|
Log Datei Hallo erstmal, eine Kollege von mir hat Probleme. Er kann plötzlich keine Dos Programme mehr unter XP öffnen. Bisher gings. Code: Logfile of HijackThis v1.99.0Auch WinServAd.exe sieht mir nicht vertrauenswürdig aus. Ein bisschen schockiert hat mich, das er noch nie ein Update gemacht hat(hatte wohl keine Lust ein Update bei ISDN zu machen) :kloppen: Malte |
Hallo, Zitat:
|
Danke, auch für die schlechte Naricht. Werden dem Bekannten wohl empfehlen müssen eine Neuinstallertion durchzuführen. Nur doof das er Selbst. Schreiner ist und wohl keine Backups gemacht hat(hat schließlich auch kein Win Update gemacht). Kann man jetzt z.B. eine Image seiner aktuellen Platte machen. Dann XP sauber neu installieren/Scanner drüberlaufen lassen über das Image und dann die Daten zurückkopieren(nur die Daten die er erstellt hat) Oder besteht die Gefahr, das darunter wieder befallene Dateien sind? Kannste noch über meine Log schauen. Glaube aber nichts gefunden zu haben. Code: Logfile of HijackThis v1.99.0Danke |
@maltejahn zu dein logfile wechsle in den abgesicherten modus und fixe O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O23 - Service: COM+-Systemanwendung - Unknown - C:\WINDOWS\System32\C:\PROGRA~1\DAP\dapextie2.htm (file missing) O23 - Service: MS Software Shadow Copy Provider - Unknown - C:\WINDOWS\System32\dllhost.exe (file missing) folgend datei manuell löschen C:\PROGRA~1\DAP\dapextie2.htm falls du den DAP downloader benützt, er holt dir spyware auf den rechner. ich würde den löschen. neu starten, und ein neues logfile posten chaosman |
Zitat:
Zitat:
Les mal: http://oschad.de/wiki/index.php/Dateiendungen und http://oschad.de/wiki/index.php/Kompromittierung |
Zitat:
Bisher konnte ich ihn noch nicht von einer Neuinstallation überzeugen. Trotz: Zitat:
Komisch ist auch das Antivir nichts gefunden hat, aber der Online Scan von Panda hunderte Warnungen(das genaue Ergebnis weiß ich nicht. Aber am ende des Gesprächs war er bei 260 Warnungen). Was ist eigentlich das beste kostenlose Antivirenprogamm. War glaube ich F-Prot das unter Dos auf 3 Disketten lief(der hat mir schon einen Virus im Boot Sektor gefunden - hatte plötzlich kein CD Laufwerk mehr.) Am besten soll er sich einen P3 über Ebay zulegen auf dem er seine Kalkulation, etc laufen hat und diesen vom INET trennen. So nun zu meinem Problem. Hier die neue Log Code: Logfile of HijackThis v1.99.0Frage nebenbei. Ich habe ja einen Router der einen gewissen Schutz bietet. Kann, wenn z.B. auf meinem PC eine Virus greift, ein anderer PC im Netzwerk auch dadurch angegriffen werden(also einfach sich an die IP Adressen des Bereichs 192.168... versendet). Es würde ja immer noch eines aktiven eingriffes des Usern erfodern(ausführen) Malte |
Zitat:
http://www.mathematik.uni-marburg.de...ompromise.html insbesondere Punkt 5 aufmerksam lesen http://www.mathematik.uni-marburg.de...c-removal.html http://oschad.de/wiki/index.php/Kompromittierung http://www.heise.de/newsticker/meldung/51689 Zitat:
Zitat:
Zitat:
Zitat:
btw: Wenn eine Malware auf deinem System gegriffen hat, sprich aktiv geworden ist, dann kann sie sich je nach Schadroutine durchaus weiter versenden. |
Hallo nochmal, ich drehe noch durch. Ich hätte den PC schon lange Formatiert. Jetzt hat er unter Trend Micro eine Anleitung zu entfernen gefunden(div. Registry Einträge löschen - die es allerdings nicht gab). Jetzt hat er mir eine neue Log geschickt. Die NVSD32.exe ist komischerweise weg, aber dafür neue sachen. Code: Logfile of HijackThis v1.99.0Code: O17 - HKLM\System\CCS\Services\Tcpip\..\{EF14A8CF-EC39-45F5-BA3D-8E182F824FB8}: NameServer = 192.168.120.252,192.168.120.253Code: O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dial...b?x=1047497548Und was soll eigentlich dies: Code: http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103969014545Wirklich komisch finde ich, das besagt NVSC32.exe nicht an den von Trend Micro beschriebenen orten der Registry zu finden war. Kann es sein, ds er das Ding wegbekommen hat? Er liegt mir seit Tagen in den Ohren und ruft mich ständig an, aber ich weiß doch auch nichts(außer format c:) Malte |
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Hat er denn alle Sicherheitspatches installiert? Dieser Eintrag http://v5.windowsupdate.microsoft.co...?1103969014545 stammt ja von windowsupdate, aber ich sehe keine Servicepacks und der IE ist auch nicht auf dem aktuellen Stand. Falls Windows nicht upgedated wird, braucht man auch gar keine zusätzlichen Trojaner, da genügen schon die Sicherheitslücken des Betriebssystems als Angriffspunkte. O17 - HKLM\System\CCS\Services\Tcpip\..\{EF14A8CF-EC39-45F5-BA3D-8E182F824FB8}: NameServer = 192.168.120.252,192.168.120.253 ist ok O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dia...ab?x=1047497548 ist sicher ein Dialer, gehört also gefixt und gelöscht. Die besondere Gefährlichkeit von backdoorprogrammen wie wootbot besteht darin, dass, sobald jemand von Außen darüber Zugriff hatte, weitreichende Manipulationen des Rechners möglich sind, die man nicht mehr oder zumindest nicht so einfach nachvollziehen kann. Der erste Trojaner dient sozusagen nur für die Erstinfektion, danach können weitere entsprechende Programme so versteckt werden, dass man sie nicht mehr so leicht entdecken kann. Es kann also gut sein, dass der Wootbot zwar weg ist, aber sich inzwischen weitere, noch nicht aufgefundene Schädlinge auf dem Rechner befinden. Bei Rechnern, die sensible Daten enthalten, ist der Verzicht auf eine saubere Neuinstallation, die allein in einem solchen Fall ein definitv sauberes System garantieren kann, nur als fahrlässig zu bezeichnen, da man hier immer vom schlimmstmöglichen Fall ausgehen sollte. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board