verstehe das nicht: der escan meldet jetzt einen virus weniger, die setup.exe datei st weg. McAffe on acces verschiebt aber weiterhin exploit ms06 in den Quarantäne-Ordner.
hier das ergebnis:
ed Aug 22 17:26:57 2007 => Gescannte Dateien: 130916
Wed Aug 22 17:26:57 2007 => Gefundene Viren: 3
Wed Aug 22 17:26:57 2007 => Anzahl der desinfizierten Dateien: 0
Wed Aug 22 17:26:57 2007 => Umbenannte Dateien: 0
Wed Aug 22 17:26:57 2007 => Anzahl der gelöschten Dateien: 0
Wed Aug 22 17:26:57 2007 => Anzahl Fehler: 211
Wed Aug 22 17:26:57 2007 => Dauer des Scans bisher: 01:46:39
Wed Aug 22 17:26:57 2007 => Virus-Datenbank Datum: 8/22/2007
Wed Aug 22 17:26:57 2007 => Virus-Datenbank Zähler: 387059

Was soll ich tun? Nochmal booten?

Hi,

Du meinst den hier:
exploit-ms06-014?
Bist Du über den IE online, schalte mal ActiveX ab...
Ich sehe der ist über scripting unterwegs...
Ist der Trojaner aufgetaucht (setup.exe)?

Welche Homepage ist im IE eingestellt,
der Exploit wird von infizierten Webseiten verbreitet!

"This is a generic detection for malicious script files that exploits a vulnerability in the Microsoft Data Access Component (MDAC) functions. These files are most commonly hosted on a hacked or maliciously crafted webpage, in an aim to penetrate vulnerable systems via the Internet Explorer web browser."

Noch mal bitte ein HJ-Log, nenne die HJ-Exe vorher auf test.com um...

Chris

ich bin über mozilla online.
ja, ich meine exploitMS06-014., wie gesagt, im scann finde ich ihn nicht, aber im Mc Afee on acces wird er mir als verschoben angegeben...

wo stell ich activex ab?

Hi,

IE6: Extras->Internetoptionen->Sicherheit->Stufe anpassen (Internet sollte angewählt sein)->ActiveX (Eingabeaufforderung für sichere, Deaktivieren für unsichere & den Download von sicheren und unsicheren)

chris

Hallo,
ich wußte nicht, wie das umbenennen auf test.com geht, habe es jetzt einfach so gemacht.
das ist das ergebnis:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Zu Active X habe ich noch eine Frage:
Ich habe jetzt folgende Einstellungen:
ActiveX Steuerelem. Ausführen ....sicher
Aktivieren
.....initialisieren nicht sicher
deaktivieren
active und plugins ausführen
aktivieren
Ausführung von bisher nicht verwendeten
Deaktivieren
Binär...
Bestätigen
Skriptlets zulassen
Deaktivieren
Videos
deaktivieren


Was sollte ich da ändern?

Hallo,
habe in der zwischenzeit spybot drüberlaufen lassen. Hat zumindest ne menge Cookies entfernt. Ich weiß aber immer noch nicht, ob ich den trojaner los bin..... Diese komischen dateien, die MCAfee verschoben hat, habe ich immer noch und kann sie nicht löschen. Öffne ich den Ordner, reagiert MCAfee on access mit einer Warnung.
Gibt es in meinem HJ-Log Hinweise?

Hi,

die default page vom IE:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://10.254.0., was ist das für eine Seite?
Ich bekomme sie nicht auf....
Prüfe sie morgen mal vom anderen Rechner aus....

Chris

Das ist die startseite, über die wir uns einloggen, um das vom Wohnheim bereitgestellte Internet zu nutzen. Ich vermute nicht, dass das problem da liegt, da im internen netz nicht von Problemen berichtet wird.

Hm,

hast Du eine Firewall?
Hast Du noch andere Laufwerke, auf denen z. B. der Thunderbird seine Emails speichert und hast Du das mit durchsuchen lassen (der Exploit könnte auch in einem Email im HTML-Format "enthalten" sein)?
das ein Rootkit läuft, glaube ich nicht, habe sonst keine Idee mehr...
Auf Basis vomHJ-Log kommen wir (ich) nicht weiter, bitte wende Dich an z. B. myrtille...

Chris

hallo,
ja, ich habe eine Firewall. Andere Laufwerke habe ich nicht, aber was ist mit den "SharedDocs" an Computer von XX, die bei mir plötzlich im Netzwerk auftauchen?

Mmh, so ein Mist, scheint echt kompliziert zu sein. Auf jeden Fall danke für die Hilfe. Vielleicht hat noch jemand anderes im Forum eine Idee, mit es weitergeht? Kann ich mich denn direkt an jemanden wenden, ich denke das soll nur übers Forum gehen?

Ich stelle nochmal meine Hauptfragen:
Wie bekomme ich die von McAfee onAccess umbenannten in den Quarantäne-Ordner umgeleiteten Dateien weg?
Wo kommen plötzlich diese Verbindungen zu anderen Comp. im Netzwerk her, die sich SharedDocs an "Name" nennen (eins mit Untertitel Virus irgendwas)? Ich lösche sie, habe dann später aber neue, also wie verhindere ich dies, und was können Sie anrichten? Hat das was mit der Spyware/Adware-Warnung bei McAfee zu tun?
Wie gesagt, ich bekomme nur noch Warnungen von McAfee on acess, wenn ich den Quarantäne-Ordner öffne, die anderen Virusprogramme zeigen nichts mehr an?!

HILFE!!!!

Hi,

wenn Du in ein Netzwerk eingebunden bist, welche Rechte haben die anderen Nutzer?
Ich gebe Dir jede Garantie, einer in Eurem Netzwerk ist verseucht und über die Zugriffrechte (ev. durch die Shared-Docs oder eine weitere Schwachstelle von Windows) bekommst Du immer den "Besucher" übermittelt.

Von wo kommen die Sharedocs (User) sprech den mal an bzw.entziehe Ihm alle Rechte...

Chris

ich kenne die Shardedocs leute nicht. das ist ein wohnheimnetz mit zig usern! ich würde gerne von meinem Computer aus jeden zugang verbieten?!
Ich suche schon die ganze Zeit, weiß aber nicht wo ich und wie den Zugang verbieten kann. Ich habe keine Ordner freigegeben. Können die irgendwas bei mir machen?

PS. Bin ich eigentlich in einem Netzwerk, wenn wir uns alle in ein Netz einloggen? Es gibt meines Wissens einen Server und jeder hat sein Passwort. ich glaube auch, dass es pro Haus unterschiedliche Zugänge gibt.
Sind wir dann untereinander verbunden? Doch nicht automatisch, oder? Es muß doch möglich sein, solche Verbindungen zu unterbinden?

Dann sollte es einen Admin geben den Du sofort verständigen solltest. Der Exploit klinkt sich in Webpages ein, d.h. er kann z.B. sogar auf Eurem Server liegen, da wo ihr Euch anmelden müsst...
Aber für sowas bin ich leider die falsche Person (
Chris