|
Lowzones .A und Lowzones K 7 Bitte helfen! Hallo :balla: Es ist endlich mal wieder soweit! :pukeface: Ich habe mir was nettes eingefangen! Und hier isses: Nachdem ich heute meinen Rechner gestartet hab und ins Netz gegangen bin, hat sich das System "aufgehängt" und ich musste den Rechner ausschalten. Da habe ich mir noch nix dabei gedacht, kommt ja öfter mal vor. Ist aber noch paarmal so gelaufen und auf einmal kommt ne Meldung von AntiVir! Ich habe also jetzt offenbar den Trojaner Lowzones .A und außerdem Lowzones K 7. Ich habe den ganzen Rechner scannen lassen und während des Scanvorgangs schlägt die Firewall Alarm, dass navupdate64.exe starten will (?!) und außerdem soll ich dem Inhalt eines Anbieteres vertrauen, damit ich Zugriff auf Adult Ware soundso habe (schätz mal das ist ein dialer ?!) Zusätzlich habe ich noch mit HijackThis einen Scan gemacht und da kam folgendes raus: Logfile of HijackThis v1.99.1 Scan saved at 19:41:14, on 09.07.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\navupdate64.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\admin\Desktop\hijackthis_199\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [MS UniX] navupdate64.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O4 - HKCU\..\Run: [MS UniX] navupdate64.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108725422277 O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{81195CAD-99D3-44A6-ABCA-1F994DEF6D2D}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Bei der Online Auswertung konnte ich nichts besondres feststellen außer dem Hinweis, dass UNMT.EXE "bös" sei...und dass dies vom W32 sdbot Wurm käme ( :confused: ) Hab ich jetzt nen Wurm und zwei Trojaner oder was is los? Es behindert zwar kaum (bisher), bis auf die Viren - und Firewallmeldungen und dass sich der Rechner gern mal aufhängt, aber so kann ichs ja nicht lassen. Also ich hab absolut keine Ahnung was ich jetzt machen soll, aber ich befürchte schon das Schlimmste :koch: Was ist zu tun? Hat da noch jemand Durchblick? Vielen Dank schonmal im Voraus :daumenhoc |
Hallo dexterslabor, das Schlimmste ist geschehen, der hat sich u.a. bei Dir eingenistet: http://castlecops.com/s9817-navupdate64_exe.html Grund dafür ist Dein nicht aktuelles Betriebssystem. SP 2 sowie alle weiteren Sicherheitsupdates müssen installiert sein! Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zu “Format C:” geraten, um das zu vermeiden: http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Botnet http://de.wikipedia.org/wiki/Backdoor Empfohlene Anleitung zur Neuinstallation http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 dartus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board