Ja. (Wenn die Firewall im Router aktiviert und richtig konfiguriert ist. --> Handbuch)

Gruß :daumenhoc
Yopie

genau.
und wenn du ZA jetz noch benutzen willst, dann wäre das beste du deinstallierst und installiertst es nochmal, denn -

wenn du za installierst, dann musst du eigentlich nur alles aufmerksam lesen, und dir wird das wichtigste von windows (zb generic host process ...) voreingestellt.
ausserdem kommt doch eine an-/einleitung, nachdem du neugestartet hast.

die anleitung gibts aber auch als "flash lernprogramm" (siehe bild)
- da brauchst du nur zusehen/-hören.

allerdings hast du ja einen router mit ner firewall und brauchst ZA in sachen sicherheit nicht mehr.
genaugenommen ist es ein risiko mehr, denn es ist ein programm, und programme können fehler haben. diese fehler können benutzt werden deinen pc anzugreifen.
(wenn du die firewall im router richtig konfiguriert hast, dann siehst du in ZA bei "zugriffsversuche" dass sich da nichts mehr ändert, weil die routerfirewall "vieles blockt")

ich benutze ZA eigentlich nur, um zu wissen, was raus will.

hast du eine wlan-verbindung?
wenn nicht, ausschalten. wenn ja, absichern(!).

*e*
dingens.org kannst du aber trotzdem "nutzen" - stellt ja die unnötigen dienste ab, und dadurch soll sich die leistung des systems verbessern. (frag mich nicht wieviel)
schadet jedenfalls nicht.
*e*

Gut programmierte Malware wird kaum bei Deiner Firewall vorstellig werden.

Hallo,
und wenn da steht "svchost.exe will ins Internet" weiß Du auch was und warum das so ist? :D

Gruß

Schrulli

@MightyMarc & Schrulli

:D ja.
hab auch, seit ich das video von dingens.org gesehen hab, absolute keine zweifel mehr.
ich gedenke sie auch zu deinstallieren, muss mir aber noch nen tread (link) von yopie ansehen, zwecks ad-hoc ...

is halt schön, was man hier so alles lernt *schleim*

Hallo,
geht mir aber nicht anders! Jeden Tag was neues, machmal gut, machmal schlecht. :D

Gruß

Schrulli

ok, ich habe endlich mal zeit gefunden, nochmal einen eScan durch zuführen.
hier also meine zweite virus-logfile:


-----------------------------------------------------------------------------
Object "mybar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "netster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "netster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "windows adstatus Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "advsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "sahagent Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\WinStatX.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\DOKUME~1\####~1\LOKALE~1\Temp\Rar$EX00.547\hijackthis.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Vc" refers to invalid object "C:\Programme\sony\vaio media 2.5\Vc". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".oem". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sil". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB817611". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB822827". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB823182". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824105". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824141". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB825119". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB826367". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB826939". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB828035". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB828741". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB833407". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB833987". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB835409". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB835732". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB840987". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB841356". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB841533". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB842773". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB867282-IE6SP1-20050127.163319". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB871250". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB873376". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB883939-IE6SP1-20050428.125228". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB890923-IE6SP1-20050225.103456". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB891711". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB896426". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB896688-IE6SP1-20051004.130236". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB896727-IE6SP1-20050719.165959". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB897715-OE6SP1-20050503.210336". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB905495". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB905915-IE6SP1-20051122.175908". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mozilla Firefox (1.0.7)". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q327979". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "q329112". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q329692". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q331958". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q810400". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q811789". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q813818". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q813862". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q813942". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q814995". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q815917". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q816048". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q828026". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{DCB43485-19FB-4D6D-BB3D-73C7F48D5F00}" refers to invalid object "C:\Programme\Messenger\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\ppifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\msppcnfg.exe /Config %1". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\#######\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc2.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc3.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc4.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc5.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
--------------------------------------------------------------------------


hoffe ihr könnt mir dazu was sagen...


vielen dank im voraus


mpc

sch*****.. hab gerade bemerkt, dass ich den scan zwar im abgesicherten modus durchgeführt, jedoch die systemwiederherstellung vorher nicht deaktiviert habe.

dann muss ich wohl nochmal..

