|
Plagegeister aller Art und deren Bekämpfung: Kompletter Zugang eingeschränkt, etc.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.01.2009, 19:34 | #1 |
| Kompletter Zugang eingeschränkt, etc. Ich mal wieder. Und zwar habe ich diesmal folgendes Problem: Ich habe mir einen Crack gezogen ( Jo, ich weiß, dass war schon mein erster Fehler ) um zu gucken, wie die Struktur von dem Crack aussieht ( Handelte sich um normalen 0815 Crack, der aber wahrscheinlich nen Virus mitgeliefert hatte ). Dieser Virus erstellt bei mir unter C:\RECYCLER\ eine Datei die eine total lange Zahlenlänge hat und mit der Endung *.com endet. Das Problem ist, dass sich auch noch im Root der C:\ Festplatte eine Autorun.inf erstellt hat mit folgendem Inhalt: Code:
ATTFilter [autorun] ;xwdyvapvoreuzkpzrtaiidzrlgylytm shellexecute="RECYCLER\S-9-8-31-100015393-100002545-100017132-9110.com c:\" ;ufdotcmcwimpyneijo shell\Open\command="RECYCLER\S-9-8-31-100015393-100002545-100017132-9110.com c:\" ;qnxbqhqbtcvcmhwbzugxcqhbwnmhdytqovaulcrggqdjpjatjnlhxm shell=Open Hab hier auch noch Hijack Post: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:32:27, on 29.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spark\Spark.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Opera\Opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Spark] C:\Programme\Spark\Spark.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{88409BEF-8641-42DE-AC60-07CE91D13790}: NameServer = 85.255.116.77,85.255.112.212 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.77,85.255.112.212 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.77,85.255.112.212 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- End of file - 2951 bytes |
Themen zu Kompletter Zugang eingeschränkt, etc. |
.com, antivir, antivirus, aufrufe, avira, explorer, fehler, festplatte, geliefert, google, handel, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, messenger, micro, microsoft, opera, problem, programme, software, spark, system, updates, virus, windows, windows xp |