Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.01.2009, 05:11   #1
Cz-hr-o69
 
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Frage

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Erst einmal schönen Morgen/Tag/Abend.

Wie in der Überschrift zu lesen: Kaspersky warnt mich vor einem Angriff namens: Intrusion.Win.MSSQL.worm.Helkern . Ob es nun geglückt ist, oder erfolgreich abgewehrt wurde, kann ich nicht sagen.
Ich hatte schon seit November ein Problem mit Viren, bis ich die Hoffnung aufgegeben habe, und Win neuinstallierte.... . Da ich nicht alle wichtigen Daten brennen konnte o.ä., habe ich Sie in die E:\ Partition geschoben, in der ich noch nie Dateien abgelegt hatte... .

Ich habe Windows in E:\ installiert und versucht C:\ zu formatieren.

2 Dateien haben mich das zu verhindern gewusst. Die erste war von Acrobat Player, welche ich mit Hilfe von google und "Ausschneiden + Kopieren" löschen konnte. Die andere ist: 3284. Der genaue Pfad: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator\3284.
Diese Datei kann ich weder verschieben, kopieren, umbenennen und vor allem nicht löschen!!!


Zurück zum eigentlichen Grund... .

Der Angriff kommt immer von einer anderen IP, bei meiner rechaerchen habe ich heraus gefunden, dass es BOTs wären.... und zu meist aus China kommen sollen.


In diesem Board habe ich einen ähnlichen Thread gefunden, wollte aber nicht dort um Hilfe beten, dort wurde nach einem Scan-Log mit eScan verlangt.

Den Poste ich dann mal:

Zitat:
Zitat von eScan
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 10.0.60
Sprache: German
E:\DOCUME~1\Cz-o69\LOCALS~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Deaktiviert
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - E:\WINDOWS\system32\services.exe
lsass.exe - E:\WINDOWS\system32\lsass.exe
svchost.exe - E:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - E:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - E:\WINDOWS\Explorer.EXE
spoolsv.exe - E:\WINDOWS\system32\spoolsv.exe
jusched.exe - "E:\Program Files\Java\jre6\bin\jusched.exe"
ADeck.exe - "E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe" 1
avp.exe - "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
iTunesHelper.exe - "E:\Program Files\iTunes\iTunesHelper.exe"
PCSuite.exe - "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
AppleMobileDeviceService.exe - "E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
avp.exe - "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" -r
mDNSResponder.exe - "E:\Program Files\Bonjour\mDNSResponder.exe"
jqs.exe - "E:\Program Files\Java\jre6\bin\jqs.exe" -service -config "E:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf"
iPodService.exe - "E:\Program Files\iPod\bin\iPodService.exe"
wscntfy.exe - E:\WINDOWS\system32\wscntfy.exe
ServiceLayer.exe - "E:\Program Files\PC Connectivity Solution\ServiceLayer.exe"
alg.exe -
NclUSBSrv.exe - {1606FCB2-9790-4B63-A99F-F5E26A806291}
NclRSSrv.exe - {A2EC53B6-4E17-4857-A0C6-5BE7DDD5D5F8}
firefox.exe - "E:\Program Files\Mozilla Firefox\firefox.exe"
cmd.exe - cmd /c ""E:\Documents and Settings\Cz-o69\Desktop\find.bat" "
cscript.exe - cscript E:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\Crap\Treiber\New Folder\Sonstige Progis\Firefox_Setup_2.0.0.20.exe
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\Crap\Treiber\New Folder\Sonstige Progis\mwav.exe
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\iTunesSetup.exe
ERROR!!! Invalid Entry \??\C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys in HKLM\SYSTEM\CurrentControlSet\Services\SANDRA. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe in HKLM\SYSTEM\CurrentControlSet\Services\SandraAgentSrv. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for E:\WINDOWS\system32\wdfcoinstaller01007.dll
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts:
E:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 5271
Zahl der kritischen Objekte: 0
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 00:01:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Option "Überprüfung der Laufwerke" deaktiviert
Die Überprüfung der Ordner: Deaktiviert