also, nochmal alles korrekt durchgeführt und hier das ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 11 14:32:39 2006 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Sat Feb 11 14:32:39 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Sat Feb 11 14:32:39 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Sat Feb 11 14:32:40 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Sat Feb 11 14:32:43 2006 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken.
Sat Feb 11 14:37:27 2006 => File C:\Dokumente und Einstellungen\sergio martinelli\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Sat Feb 11 15:36:21 2006 => File C:\WINDOWS\$NtServicePackUninstall$\logonui.exe infected by "Trojan.Win32.Agent.on" Virus! Action Taken: No Action Taken.
Sat Feb 11 15:54:55 2006 => File C:\WINDOWS\I386\LOGONUI.EX_ infected by "Trojan.Win32.Agent.on" Virus! Action Taken: No Action Taken.
Sat Feb 11 16:13:11 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 11 15:33:04 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc2.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
Sat Feb 11 15:33:04 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc3.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
Sat Feb 11 15:33:04 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc4.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
Sat Feb 11 15:33:04 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc5.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\kazaa !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\limewire !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\myway !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\windows adstatus !!!
Sat Feb 11 14:32:43 2006 => Offending file found: C:\WINDOWS\smdat32a.sys
Sat Feb 11 14:32:43 2006 => Offending Folder found: C:\WINDOWS\system32\sahimages
Sat Feb 11 14:32:43 2006 => Offending Folder found: C:\Programme\limewire
Sat Feb 11 14:32:43 2006 => Offending Folder found: C:\Programme\myway
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 11 16:13:11 2006 => Total Objects Scanned: 68272
Sat Feb 11 16:13:11 2006 => Total Critical Objects: 22
Sat Feb 11 16:13:11 2006 => Total Disinfected Objects: 0
Sat Feb 11 16:13:11 2006 => Total Deleted Objects: 0
Sat Feb 11 16:13:11 2006 => Total Errors: 68
Sat Feb 11 16:13:11 2006 => Time Elapsed: 01:41:06
Sat Feb 11 14:31:20 2006 => Virus Database Date: 2/3/2006
Sat Feb 11 16:13:11 2006 => Virus Database Date: 2/3/2006
Sat Feb 11 16:42:59 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

PLEASE HELP!!

ich habe schon wieder probleme mit dem internet..
kann ich die infizierten files einfach per killbox löschen, oder wirds komplizierter??

wäre sehr dankbar für ein bisschen hilfe!


gruss

mpc.

Mache folgendes:

Erstelle eine Textdatei und kopiere die folgenden Zeilen rein. Dann speichert Du sie mit dem Namen "del.bat" ab und kopierst die Datei ins Verzeichnis C:\. Im abgesicherten Modus Startest Du die del.abt und postest den Inhalt der del.log hier.

Bitte beachten: in Deiner del.bat müssen die ersten 2 Zeilen eine Zeile bilden !

del /F /S /Q C:\Dokumente und Einstellungen\sergio martinelli\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip >> C:\del.log
del /F /S /Q C:\WINDOWS\$NtServicePackUninstall$\logonui.exe >> C:\del.log
del /F /S /Q C:\WINDOWS\I386\LOGONUI.EX_ >> C:\del.log
del /F /S /Q C:\WINDOWS\smdat32a.sys >> C:\del.log
rmdir /S /Q C:\Programme\limewire >> C:\del.log
rmdir /S /Q C:\Programme\myway >> C:\del.log
rmdir /S /Q C:\WINDOWS\system32\sahimages >> C:\del.log
reg delete "HKLM\Software\kazaa !!!" /f >> C:\del.log
reg delete "HKLM\Software\limewire !!!" /f >> C:\del.log
reg delete "HKLM\Software\myway !!! /f >> C:\del.log
reg delete "HKLM\Software\windows adstatus !!!" /f >> C:\del.log
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\ameopt !!!" /f >> C:\del.log
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\uni nstall\limewire !!!" /f >> C:\del.log

Wahlweise kannst Du Dir die del.bat auch hier runterladen:
http://rapidshare.de/files/13251533/del.bat.html

ok, vielen dank erstmal.
hoffe ich hab das richtig gemacht, ging nämlich ganz fix...
es ging einfach so ein dos fenster auf, dann wurde ich gefragt ob gewisse files permanent entfernt werden können und nachdem ich "yes" eingegeben habe, war da dieses neue logfile (sehr kurz...) :

------------------------------------------------------------------------
Datei wurde gel”scht - C:\WINDOWS\$NtServicePackUninstall$\logonui.exe
Datei wurde gel”scht - C:\WINDOWS\I386\LOGONUI.EX_
Datei wurde gel”scht - C:\WINDOWS\smdat32a.sys
------------------------------------------------------------------------


war das korrrekt??

Hmmm da hätte eigentlich mehr passieren sollen...

Erstmal den Java-Cache leeren:

Systemsteuerung > Java > erster Reiter Dateien löschen > Alle Haken setzen und bestätigen
Danach auf Einstellungen und Maximalen Speicherplatz auf 0 MB einstellen.

Führe mal folgenden Befehl aus und poste die query.log

reg query HKLM\Software >> C:\query.log

hmm.. mit "start" > "ausführen" oder?? ich krieg das irgendwie nicht hin..
kannst du mir das ein bisschen genauer erklären?

start > ausführen > cmd (Enter drücken)

und dann das eingeben