|
help :( Hi, Ich versuche grad meinen PC zu säubern und bräuchte da ein wenig Hilfe. Der Symantec Online Check hat eine Datei gefunden, die mit "Download.Trojan" infiziert sein soll. Aber ich hab keine Ahnung welche Datei und wie ich das Ding los werde. Hab mal HijackThis - v1.99.0 laufen lassen : Logfile of HijackThis v1.99.0 Scan saved at 16:51:54, on 05.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\htpatch.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Miranda IM\miranda32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\try2be\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107618195716 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3688A514-1A91-451F-91F8-CF3F7C0EC95F}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe Ich hoffe mal mir kann hier jemand helfen :) |
@try2bee Zitat:
Dein System bedarf dringendst die Installation von SP2! Danach: Mach Update der Virensignaturen und Fullscann mit NAV. Notiere bitte absolut genau alle Befunde mit Namen und Pfaden. Poste die Ergebnisse hier. |
Ja, wenn du mir sagst was NAV ist und woher ich das bekomme, gerne :) ...sry hab nich so die ahnung und was is mit "Download.Trojan" ?! |
@try2bee Zitat:
Windows XP ServicePack 2 bekommt man: 1. Im Internet: http://www.microsoft.com/windowsxp/sp2/default.mspx 2. ComputerBild-Zeitschrift und Konsorten (CHIP, PCWELT..) 3. Bei Freunden, Bekannten usw. Mittlerweile Fullscan mit AVPE (aktuelle Updates herunterladen!!!) musst du trotzdem machen. Der Name des Trojaners ist: a) Sehr ungenau b) Es gibt keine Pfadangaben Somit ist keine Aussage möglich. |
ja ok.... SP2 saug ich grad. Aber woher soll ich Norton Anti Virus bekommen. Das gibbet ja net umsonst, oder ? |
@try2bee Zitat:
Zitat:
|
Ja schon aber du hast gesagt, dass ich erstmal updaten soll. "Mach Update der Virensignaturen und Fullscann mit NAV. Notiere bitte absolut genau alle Befunde mit Namen und Pfaden. Poste die Ergebnisse hier" aber bei dem online ding kann ich ja nix updaten, deswegen hab ich gedacht ich soll was anderes benutzn |
Hab grad gescannt mit dem symantec security check : http://www.symantec.com/region/de/avcenter/ Virenstatus: Infiziert! Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert 79121 Dateien geprüft 1 infizierte Datei(en) auf Ihren Laufwerken. Es wurden keine Viren im Arbeitsspeicher gefunden. Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten. C:\WINDOWS\system32\.pif ist infiziert mit Download.Trojan Und nu ? Wie ich das sehe soll man mit Norton den Virus entfernen. Das hab ich aber nicht :( |
Du brauchst die Symantec Produkte nicht, du kannst auch die Datei manuell entfernen. |
wärest du denn so nett und würdest mir auch sagen wie ich das anstellen soll ? |
@try2bee wechsle in den abgesicherten modus und lösche danach manuell(von Hand) diese datei C:\WINDOWS\system32\.pif neu booten chaosman |
Gut danke hab ich grad mal gemacht. Kann mir bitte noch einer sagen womit ich am besten mein system mal komplett durchcheck, damit ich sicher gehn kann, dass nu alle viren weg sind ? |
@try2bee Zitat:
Es gibt kein Tool oder Programm, das es absolut zuverlässig, d.h. mit 100% Sicherheit, ermitteln kann. |
jep. zwar hat microsoft mal so einen ansatz bei win98 probiert (sfc.exe), allerdings hat der kaum was gebracht.. |
najut , danke schon mal... Welches Programm würdet ihr mir denn empfehlen ? Ich habe da aber noch zwei Probleme: 1. Ich habe grad mal Spybot S&D durchlaufen lassen. Und der hat mehrere Sachen gefunden. Allerdings konnte er "Elitum.EliteBar - 2 entries" nicht löschen und hat mich aufgefordert den Pc neuzustarten und das Programm dann direkt automatisch laufen zu lassen. Allerdings konnte er dieses Elitum dann wieder nicht entfernen. 2. Ich hab gestern die Firewall ZoneAlarm installiert. Und innerhalb von circa 24 Stunden habe ich nun 4778 Eindringungsversuche, die verhindert wurden, wovon 521 Warnungen ersten Ranges entsprachen. Dann hab ich grad nen Kumpel gefragt der die Firewall schon seit Wochen aufm Pc hat und der hat erst um die 30 Eindringungsversuche. Da kann ja irgendwas nicht stimmen. Ich hoffe mir kann da auch jemand helfen :/ |
weg mit der firewall plz. die zugriffsversuche gehen von portscannern aus... firewalls sind nutzlos.. konfiguriere dein windows lieber mit dem prog von www.dingens.org oder von www.ntsvcfg.de achja auch die 10 Gründe, warum eine firewall nutzlos ist sind auch recht interessant. zur sicherheit aber: -lade dir escan runter und gehe genau nach dieser anleitung vor -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum |
@try2bee Zitat:
Zitat:
Wenn du es nicht finden solltest, heißt es: dein PC ist so stark kompromittiert, dass Malware unter der maske der Windows-Software funktioniert. In dem Fall hilft nur das: http://www.trojaner-board.com/showthread.php?t=12154 Zum Thema Firewall hat sich Chris14 schon geäußert (FULL ACK!) |
