Ein Freund von mir hat Gestern auf einen Wurmlink ,die im IRC verbreitet werden, geklickt. Dann öffnete sich ein DOS-Fenster für ganz kurze Zeit mit kryptischen Zeichen. An seinem Rechnerverhalten hat sich nix geändert, jedoch, schließt sich der taskmanager beim öffnen automatisch und auch ausführen->msconfig schließt sich automatisch. ich habe ihm schon trojanhunter, avguard, hijackthis und adaware durchlaufen lassen, bis auf HijackThis hat keines der tools was gefunden. Vielleicht wisst ihr ja Rat

Cu

Hallo!

Was genau hat HijackThis bzw. genauer der das Log Begutachtende denn gefunden?

Das automatische Schließen des Taskmanagers und von msconfig finde ich schon sehr werkwürdig. Da scheint "irgendwas" zu laufen. Hast du es schonmal mit einem Prozessmanager versucht?

Wie neu waren die Signaturen deiner AV/Trjaner-Software?

Was für weitere Analyse helfen könnte: Infos zum Netriebssystem zu Software usw.

Vielleicht könntest du wenn möglich den Report schicken, dann wüssten wir mehr. Ansonsten rate deinem Freund mal einen Scan mit KAV zu machen. (Hier gibts eine 30-Tage Trial).

ciao

[20:59] (Arcor|Ronny) 09.01.2004 18:08:22] Cleaning Gator found in c:\programme\gemeinsame dateien\cmeii\cmeiiapi.dll
[20:59] (Arcor|Ronny) [09.01.2004 18:08:24] Cleaning Gator found in c:\programme\gemeinsame dateien\cmeii\cmesys.exe
[20:59] (Arcor|Ronny) [09.01.2004 18:08:24] Cleaning Gator found in c:\programme\gemeinsame dateien\cmeii\gappmgr.dll
[20:59] (Arcor|Ronny) [09.01.2004 18:08:25] Cleaning Gator found in c:\programme\gemeinsame

es war ne 30 tage testversion also ganz aktuell würd ich sagen.

das hatn anti trojaner programm ausgespuckt er wusste nu net mehr welches

er hat winxp keine servicepacks benutzt internet expolerer und hat tdsl

ausserdem geht ausführen regedit auch net, sowie nen externen registry cleaner alles schließt sich sofort nach starten

so hier kommt mal ein auszug aus der hijack this log, sind die hintergrundprogramme

[21:59] (Arcor|Ronny) C:\WINDOWS\System32\smss.exe
[21:59] (Arcor|Ronny) C:\WINDOWS\system32\winlogon.exe
[21:59] (Arcor|Ronny) C:\WINDOWS\system32\services.exe
[21:59] (Arcor|Ronny) C:\WINDOWS\system32\lsass.exe
[22:00] (Arcor|Ronny) C:\WINDOWS\system32\svchost.exe
[22:00] (Arcor|Ronny) C:\WINDOWS\System32\svchost.exe
[22:00] (Arcor|Ronny) C:\WINDOWS\system32\spoolsv.exe
[22:00] (Arcor|Ronny) C:\WINDOWS\System32\WINREG.EXE
[22:00] (Arcor|Ronny) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
[22:00] (Arcor|Ronny) C:\WINDOWS\System32\nvsvc32.exe
[22:00] (Arcor|Ronny) C:\mIRC\mirc.exe
[22:00] (Arcor|Ronny) C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
[22:00] (Arcor|Ronny) C:\Dokumente und Einstellungen\Ronny Schulz\Desktop\hijackthis\HijackThis.exe
[22:00] (Arcor|Ronny) O4 - HKLM\..\Run: [Winsock2 driver] WINREG.EXE
[22:00] (Arcor|Ronny) O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
[22:00] (Arcor|Ronny) O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
[22:00] (Arcor|Ronny) O4 - HKCU\..\RunOnce: [Winsock2 driver] WINREG.EXE

hoffe das hilft.

thx

Merkwürdig.
Kann mir jemand mal die Datei cmesys.exe schicken?

Das hier kommt mir spanisch vor:


O4 - HKLM\..\Run: [Winsock2 driver] WINREG.EXE
O4 - HKCU\..\RunOnce: [Winsock2 driver] WINREG.EXE
C:\WINDOWS\System32\WINREG.EXE

Hat dein Freund mal Infos dazu ?
Also 1 Sache ist auf jedenfall verdächtig daran:
Das Teil hängt ein mal in RunOnce und in Run.
Wenn ein Proggy in RunOnce steht wird es 1 mal executed.

Wenns in Run steht bei jedem Start.

Wieso steht das Teil dann in beiden ???

</font><blockquote>Zitat:</font><hr />Original erstellt von FaT:
es war ne 30 tage testversion also ganz aktuell würd ich sagen.</font>[/QUOTE]Aktuell ist die nur, wenn er die Virensignaturen auch updatet.

</font><blockquote>Zitat:</font><hr />Original erstellt von Shady2k:
Das hier kommt mir spanisch vor:


O4 - HKLM\..\Run: [Winsock2 driver] WINREG.EXE
O4 - HKCU\..\RunOnce: [Winsock2 driver] WINREG.EXE
C:\WINDOWS\System32\WINREG.EXE

Hat dein Freund mal Infos dazu ?
Also 1 Sache ist auf jedenfall verdächtig daran:
Das Teil hängt ein mal in RunOnce und in Run.
Wenn ein Proggy in RunOnce steht wird es 1 mal executed.

Wenns in Run steht bei jedem Start.

Wieso steht das Teil dann in beiden ??? </font>[/QUOTE]Hallo,

ich bin der freund [img]smile.gif[/img] .
Was für infos benötigst du?

</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred:
Vielleicht könntest du wenn möglich den Report schicken, dann wüssten wir mehr. Ansonsten rate deinem Freund mal einen Scan mit KAV zu machen. (Hier gibts eine 30-Tage Trial).

ciao </font>[/QUOTE]danke. die software hat das problem gelöst