Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte Hilfe (https://www.trojaner-board.de/17182-bitte-hilfe.html)

bluehouseman 28.04.2005 19:54
Bitte Hilfe
 
Hey leute, so wie es aussieht habe ich einen trojaner! Hijackthis findet ihn auch, habe ihn dann versucht zu löschen klappt aber nicht!(vll mach ichs auch falsch!)

Hier mal mein log

Logfile of HijackThis v1.99.1
Scan saved at 20:54:14, on 28.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Skype Phone\Skype.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\PROGRA~1\Sitecom\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christopher Ruff\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {D4FD3E7F-134B-3265-8C6A-C70ABD1A2E09} - C:\WINDOWS\system32\winsv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKCU\..\Run: [BySoft FreeRAM] D:\Programme\BySoft-FreeRam\FreeRAM.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/154b031d...dxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF5847D7-8B3D-40E1-A0CA-681F0898372E}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

DAnke schon mal im voraus

Passat2002 29.04.2005 07:50
hi

hast du ein anderes logfile als ich ?
---------------------------------
Zitat:
Platform: Windows XP XXX (WinNT X.XX.XXXX)
MSIE: Internet Explorer v6.00 XXX (X.XX.XXXX.XXXX)
windows-update durchführen, entweder direkt von hier, oder cd bestellen bei Microsoft oder einer heft-cd
--------------------------------
diese dateien bitte hier zur überprüfung und weiterleitung hochladen

C:\WINDOWS\system32\winsv.dl
D:\Programme\BySoft-FreeRam\FreeRAM.exe
---------------------------------------
bitte diese dateien auch hier bei Jotti oder Virustotal überprüfen lassen, ergebnis hier posten.
---------------------------------------
bei windows xp und windows me, sollte man zuerst versuchen, mit hilfe der systemwiederherstellung den rechner in einen früheren zustand zu bringen, wähle einen herstellungspunkt, der vor der infektion liegt, system neu starten.
---------------------------------------
start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein,oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein möglicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.
---------------------------------------
meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.
---------------------------------------
start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und einstellungen nie aktivieren
---------------------------------------
explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten, und alle temp. ordner suchen, sind noch dateien vorhanden manuell löschen)
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
---------------------------------------
download von spybot s&d sowie adaware, update ziehen, beenden.
aktualisiere deine antivirensoftware, freeware gibt es hier
---------------------------------------
wenn die oben zu analysierenden dateien als malware identifiziert wurden -> , dann
deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von winxp und fixe mit HijackThis die nachfolgenden einträge

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D4FD3E7F-134B-3265-8C6A-C70ABD1A2E09} - C:\WINDOWS\system32\winsv.dll
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKCU\..\Run: [BySoft FreeRAM] D:\Programme\BySoft-FreeRam\FreeRAM.exe

HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA

C:\WINDOWS\system32\winsv.dll
D:\Programme\BySoft-FreeRam\FreeRAM.exe

neustart wieder in den abgesicherten modus und nun zuerst mit deiner antivirensoftware, dann mit adaware und zum schluss mit spybot s&d scannen und fehler beheben lassen.

neustart -> normalmodus

onlinescan mit panda oder housecall durchführen

dann Registry-Optimierer ausführen
downloadseite
direktdownload

altuelles logfile erstellen und hier posten

bluehouseman 03.05.2005 08:29
AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Agent.BC-tr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bc gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Embedded.TrojanDownloader.Win32.Agent.bc gefunden (mögliche Variante)

------------------------------------------------------------------
start->systemsteuerung->software->programme ändern oder entfernen
------------------------------------------------------------------
Diese Programme kann ich nicht deinstallieren, habe sie auch nie installiert!

SHOPPING WIZARD: Beim Entfernen kommt folgende Meldung: "http://looking-for.cc/uninstall/ShoppingWizard.html"
konnte nicht geöffnet werden.
Home SEARCH ASSISTENT: Meldung: "http://looking-for.cc/uninstall/HomeSearchAssistent.html" konnte nicht
geöffnet werden.
HOME SEARCH EXTENDER: Meldung: "http://looking-for.cc/uninstall/SearchExtender.html" konnte nicht
geöffnet werden.
------------------------------------------------------------------
D:\Tools\HighJackThis\HighJackThisBackups\backup-20050102-124935-391.dll ist infiziert mit Spyware.Relevancy
D:\Tools\HighJackThis\HighJackThisBackups\backup-20050102-125717-970.Vdll ist infiziert mit Adware.GameSpyArcade
C:\WINDOWS\system32\cmd.ftp ist infiziert mit W32.Sasser.Worm
C:\WINDOWS\system32\TFTP160 ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\TFTP3688 ist infiziert mit W32.Spybot.Worm
C:\Programme\GameSpy Arcade\Aphex.exe ist infiziert mit Adware.GameSpyArcade
C:\Programme\GameSpy Arcade\ArcRes.dll ist infiziert mit Adware.GameSpyArcade
------------------------------------------------------------------
Hallo,
Wir haben Ihre Datei winsv.dll überprüft und kamen zu folgendem Ergebnis:
Trojan-Downloader.Agent.bc

Danke!
MfG
Christian
------------------------------------------------------------------
Infected ordner nicht gefunden!
------------------------------------------------------------------
cookies, Verlauf geleert!
------------------------------------------------------------------
Im Abgesicherten Modus alle, mir genannten einträge gefixt, Delete on Reboot konnte ich nicht machen da die datei winsv.dll nicht da war, habe sie nicht gefunden!