Könntest du mir den Begriff "portscanner" erläutern ? und wieso wird mein kumpel da nicht "gescannt" ? Ich bitte auch um Anwort für meinen Spybot-Fall :) |
beim portscanner hab ich mich geirrt. du hast vermutlich ein prog drauf, dass einen port nach außen öffnet, deshalb die blockierten zugriffe. ein portscan ist, wenn ein programm benutzt wird, das einfach eine gesamte iprange und spezielle ports scannen soll |
@try2bee Zitat:
Zitat:
|
@ try2bee: Würde mal auch Das hier starten. Angenehmer Nebeneffekt: Schließen der Ports. @ Rene-Gad: Hab zu spät gesehen, daß Du auch schon dingens.org empfohlen hast. ;) |
Mhja ich hab grad meinen Router umgetauscht und warte noch darauf, dass ich den wieder bekomm. Deswegen weiss ich net ob ich das Programm brauch, weil ich keine Ahnung hab ob der dieses NAT hat. Ich habe grad von eScan (v 4.8.7) gelesen und lass das nun mal laufen. Es hat schon 4 Sachen gefunden, aber es sieht so aus als würde das noch eine Weile laufen. Ich werd die Ergebnisse hier nachher posten. |
So hab eScan nu im abgesicherten Modus laufen lassen und vorher die Systemwiederherstellung deaktiviert. Ergebnis : Sun Feb 06 14:21:55 2005 => File C:\WINDOWS\shch.exe infected by "Backdoor.Win32.Webdor.p" Virus. Action Taken: No Action Taken. Sun Feb 06 14:32:25 2005 => File C:\Dokumente und Einstellungen\try2be\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6E6HPX4Y\bridge-c29[1].cab infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. Sun Feb 06 14:41:52 2005 => File C:\Dokumente und Einstellungen\try2be\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHUJ6ZKP\dl[1].exe infected by "Trojan-Downloader.Win32.Agent.il" Virus. Action Taken: No Action Taken. Sun Feb 06 15:15:59 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sun Feb 06 15:15:59 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SFBHO.DLL.VIR Sun Feb 06 15:15:59 2005 => File C:\Programme\AVPersonal\INFECTED\SFBHO.DLL.VIR infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken. Sun Feb 06 15:15:59 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SFBHO13[1].DLL.VIR Sun Feb 06 15:15:59 2005 => File C:\Programme\AVPersonal\INFECTED\SFBHO13[1].DLL.VIR infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken. Sun Feb 06 15:37:42 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. Sun Feb 06 15:38:59 2005 => File C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken. Sun Feb 06 15:47:00 2005 => File C:\WINDOWS\shch.exe infected by "Backdoor.Win32.Webdor.p" Virus. Action Taken: No Action Taken. Sun Feb 06 15:55:43 2005 => File C:\WINDOWS\Temp\suicidetb.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken. Sun Feb 06 16:01:20 2005 => ***** Scanning complete. ***** Sun Feb 06 16:01:20 2005 => Total Files Scanned: 82680 Sun Feb 06 16:01:20 2005 => Total Virus(es) Found: 13 Sun Feb 06 16:01:20 2005 => Total Disinfected Files: 0 Sun Feb 06 16:01:20 2005 => Total Files Renamed: 0 Sun Feb 06 16:01:20 2005 => Total Deleted Files: 0 Sun Feb 06 16:01:20 2005 => Total Errors: 17 Sun Feb 06 16:01:20 2005 => Time Elapsed: 01:39:54 Sun Feb 06 16:01:20 2005 => Virus Database Date: 2005/02/05 Sun Feb 06 16:01:20 2005 => Virus Database Count: 117251 Sun Feb 06 16:01:20 2005 => Scan Completed. HIIIIIIIIIIIIIIIILFEEEEEEEE :heulen: |
@try2bee Vorgehensweise bei einem Backdoor: Du musst (nicht mehr) dein PC 1.Vom Internet trennen 2.Neu aufsetzten inkl alle Patches und Updates: http://www.trojaner-board.com/showthread.php?t=12154 3 Vernünftig absichern: http://faq.underflow.de/#SECTION000110000000000000000 4.Alle Passwörter wechseln. Noch Details: http://faq.underflow.de/#SECTION000120000000000000000 http://www.microsoft.com/technet/arc.../10imlaws.mspx |
Mh k, aber wie komm ich an Windows updates und so wenn ich nich ins internet darf bevor ich die habe ?! |
@try2bee Zitat:
1. Microsoft Deutschland 2. In den PC-Zeitschriften 3. Anfrage bei den Freunden, Bekannten usw. bringt auch was. |
Najut dann werd ich das mal machen. Noch eine Frage : Kann ich mir sicher sein, dass alle viren und trojaner weg sind, wenn ich meine partitionen lösche und eine neue beim installieren von Win Xp erstelle? und : Kann ich persönlich dateien, wie word dokumente und bilder, und auch kleine tools wie escan brennen und dann nachm neuaufsetzen benutzen? oder is das zu gefährlich? noch was.... DANKE SEHR ! |
juhu ? ich würd das gern wissen damit ich formatieren kann :/ |
Ich habe mein system neu aufgesetzt und habe grad escan nochma durchlaufen lassen. der findet aber noch : Mon Feb 07 20:58:06 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. was is das ? |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board