Batchstart: 4:52:48,85
Batchende: 4:53:02,51


Hier noch HiJackThis


Zitat:
Zitat von HiJackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:57:24, on 03.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
E:\Program Files\iTunes\iTunesHelper.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
E:\Program Files\Bonjour\mDNSResponder.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\iPod\bin\iPodService.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
E:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
E:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\WINDOWS\system32\notepad.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioDeck] E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD56A761-34A0-4DC1-83B2-555D3C54D72A}: NameServer = 195.50.140.178 195.50.140.114
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: Antiwpa - E:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Apple Mobile Device - Apple Inc. - E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - E:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - Unknown owner - C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4383 bytes

Hoffe habe jetzt nicht mehr gespammt als positiv und informativ gepostet


Nunja, habe auch nach gelesen, viele bekommen dies lediglich im warsten Sinne des Wortes nur zur Warnung , möchte dennoch auf sicher gehen, vor allem da ich vor 2 Wochen noch Trojanische Pferde auf dem PC hatte... .

Würde mich über Hilfe ausser: Ist nichts, keine Sorge freuen.

Die goldenen Regeln fordern das hier: Mein Betriebssystem ist Windows XP Professional OEM SP2
Zudem verwende ich Firefox v.2.0.0.20, Kaspersky 7.0.1.325, mehr fällt mir nicht ein, was vlt. relevant sein könnte.


Danke Leute,

Alt 03.01.2009, 14:20   #2
KarlKarl
/// Helfer-Team
 
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Standard

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Hi,

Zitat:
Würde mich über Hilfe ausser: Ist nichts, keine Sorge freuen.
warum freut es dich nicht, dass das ok ist? Wenn Du aber dringend ein Problem brauchst, könnte ich dir da ein paar Dateien vermitteln, auf die Du nur noch einen Doppelklick absetzen müsstest.

http://www.trojaner-board.de/67282-i...m-helkern.html
http://www.trojaner-board.de/62523-i...m-helkern.html
http://www.trojaner-board.de/41814-i...m-helkern.html

Gruß, Karl
__________________


Alt 03.01.2009, 16:14   #3
Cz-hr-o69
 
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Standard

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Mein Problem ist nur, woher weiß ich, dass der Angriff abgewehrt wurde?


Zu dem habe ich da noch fragen:

Meine Maus der Marke Genius - eine Usb Maus - lässt meinen PC sich aufhängen.
Sprich wenn ich Hochfahre, wo der Prozessor Master - Slave etc. auf gezählt werden, läuft der PC nicht, wenn die Maus angeschlossen ist.

Anderes Problem: Oben habe ich einen Pfad genannt, diese Datai 3784 oder so, lässt sich beim besten willen nicht löschen, habe schon X Progis probiert..



Danke
__________________

Alt 03.01.2009, 16:24   #4
Sunny
Administrator
> Competence Manager
 

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Standard

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Zitat:
Zitat von Cz-hr-o69 Beitrag anzeigen
Mein Problem ist nur, woher weiß ich, dass der Angriff abgewehrt wurde?
Der Angriff wurde mit großer Sicherheit abgewehrt weil der Wurm nur Rechner infiziert auf denen ein Microsoft SQL-Server läuft. Diese Sicherheitslücke wurde bereits im Jahre 2003 durch ein Sicherheitsupdate geschlossen.

Irgendein Rechner, auf dem ein SQL-Server betrieben wird, ist durch den Wurm Helkern ( er wird auch als SQL-Slammer oder Sapphire bezeichnet ) infiziert. Der Wurm versucht nun, sich weiterzuverbreiten und andere SQL-Server zu infizieren. Das versucht er, indem er komplette IP-Adressbereiche abscannt und so sozusagen nach Rechnern sucht, die die entsprechende Sicherheitslücke noch nicht geschlossen haben. Netzwerkwürmer wie Blaster und Sasser machen dasselbe. Sie "suchen" nach Rechnern ( durch das Scannen der IP-Adressbereiche ) und infizieren auf diese Weise Rechner, denen die notwendigen Sicherheits-Updates fehlen.

Man kann somit diese Meldung von Kaspersky deaktivieren und dann ist Ruhe.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 03.01.2009, 18:01   #5
KarlKarl
/// Helfer-Team
 
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Standard

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Der Helkern ist damit ja wohl erledigt. Bei diesen Firewalls sollte man sich nur Sorgen um die Sachen machen, die sie nicht erkennen. Die melden sie dann aber auch nicht, also wird man sich keine Sorgen machen

Bei der Datei fallen mir zwei Varianten ein:

Entweder Du hast durch die Neuinstallation keine Zugriffsrechte mehr drauf. Es wurden neue Benutzer angelegt, die nicht automatische die Rechte der Benutzer aus der alten Windowsinstallation erben. Der Administrator hat aber das Recht, solche besitzerlos gewordenen Dateien zu übernehmen, dann kann er sie auch löschen.

