Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) (https://www.trojaner-board.de/41287-hab-mir-eingefangen-glaub-sitzt-arbeitsspeicher.html)

Garry 24.07.2007 20:43
Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher)
 
Hi,

Vor ein paar Tagen hat mein Rechner angefangen zu spinnen. erst hat sich ein neuer Prozess angekündigt (svhost.exe), dann stelle sich meine Tastatur um, so das Buchstabe "A" ein kleines "t" oder ne 4 war. und so ein Mist. Ich hab Darauf hin versucht mein System zu retten, und ein paar neue Virenscanner versucht, (Avast4, NOD32) Außerdem eine neue Firewall (sytec oder so). Heute Nacht um halb einshat sich dann C:\ formatiert Eins der Virenprogramme hatte nach dem 5ten oder 6en scan festgestellt, das der Virus in meinem Arbeitsspeicher sitzt, und mir geraten einen Virenscan vor dem Booten zu machen. Hat wie gesagt alles nichts genutzt. Jetzt Heute Wieder XP neu installiert, und 5 Stunden Später fängt der scheiss von vorne an. :( Ich bin mir ZIEMLICH sicher das der Grund der Prozess "scrcons32.exe" ist.
hier mal das Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:43, on 24.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*******\Desktop\HiJackThis202.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\RunServices: [NiroFile Updated] NiroFile.exe
O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKCU\..\RunServices: [NiroFile Updated] NiroFile.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'Default user')
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

--
End of file - 2906 bytes
Bitte Helft mir :S

irrlicht 24.07.2007 20:52
Hallo,

Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
So wird das nix werden....:kloppen:

Schau dir dies an und handle danach :

http://www.trojaner-board.de/12154-a...sicherung.html
Irrlicht

Garry 24.07.2007 21:02
Gibt es vllt eine Möglichkeit den Virus/Trojaner/Wurm zu bereinigen, ohne Neu aufzusetzen? Ich kann Partition D:\ unmöglich formatieren, da doch noch mehrere GB an Daten liegen. Und Leider hab ich keine Externe Platte um ein Backup davon zu machen. Ich glaube es geht auch nur um diese hier:

O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\RunServices: [NiroFile Updated] NiroFile.exe
O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKCU\..\RunServices: [NiroFile Updated] NiroFile.exe

nochdigger 24.07.2007 21:23
Hallo

Zitat:
Ich kann Partition D:\ unmöglich formatieren,
soweit ich verstanden habe, ging es nicht um Laufwerk D:\ sondern um dein Laufwerk C:\ ;) das mit dem Betriebssystem drauf.

MFG

irrlicht 24.07.2007 21:28
Hallo,
dein Log ist unvollständig.So läßt sich keine einigermaßen klare Aussage treffen.
Zitat:
Heute Wieder XP neu installiert
Hast du nun oder nicht ?:confused:
Dasselbe sollst du jetzt nochmal machen,diesmal aber richtig...:)
Wenn es dich zu sehr juckt,suche über Google nach Virustotal oder Jotti.Das sind Dateiprüfdienste die online arbeiten .dort stellst du deine exen zur Überprüfung rein....
Zitat:
scrcons32.exe
NiroFile.exe
Poste die Ergebnisse hier.
Irrlicht

Garry 24.07.2007 21:29
Schon. Nur habe ich vor wenigen Stunden erst C:\ Formatiert. Deswegen dachte ich, das sich das Teil auch auf meine andere Partion übertragen/festgesetzt hat.

KarlKarl 24.07.2007 21:48
Hi,

D: nach Neuinstallation vor Nutzung sorgfältig zu scannen ist zwar sinnvoll, aber bei dir liegt das Problem bestimmt daran, dass Du online gegangen bist ohne alle Updates installiert zu haben. Da reichen Sekunden bis Minuten aus und ein System kann komplett durchseucht sein.

Servicepack 2 ist absolute Pflicht vorher, wenn dann die weiteren Updates noch fehlen, muss der erste Besuch zu http://www.windowsupdate.com/ gehen, um alle weiteren Updates zu installieren.

Gruß, Karl

Garry 24.07.2007 22:58
sooo.. ich glaub den bin ich los. Ich hab Spyware Doctor durchlaufen lassen, und der hat hat ihn gefunden, und geklöscht! Rbot!sd5 hies das scheiss teil, ich hoffe ich hab jetzt endlich wieder ruhe...

Danke für eure Antworten :)
Wenn noch was ist, meld ich mich hier wieder :Boogie:

MfG Garry~

nochdigger 25.07.2007 07:07
Moin

Zitat:
sooo.. ich glaub den bin ich los.
sicher?
Zitat:
ich hoffe ich hab jetzt endlich wieder ruhe...
ich hoffe jede Woche auf 6 Richtige mit Superzahl...
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Zitat:
Wenn noch was ist, meld ich mich hier wieder
Wenn du am zustand deines Betriebssystems nix änderst, dann vermutlich schon sehr bald:rolleyes: .

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131