Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   win32.kapucen.b (https://www.trojaner-board.de/33599-win32-kapucen-b.html)

trialelmi 16.11.2006 16:46
win32.kapucen.b
 
ich weiss nicht ob ich hier richtig bin.

also heute morgen war auf einmal kaspersky deaktiviert
ich hab ihn sofort neu gestartet

dann kam svhost neuer zugriff aufs netzwerk erlauben ?
von der kaspersky firewall

vor ner halben stunde kam virenwarnung win32.kapucen.b konnte nur übersprungen weden da er niocht mehr an dem ort war...

im moment scanne ich grade mit dem virenscanner und trojan hunter alles ab

hat einer eine idee wie ich den los werde

http://image.to/out.php/t587_auwech.jpg

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:10:06, on 16.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Toolz\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
E:\Toolz\Unlocker\UnlockerAssistant.exe
E:\Toolz\Xfire\xfiremusic.exe
C:\Programme\Googlefilter\Core\Googlefilter.exe
C:\Programme\Elmo\Logitech\MouseWare\system\em_exec.exe
E:\Programme\Musik\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RunDLL32.exe
E:\Programme\Musik\Winamp\winampa.exe
E:\Toolz\Kaspersky Internet Security 6.0\avp.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
E:\Toolz\TuneUp Utilities 2006\MemOptimizer.exe
E:\Toolz\Norton\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Elmo\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Toolz\DynDNS Updater\DynDNS.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Elmo\Formularausfüller AiRoboForm\RoboTaskBarIcon.exe
E:\Toolz\Spybot - Search & Destroy\TeaTimer.exe
E:\Toolz\Kaspersky Anti-Hacker\KAVPF.exe
E:\Toolz\FRITZ!\FriFax32.exe
E:\Toolz\Xfire\Xfire.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Toolz\Norton\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\taskmgr.exe
E:\Toolz\Opera\Opera.exe
E:\Toolz\Modzilla Firefox 2.0\firefox.exe
E:\Toolz\TrojanHunter 4.6\TrojanHunter.exe
E:\Toolz\TrojanHunter 4.6\THGuard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\trialstar\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Arcor Content
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Windows Live
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Windows Live
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Elmo\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Toolz\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Elmo\Formularausfüller AiRoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: CoD Community v3.0 DE Toolbar - {1f860397-f956-4de9-8ca8-b4b4cf81cb3e} - C:\Programme\CoD_Community_v3.0_DE\tbCoD_.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Elmo\Formularausfüller AiRoboForm\roboform.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [kis] "E:\Toolz\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] E:\PROGRA~1\Handy\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UnlockerAssistant] "E:\Toolz\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [Xfire Music] "E:\Toolz\Xfire\xfiremusic.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Googlefilter] C:\Programme\Googlefilter\Core\Googlefilter.exe /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\Musik\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Musik\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [THGuard] "E:\Toolz\TrojanHunter 4.6\THGuard.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Toolz\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Elmo\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DynDNS Updater] "E:\Toolz\DynDNS Updater\DynDNS.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Elmo\Formularausfüller AiRoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Toolz\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FriFax32.exe.lnk = E:\Toolz\FRITZ!\FriFax32.exe
O4 - Startup: Xfire.lnk = E:\Toolz\Xfire\Xfire.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = E:\Toolz\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Toolz\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Save to &Xdrive - res://E:\Toolz\Xdrive Destop\xdrive.exe/std.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Toolz\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Elmo\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Elmo\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Elmo\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComFillForms.html (file missing)
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComFillForms.html (file missing)
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComSavePass.html (file missing)
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComSavePass.html (file missing)
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - E:\Toolz\Norton\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - E:\Toolz\Norton\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComShowToolbar.html (file missing)
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Elmo\Formularausf%FCller AiRoboForm\RoboFormComShowToolbar.html (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://night123.spaces.live.com//Pho...d/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{927F26A0-ACA1-43A8-8972-6891C7B6972D}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: E:\Toolz\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Toolz\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - E:\Programme\Brennprogz\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - E:\Toolz\Norton\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\Toolz\Norton\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Toolz\TuneUp Utilities 2006\WinStylerThemeSvc.exe

cosinus 16.11.2006 16:59
Poste ein Hijackthis-Logfile.

slG 16.11.2006 17:03
hallo,

eigenltich wäre deine Frage hier besser aufgehoben
http://www.trojaner-board.de/antivir...hutzprogramme/

Aber ich versuche mal zu helfen ;)

Dein System hat sich definitiv einen Wurm eingefangen!!

Berschreibung:

Win32:Kapucen-B kopiert sich selbst als %Temp dir%\svchost.exe und kreiert folgende Regestry Einträge: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ WindowsServicesStartup = "%Temp dir%\svchost.exe 1". Diese Einträge starten diesen Wurm automatisch jedes mal wenn windows gestartet wird.

Win32:Kapucen-B sucht dann auf den Laufwerken C, D, E nach folgenden Ordnern

* \Program files\emule\incoming
* \Download
* \T chargement
* \Incoming
* \Archivos de programa\emule\incoming
* \Program Files\Kazaa Lite K++\My Shared Folder
* \Program files\KMD\My Shared Folder
* \Program files\KaZaA Lite\My Shared Folder
* \Program files\Morpheus\My Shared Folder
* \Program files\BearShare\Shared
* \Program files\Edonkey2000\Incoming
* \My Downloads
* \My Shared Folder
* \Program files\appleJuice\incoming
* \Program files\Gnucleus\Downloads
* \Program files\Grokster\My Grokster
* \Program files\ICQ\shared files
* \Program files\KaZaA\My Shared Folder
* \Program files\LimeWire\Shared
* \Program files\Overnet\incoming
* \Program files\Shareaza\Downloads
* \Program files\Swaptor\Download
* \Program files\WinMX\My Shared Folder
* \Program files\Tesla\Files
* \Program files\XoloX\Downloads
* \Program files\Rapigator\Share

Auf anderen Laufwerken

* \Incoming

Win32:Kapucen-B kopiert sich dann selber in eine Zip oder RAR Archiv und benennt sich in folgende Dateien um.