Bin jetzt ca. 10 min online und es wurden noch keine Favoriten verändert und es haben sich keine "Only the best" Pop ups geöffnet!

Hoffe das es das jetzt war und alles wieder ok ist!

Vielen vielen dank für deine Hilfe, ohne die wäre ich wirklich aufgeschmissen gewesen!

MFG

Hier mal das neue logfile noch..
--------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 09:25:14, on 03.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Skype Phone\Skype.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christopher Ruff\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/154b031d...dxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF5847D7-8B3D-40E1-A0CA-681F0898372E}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Rene-gad 03.05.2005 08:33
@Passat2002
Zitat:
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
IMHO das Setzen vom IE auf Autostart ist eine Benutzer-Sache und somit muss nicht verboten werden ;) .

Passat2002 03.05.2005 10:34
hi, ein wenig gibt es schon noch zu ändern

Zitat:
Zitat von bluehouseman
1)SHOPPING WIZARD: Beim Entfernen kommt folgende Meldung: "http://looking-for.cc/uninstall/ShoppingWizard.html"
konnte nicht geöffnet werden.
Home SEARCH ASSISTENT: Meldung: "http://looking-for.cc/uninstall/HomeSearchAssistent.html" konnte nicht
geöffnet werden.
HOME SEARCH EXTENDER: Meldung: "http://looking-for.cc/uninstall/SearchExtender.html" konnte nicht
geöffnet werden.
------------------------------------------------------------------
2)D:\Tools\HighJackThis\HighJackThisBackups\backup-20050102-124935-391.dll ist infiziert mit Spyware.Relevancy
D:\Tools\HighJackThis\HighJackThisBackups\backup-20050102-125717-970.Vdll ist infiziert mit Adware.GameSpyArcade
C:\WINDOWS\system32\cmd.ftp ist infiziert mit W32.Sasser.Worm
C:\WINDOWS\system32\TFTP160 ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\TFTP3688 ist infiziert mit W32.Spybot.Worm
C:\Programme\GameSpy Arcade\Aphex.exe ist infiziert mit Adware.GameSpyArcade
C:\Programme\GameSpy Arcade\ArcRes.dll ist infiziert mit Adware.GameSpyArcade
zu 1) die programme mittels windows-explorer suchen und im abgesicherten modus löschen (auch die ordner)
zu 2) von welchem progi hast du die daten ?
hijackthis läuft bei dir unter doku..... und nicht unter d:\tools daher löschen
zu spybot.worm ->
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung

kompromittierung J.Malte und wikipedia

passwörter ändern

Passat2002 03.05.2005 10:40
Zitat:
Zitat von Rene-gad
@Passat2002

IMHO das Setzen vom IE auf Autostart ist eine Benutzer-Sache und somit muss nicht verboten werden ;) .
Richtig, aber sollte beim ie die einstellung hier auf automatisch oder bei jedem start des ie aktiviert sein, dann kann es passieren, das er zuvor gelöschte malware wieder herunterlädt. daher meine empfehlung -> nicht im autostart


bluehouseman 03.05.2005 20:21
Habe norton internet virenerkennung gemacht, daher die daten!

Ok werde mal versuchen...

also ich kann die programme von 1) nicht finden, ist es möglich das die sich automatisch umbenennen?

chaosman 03.05.2005 20:36
@bluehouseman

Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

vllt siehst du die dateien jetzt.
chaosman

bluehouseman 04.05.2005 09:34
war schon so eingestellt @chaosman, ich kann sie einfach nicht auffinden. Mein ganzer pc lahmt irgendwie voll ab und ich hab keine ahnung was ich machen soll. Hab auch keinen wiederherstellungspunkt sonst könnte ich diese option nutzen!

thx

Rene-gad 04.05.2005 09:38
@bluehouseman
Bei dir wurde schon ein Backdoor gefunden.
Vorgehensweise bei einem Backdoor:
1.PC vom Internet trennen
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung
3 Vernünftig absichern:Info
4.Alle Passwörter wechseln.
Noch Details:
Ich habe Virus...
10 Immutable Laws...

bluehouseman 07.05.2005 09:39
also nachdem mein system so lahm war, dachte ich mir die einzige lösung wäre ne formatierung! Habe ich auch getan und alles läuft wieder normal!

Meine frage nur noch, wenn ich die platte formatiert habe, dann sind auch alle trojaner, viren etc. weg!???

Cidre 07.05.2005 09:56
Zitat:
Meine frage nur noch, wenn ich die platte formatiert habe, dann sind auch alle trojaner, viren etc. weg!???
Ja, alle Schädlinge werden durch die Formatierung gelöscht.
Allerdings solltest du mit Bedacht vorgehen, wenn du wieder alte Daten/Dateien in dein sauberes System integrierst.

bluehouseman 07.05.2005 10:08
Zum Glück, habe ich schon bedacht, hab alle alten daten zuvor gescannt bevor ich sie auf die platte gehaut habe!

Thx 2 All


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131