|
Plagegeister aller Art und deren Bekämpfung: Problembeschreibung ! HELP !!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.09.2004, 19:07 | #1 |
| Problembeschreibung ! HELP !! Hi, bin neu hier und hab im moment ziemlich stress mit meiner kiste... folgendes Problem: Mein systemschutz hat gemeldet, dass der registrierungseintrag vom Windows mediaplayer geändert wurde. ich habe "ausversehen" auf zulassen geklickt, nun sind alle mediendateien mit einem wmplayer.exe im odner windows\system32 anstatt dem üblichen programme\medienplayer verlinkt... die Neue WMPLAYER.EXE ist nur noch 108 (?) kb grob, die richtige hingegen 508 kb !! also muss das wohl ein virus sein. bei der nächsten internetverbindung hat die firewall auch gleich gemeldet, dass wmplayer versucht sich anzumelden. und wenn ich auf eine mediendatei klicke um sie zu öffnen, tut er das auch nicht ( klar, is ja ne falsche .exe )... ! Wenn ich inhalt des ordners medienplayer lösche, taucht er kurz darauf wieder auf. genauso beim iexplorer , aber den benutz ich sowieso nicht. benutze mozilla. ( nur falls das etwas damit zu tun hat ) Ich weiss nicht wie ich den virus, oder was das ist, wegbekomme und bräuchte mal den rat von n paar leuten, die sich damit auskennen. wär echt super wenn mir jemand helfen könnte. Ich denke, das Problem liegt nicht am Medienplayer selbst, sondern allgemein an einem virus der sich an alle gängigen .exe dateien hängt und die registry ändert, die man aufruft. weiß jemand wie ich den virus ENTGÜLTIG beseitigen kann ? glaub nämlich der hat sich an mehrere .exe's angehängt, zumindest meldet meine firewall auch andere programme, die aufs inet zugreifen wollen, obwohl dies für diese normal nicht üblich ist ! Wär euch echt dankbar !!! danke schonmal im voraus Overlord |
25.09.2004, 19:24 | #2 |
| Problembeschreibung ! HELP !! @Overlord
__________________downloade doch mal HJT,http://www.trojaner-board.de/51130-a...ijackthis.html mache mal einen scan, und poste die hier im Board chaosman
__________________ |
25.09.2004, 19:45 | #3 |
| Problembeschreibung ! HELP !! Also HJT sagt folgendes:
__________________Logfile of HijackThis v1.98.2 Scan saved at 20:40:27, on 25.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\winsystem.exe C:\WINDOWS\System32\MSupdate32.exe C:\WINDOWS\System32\TikTo.exe C:\WINDOWS\System32\MSlti32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\Software\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows System Manager] winsystem.exe O4 - HKLM\..\Run: [msconfig service] MSupdate32.exe O4 - HKLM\..\Run: [Task manager] TikTo.exe O4 - HKLM\..\Run: [Microsoft AUT Update] MSlti32.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CmiRemoveDir] C:\WINDOWS\CMIRMR~1.EXE O4 - HKLM\..\RunServices: [Windows System Manager] winsystem.exe O4 - HKLM\..\RunServices: [msconfig service] MSupdate32.exe O4 - HKLM\..\RunServices: [Task manager] TikTo.exe O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Windows System Manager] winsystem.exe O4 - HKCU\..\Run: [Task manager] TikTo.exe O4 - HKCU\..\Run: [Microsoft AUT Update] MSlti32.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096111247453 |
25.09.2004, 19:52 | #4 |
Gast | Problembeschreibung ! HELP !! Da ist einiges drin! Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 |
25.09.2004, 19:55 | #5 |
| Problembeschreibung ! HELP !! @Overlord du hast mehrere Trojaner im system, ich würde neu aufsetzen, daß system ist als kompromittiert zu betrachten. d.h. dein system ist nicht mehr unter deine kontrolle http://oschad.de/wiki/index.php/Kompromittierung setze neu auf und ändere deine passwörter chaosman
__________________ Bonus vir semper tiro |
25.09.2004, 19:56 | #6 |
Administrator, a.D. | Problembeschreibung ! HELP !! Hallo Overlord, das sieht gar nicht gut aus, auf deinem System wimmelt es nur von Backdoor Trojaner. Daher wäre imho am sichersten und sinnvollsten, wenn du dein System neu aufsetzen würdest, da dies nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Das sind die Übeltäter: C:\WINDOWS\System32\winsystem.exe => W32/Dumb-A C:\WINDOWS\System32\MSupdate32.exe => WORM_SPYBOT.GEN C:\WINDOWS\System32\TikTo.exe => WORM_RBOT.LV C:\WINDOWS\System32\MSlti32.exe => Backdoor Rbot.gen Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken
__________________ --> Problembeschreibung ! HELP !! |
25.09.2004, 20:07 | #7 |
Gast | Problembeschreibung ! HELP !! Er soll ruhig mal mit eScan scannen ........ vielleicht finden wir ja was neues. |
26.09.2004, 13:57 | #8 |
| Problembeschreibung ! HELP !! Hi, hier bin ich wieder ! danke für die schnelle Hilfe !! Habe nun alle Daten gesichert ( auf 10 CDs ^^ ) und alle Partitionen formatiert. Nun hab ich Windows frisch aufgespielt und von einem fremden, sauberen PC HJT , Antivir, ZoneAlarm, Adaware, RegCleaner, Spybot, Mozilla, Thunderbird gezogen, auf viren überprüft und auf meinem system installiert. jetzt bin ich das erste mal im internet. hier ist die neue HJT Log: Logfile of HijackThis v1.98.2 Scan saved at 14:52:33, on 26.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Antivir\AVGNT.EXE C:\Programme\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\rundll32.exe C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{45361F74-83D3-4335-BCDA-EA779A0E6861}: NameServer = 217.237.150.33 217.237.151.161 O17 - HKLM\System\CS1\Services\Tcpip\..\{45361F74-83D3-4335-BCDA-EA779A0E6861}: NameServer = 217.237.150.33 217.237.151.161 was meint ihr dazu ? hab ich alles wegbekommen ? gibt es die windows updates und sicherheitspakete auch auf irgendner page als .exe zum downloaden , dass ich net den ie benutzen muss ?!? Danke nochmal für die Hilfe !!! mfg, overlord |
26.09.2004, 14:07 | #9 | ||
Administrator, a.D. | Problembeschreibung ! HELP !!Zitat:
Zitat:
|
26.09.2004, 16:07 | #10 |
| Problembeschreibung ! HELP !! Ok, vielen Dank nochmal an alle !! Endlich wieder virenfrei =) jetz nur noch die passwörter ändern dann passts. mfg, overlord PS: klasse Page ! |
Themen zu Problembeschreibung ! HELP !! |
allgemein, aufruf, bräuchte, dateien, falsche, firewall, folge, helfen, help, hängt, iexplorer, internetverbindung, kis, klicke, leute, mediendateien, mehrere, neu, neue, problem, programme, registry, super, system32, systemschutz, verbindung, virus, windows, öffnen |