* Setup.exe
* Install.exe
* _Run_Me_First.exe

Ein betroffenes Archive kopiert sich meist selber zu einem anderen Ordner und benennt sich in folgende Dateien um

* "<archive name> updated-fixed [Month number]-[Day].zip"
* "<archive name> updated-fixed [Month number]-[Day].rar"

Win32:Kapucen-B kreiert dann eine log.txt und öffnet diese mir einem Standard Textprogramm (meistens notepad).

Diese Log enthält folgenden Text.
Zitat:
PRE-INSTALL v1.07 (C) pUcE Software 2006 Pre-install has checked your config. Everything is ok, you can now run the setup program Enjoy!
Also am besten einen kompletten Systemscan vornehmen!!

Falls Dir ein weiterer PC mit einem CD-Brenner zur verfügung steht, lade dir Ultimative Boot Cd herunter
WinFuture.de - Ultimate Boot CD: Praktische Tools für jeden Zweck
boote diese auf dem betroffenen System von CD und scanne dein System mit den auf der CD zur verfügung gestellten Anti-Virus Programmen.

Viel Glück,

mfG

SlG

cosinus 16.11.2006 17:23
Zitat:
F3 - REG:win.ini: run=
Dieser Eintrag hinterlässt keinen positiven Eindruck...
Mach mal einen Check mit Blacklight.

trialelmi 16.11.2006 18:04
Zitat:
Zitat von cosinus (Beitrag 240512)
Dieser Eintrag hinterlässt keinen positiven Eindruck...
Mach mal einen Check mit Blacklight.

da isses sauber kein rootkit

trialelmi 16.11.2006 19:14
@sIG

http://image.to/out.php/t592_eqwewe.jpg

kein eintrag in der registrie seltsam und in ordnern die download heissen, das sind die eintigen die ich habe die so heissen wie in der liste sind keine zips mit dem namen trotzdem hatte er ja 2x den virenscanner deaktiviert. mein prob ist es nicht das system neu aufzusetzen. mein prob ist es , dass ich noch partitionen bis F habe und logischerweise diese dateien NICHT löschen will oder kann. ...


full virenscann hat 0 ergebnisse

cosinus 16.11.2006 19:40
Ich bin mir da momentan nicht so ganz sicher, ob das System nun infiziert wurde. In Deinem erstem Bild wurde eine Setup angemeckert, die sich in einem Temp-Verzeichnis befand. Woher die stammt, kann ich nicht sagen, es könnte eine von dem Kapuce.b erstellte Datei sein. Wenn die ausgeführt wurde, wunder ich mich aber, warum der typische Eintrag in der Registry (in ...\CurrentVersion\Run) nicht da ist (es sei denn Du hast ihn schon entfernt).

Ich finde da keine Infos, dass Kapuce.B auch Virenscanner etc. abschaltet, aber es könnte eine mutierte Version sein, die das mittlerweile macht. Hattest Du denn zwischenzeitlich weitere Deaktivierung des Kaspersky bemerkt?

Mein Eindruck ist, dass der nicht mehr im System hockt, aber wenn er aktiv war, eben ZIP- und RAR-Dateien manipuliert hat.
Du solltest mal alle ZIP- und RAR-Files auf Deinem Rechner scannen lassen. Scannen in Archiven muss an sein!

trialelmi 16.11.2006 20:05
so alles gescannt und die übeltäter gefunden.
http://image.to/out.php/t593_oiipiooioi.jpg

das progrramm hatte ich heute mir auf den pda installt. habs auch da sicherheitshalber alles gelöscht. virenscanner wurde 2x deaktiviert das letzte mal vor ca. 2 std so etwa. seit dem läfts wieder stabil. mal gucken hoffe das wars

ich denke das die inner temp war , kam dadurch das ich die rar nicht entpackte sondern so installtierte

cosinus 16.11.2006 22:11
Laufwerk K:? :confused:
Ist das ein Volume, also eine Partition auf einer Festplatte? :schmoll:

trialelmi 16.11.2006 23:12
jup hab c - k (h= dvd brenner) ansonsten alles partitionen aus 2 festplatten. warum so üngewöhnlich?

cosinus 16.11.2006 23:23
Zitat:
Zitat von trialelmi (Beitrag 240571)
jup hab c - k (h= dvd brenner) ansonsten alles partitionen aus 2 festplatten. warum so üngewöhnlich?
Naja, ich mag nicht sooo viele Partitions. Ich trenne zwar System- von den Datendateien, aber da reicht dann jew. eine Partition aus. Zur Organisation gibt es Verzeichnisse. :blabla:

trialelmi 16.11.2006 23:33
naja wenn eine 250gb is hast problem wenn du defragmentieren willst deswg halt ^^

cosinus 17.11.2006 17:42
Zitat:
Zitat von trialelmi (Beitrag 240575)
naja wenn eine 250gb is hast problem wenn du defragmentieren willst deswg halt ^^
Ich hab auch eine 250 GB (=232 GiB) Platte, Aufteilung ist

C: 5 GiB
D: 227 GiB

Die Datenpartition defragmentiere ich nicht! Da hab ich unzählige DVD-Images, mp3s etc drauf.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19