Oder die Datei ist durch Windows blockiert. Windows braucht eine ganze Menge Dateien und wenn es nicht will, dass jemand anders an denen herumpfuscht, dann öffnet es sie exklusiv wodurch verhindert wird, dass andere Programme drauf zugreifen können. Eigentlich sollte man sie auf E: erwarten, aber Du hast da ein System aufgesetzt, dass sich über mehrere Platten erstreckt. In deinen Logs gibt es mehr Einträge, die auf C: zeigen.

Und was ist das?
Code:
ATTFilter
O20 - Winlogon Notify: Antiwpa - E:\WINDOWS\SYSTEM32\antiwpa.dll
         


Geändert von KarlKarl (03.01.2009 um 18:21 Uhr)

Alt 04.01.2009, 23:38   #6
Cz-hr-o69
 
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Standard

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Sags mir ....


Zum anderen.... Also, da ich erst beim 4. Anlauf WinXP installieren konnte, hatte ich nen Kollegen darum gebeten es auf E: zu machen, war ja eig. am Installieren, er hat mich nur korrigiert und aufgepasst...

Da es, wie gesagt, erst beim 4. Versuch geklappt hat, habe ich es auf E gemacht, denn wenn es dann wieder nicht klappt, habe ich noch das alte BS auf C...

Nun ja, war schwierig Win zu finden, welche auch eine OEM vers. ist.
Ein Kollege hat diese dann besorgen können, den Key bzw. License hängt ja als Sticker auf meinem Gehäuse....

Danach hat er das XP eingestellt oder so, und ist gegangen... .
Als er weg war, wollte ich C formatieren. Da dies nicht geklappt hat, habe ich alles einzelnd gelöscht, bis ich auf diese Datei kam...

Sie indentifiziert sich nicht als Datei irgendeines Programms und diese Datei ist eine "Datei", mehr nicht..... ---falls ihr mich nicht versteht, bei MP3 steht MP3-Datei und bei WMA steht Audio-Datei oder so....

Und wegen den anderen Logs auf C, kann nur SiSoft Sandra sein... .
Ansonten wüsste ich nicht, was sonst, weil sonst nix drauf ist, ausser dieser
kuriosen Datei.


Aber trotzdem mal

=)




Da ich oben noch fragen hätte... könntet ihr mir die gerade noch beantworten?

- Wieso lässt meine Maus meinen PC aufhängen, wenn er bootet?
- Wie kann ich diese Datei löschen, die nicht mal im Gebrauch ist?



Ciao

Alt 05.01.2009, 09:56   #7
KarlKarl
/// Helfer-Team
 
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Standard

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Üblicherweise wird dieses antiwpa auf Systemen installiert, die "irgendwo vom LKW gefallen sind", bzw. vom Esel

Das mit der unlöschbaren Datei scheint mir seltsam, eine sicher funktionierende Radikalkur sollte diese sein (aber ohne Garantie, dass es nicht Folgeschäden hat, dem Namen nach kann es eine Datei sein, die wichtig für Windows ist):

Lade dir den Avenger herunter und entzippe ihn auf deinen Desktop. Nicht gezippt direkt als EXE ist er hier erhältlich. Starte den Avenger und bestätige die erscheinende Warnung. Kopiere den Inhalt der folgenden Codebox vollständig und unverändert in das Fenster, danach klicke auf "Execute" und folge den Anweisungen.
Code:
ATTFilter
files to delete:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator\3284
         
Folge der Aufforderung, deinen Rechner neu zu starten. Nachdem der Rechner neu gestartet ist und das Dosfenster, das der Avenger geöffnet hat, wieder geschlossen ist, befindet sich das Avengerlog in C:\avenger.txt. Deren Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt.

Ich persönlich würde erstmal prüfen, wie die Besitz- und Zugriffsrechte dieser Datei sind, also der anderen der beiden oben angedachten Möglichkeiten nachspüren. Als Administrator kann man in den Sicherheitseinstellungen den Besitz einer Datei übernehmen. Die Möglichkeit, dass sie vielleicht gerade geöffnet ist, lässt sich z.B. mit dem Process Explorer prüfen: Strg-F, den Namen der Datei eingeben, dann erhält man eine Liste von Prozessen, die darauf zugreifen.

