HI,

bin heute zum ersten mal hier!
Hab irgendeinen Dreck auf dem Rechner und weiß mir keinen Rat!
Habe escan laufen lassen und es hat 5 Vieren gefunden 2 gelöscht und 3 umbenannt. Was heißt das? Warum umbenannt und nicht gelöscht wie die anderen beiden? Was soll ich jetzt machen? Bin für jeden Tipp dankbar.

Hallo juniemond,

hattest Du den eScan wie beschrieben erst online geupdatet und dann offline im abgesicherten Modus ausgeführt? Wie heissen die Viren, die gefunden worden sind? Dateien werden umbenannt, wenn sie nicht gelöscht werden können.

Erstelle ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste hier ins Forum.

SD

hat sich erledigt: Doppelposting siehe 7677

SD

ich nochmal:

Hier noch mein HijackThis Logs.
Würde mich über eine Auswertung freuen!



Logfile of HijackThis v1.98.2
Scan saved at 23:18:37, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Lavasoft\Trojancheck 6\tcguard.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\frn_inss\frn_inss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://diraba.teledata.de/dab_neu/mu...nh=0&dp=depot1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Lavasoft\Trojancheck 6\tcguard.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095604666859
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 62.104.191.241 62.104.196.134


Danke


p.s.: Was ist mit meiner vorrangegangenen Frage?

Hallo juniemond,

- scanne bitte mit dem online-scan von Kaspersky folgende Datei:

C:\Programme\frn_inss\frn_inss.exe

- teile uns bitte das Ergenis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Solltest Du diese beiden Seiten nicht kennen, kannst Du sie im abgesicherten Modus mit Hijack This fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://diraba.teledata.de/dab_neu/m...&nh=0&dp=depot1

- besuche dann www.windowsupdate.com und lade das SP2 runter.

Zitat:

Escan hat 4 Fehler gefunden vermudlich die vier Vieren die es ohne das update schon gefunden hatte. Muss ich jetzt noch aktiv werden wenn escan die Vieren gelöscht bzw. umbenannt hat?

In welcher Weise willst Du aktiv werden? Die Viren sind entweder gelöscht oder umbenannt. Kennst Du die Namen der Viren? Vielleicht kannst Du sie uns zusammen mit dem Ergebnis der zu überprüfenden Datei mitteilen.

Gruss
Shadowdance

Hi Shadowdance

Die Datei: C:\Programme\frn_inss\frn_inss.exe ist sauber.


Escan hat im abgesicherten Modus folgende Vieren gefunden:

Backdoor.SdBot.oy
wupdate.exe
Backdoor.Rbot.gen
Trojan.Win32.Pakes

Gruß juniemond

Hallo

Ich habe escan wie beschrieben in C:\bases runtergeladen. Durch einen Doppelklick entpackt es sich automatisch..(startet)... Wie kann ich jetzt ein update machen?
Die Datei kavupd.exe existiert bei mir nirgends.

Im Abgesicherten Modus hat escan ohne update folgendes gefunden:

1. Sun Sep 19 13:56:19 2004 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.SdBot.oy" Virus. Action Taken: File Renamed.
2. Sun Sep 19 13:56:03 2004 => *** Killing Infected Process C:\WINDOWS\System32\wupdate.exe...
3. Sun Sep 19 13:56:45 2004 => File C:\WINDOWS\System32\msimn.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
4. Sep 19 13:56:59 2004 => File C:\WINDOWS\System32\scrgrd.exe infected by "Trojan.Win32.Pakes" Virus. Action Taken: File Deleted.

Was jetzt ?

Zitat:

ch habe escan wie beschrieben in C:\bases runtergeladen. Durch einen Doppelklick entpackt es sich automatisch..(startet)... Wie kann ich jetzt ein update machen?

Wie oft willst du das noch posten? http://www.trojaner-board.de/showthread.php?t=7720

Zitat:

Was jetzt ?

http://www.trojaner-board.de/showpos...96&postcount=9

Sorry wenn ich mich jetzt nochmal melde, aber meine Frage, ob ich mit dem Ergebniss von escan jetzt ruhig schlafen kann oder nicht, habt Ihr noch nicht beantwortet!

Die Datei: C:\Programme\frn_inss\frn_inss.exe ist sauber.


Escan hat im abgesicherten Modus folgende Vieren gefunden:

Backdoor.SdBot.oy
wupdate.exe
Backdoor.Rbot.gen
Trojan.Win32.Pakes

und hat sie umbenannt.

Ist jetzt alles OK?

MFG juniemond

@juniemond

kuckst du hier
http://www.sophos.de/virusinfo/analyses/w32sdbotoy.html
und hier
http://spotlight.de/zforen/sec/m/sec...385-18369.html

und lese doch mal hier http://www.mathematik.uni-marburg.de...ompromise.html

du kannst nicht ruhig schlafen gehen.
dein system ist kompromittiert.
gehe am besten sofort aus dem netz und setze neu auf.
ändere deine passwörter.
chaosman

Danke für deine Hilfe!!

Mein Problem ist aber noch nicht gelöst!!!

Deine Antwort:

Du sollst auch nicht doppelklicken!
Rechtklick auf das Archiv -> Dateien entpacken -> Unter Zielverzeichnis folgendes eingeben: C:\bases -> OK

Meinst Du mit "Rechtsklick auf das Archiv", den rechtsklickauf die runtergeladene Datei? Wenn ja, dort finde ich kein Archiv??????
Ich großes schwarzes Loch!!!! Sorry

Rechtklick auf die mwav.exe und danach die weitere Vorgehensweise ausführen.

Du machst Spass oder?

Sag mir bitte, dass das Spass war!
Gibt es keine andere Möglichkeit?

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Mein PC ist anders bei dem geht das nicht!!!!!!!!

Wenn ich einen rechtsklick mache...... kann ich leider nicht die beschriebene
Vorgehensweise tätigen, weil ich nicht die Option habe "Dateien entpacken" sonst würde ich das schon hinbekommen! Prost, jetzt brauch ich ein Bier.

Weist Du Dir jetzt noch einen Rat?