mail reingefallen bin ging leider nichts mehr an meinem rechner. wie er dann wieder gestartet ist war ich so "schlau" und bin online gegangen und dann kam 60,59,58,57 ihr rechner fährt runter.

nach zich versuchen mit original cd XP und den 6 startdisketten hat es irgendwann funktioniert und ich konnte XP wieder installieren.

erste maßnahme danach war gewisse dienste offline dicht zu machen:

http://www.computer-security.ch/ids/default.asp?TopicID=164

danach update microsft

winxpsp2_updatepack_v2.17

nun werde ich mir noch ein online scanner für trojaner oder backdoors finder suchen müssen um alles ausschließen zu können und auch nach weiteren microsoft sicherheitspatches suchen. wenn ihr noch wichtige patches benennen könnt wäre ich sehr dankbar.

mfg
sony

Das heißt, du warst online, bevor du alle Updates installiert hattest? Hoffentlich war die Firewall (hieß unter SP1 noch anders) von Windows aktiviert.

Vielleicht postest du noch einmal ein Hijackthis-Logfile zur Kontrolle?

Gruß
Yopie

hi Yopie,

nach dem öffnen der .exe ging nichts mehr, irgenwann doch und XP startete wieder. ich dachte mir schnell noch online die aktuellen patches holen und dann kam 60,59,58 etc.

danach habe ich format c: durchgeführt, viel streß mit NTDLR fehlt usw. aber die Neuinstallation ging dann irgendwann. erst danach habe ich gewisse ports manuell / offline dicht gemacht und mir über die microsoft seite die updates geladen.

ob das alle wichtigen sind kann ich nicht sagen !?

anbei der hoffentlich saubere auszug:
PS: O17 wurde als unbekannt ausgegeben, wenn ich dies beende bin ich offline. somit dürfte dies meine arcor dsl verbindung sein.

ein tipp bitte. mit welchem online tool kann ich sofort nach trojanern oder backdoors suchen ?


Logfile of HijackThis v1.99.1
Scan saved at 16:27:42, on 13.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
F:\Programme\Hijack\HijackThis.exe

O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168630653234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168631049453
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B09D64A-9C3B-450E-B3DA-D08B4FA57718}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Zitat:

Zitat von |SONY|

h
PS: O17 wurde als unbekannt ausgegeben, wenn ich dies beende bin ich offline. somit dürfte dies meine arcor dsl verbindung sein.

Richtig, es ist der DNS von Arcor.

Zitat:

ein tipp bitte. mit welchem online tool kann ich sofort nach trojanern oder backdoors suchen ?

Spezielle Online-Scanner kenne ich keine. AV gibt es, z.B. Trend Micro - Free online virus Scan , will aber den IE haben.

Gruß
Yopie