Alt 05.01.2009, 22:24   #8
Cz-hr-o69
 
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Standard

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Das hier, ist der Log von Avenger

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator\3284" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Es hat sich zwar kein Backup auf C:\Avenger\backup.zip angelegt, dafür ist die Datei die ich gelöscht habe nun auf C:\Avenger\ und genau wie vorher ist Sie dort nicht zu löschen ^^....

Soll ich den Vorgang für dort wiederholen?

Alt 06.01.2009, 01:49   #9
KarlKarl
/// Helfer-Team
 
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Standard

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung



Hmm nein, das dürfte sich nur im Kreis drehen. Lade dir erstmal den Prozessexplorer und versuche dort mal zu orten, ob jemand die Datei geöffnet hält.

Wenn nicht, dann als Administrator Rechtsklick auf die Datei -> Eigenschaften -> Sicherheit -> Erweitert -> Besitzer: Dort den Besitz an der Datei übernehmen.

Antwort

Themen zu Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung
.dll, administrator, antiwpa, aufgegeben, bho, bonjour, desktop, einstellungen, fehlalarm, fehler, google, hijack, hkus\s-1-5-18, internet, internet explorer, kaspersky, logon.exe, mozilla, plug-in, problem, programme, prozesse, registrierungsdatenbank, security, security suite, solution, spyware, temp, trojanische pferde, viren, warnung, windows, windows xp




Ähnliche Themen: Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung


  1. neuen Rechner mittels USB Stick infiziert? (MSSQL.worm.Helkern)
    Plagegeister aller Art und deren Bekämpfung - 01.08.2011 (1)
  2. Kaspersky zeigt HEUR.Worm.Win32.Generic als Bedrohung an
    Plagegeister aller Art und deren Bekämpfung - 28.03.2011 (32)
  3. Kaspersky meldet Malwarefund HEUR:Worm.Win32.Generic
    Plagegeister aller Art und deren Bekämpfung - 27.03.2011 (25)
  4. Worm.Autorun.B u. Adware Widgi Toolbar , Kaspersky außer Kontrolle
    Plagegeister aller Art und deren Bekämpfung - 17.11.2010 (3)
  5. Worm.W32.VB.ck(Kaspersky)
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  6. Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER
    Plagegeister aller Art und deren Bekämpfung - 03.12.2009 (14)
  7. Kaspersky Info - Angriffversuch abgewehrt Intrusion.Win.MSSQL.worm.Helkern
    Plagegeister aller Art und deren Bekämpfung - 20.04.2009 (1)
  8. intrusion.win.mssql.worm.helkern
    Plagegeister aller Art und deren Bekämpfung - 27.12.2008 (1)
  9. Intrusion.Win.MSSQL.worm.Helkern!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2008 (4)
  10. Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee)
    Log-Analyse und Auswertung - 30.12.2007 (0)
  11. Intrusion.Win.MSSQL.worm.Helkern
    Plagegeister aller Art und deren Bekämpfung - 26.12.2007 (5)
  12. Ärger mit "Intrusion.Win:DCOM.exploit" über Kaspersky und mit SmitRem
    Antiviren-, Firewall- und andere Schutzprogramme - 31.08.2007 (10)
  13. Intrusion.Win.MSSQL.worm.Helkern
    Plagegeister aller Art und deren Bekämpfung - 10.08.2007 (7)
  14. Hacker Angriff:Intrusion.Win.MSSQL.worm.Helkern! Attacker's IP.............
    Plagegeister aller Art und deren Bekämpfung - 24.01.2007 (5)
  15. Helkern!
    Plagegeister aller Art und deren Bekämpfung - 21.04.2006 (29)
  16. Helkern?
    Plagegeister aller Art und deren Bekämpfung - 20.10.2005 (4)
  17. kaspersky Monitor Warnung??
    Antiviren-, Firewall- und andere Schutzprogramme - 18.06.2003 (7)

Zum Thema Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung - Erst einmal schönen Morgen/Tag/Abend. Wie in der Überschrift zu lesen: Kaspersky warnt mich vor einem Angriff namens: Intrusion.Win.MSSQL.worm.Helkern . Ob es nun geglückt ist, oder erfolgreich abgewehrt wurde, kann ich - Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung...
Archiv
Du betrachtest: Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.