|
Trojaner "exploit-ms06-014" Hallo, ich habe eine sehr ähnliche Situation, wie die unten beschriebene: Mein McAfee gibt mir an, mehrere Trojaner "exploit-ms06-014" gefunden zu haben, die er nicht entfernen kann und deshalb in Quarantäne verschiebt. Die Warnmeldung erscheint immer wieder, obwohl ich inzwischen u.a. meine Programme aktualisiert habe. Zitat: Zitat von dw18 Beitrag anzeigen "Hallo, vermutlich durch unvorsichtiges Betätigen eines Links habe ich mir einen Trojaner eingefangen. Nachdem ich Verdacht geschöpft habe, habe ich mir ein Update meines Virensuchprogrammes (McAfee) besorgt und den Computer durchsucht. Tatsächlich habe ich drei Dateien gefunden. Als Bezeichnung ("detected as") gibt McAfee "Exploit-MS06-014" an. Leider ist es nicht möglich, den Computer zu reinigen ("clean failed"). Die Dateien wurden lediglich in den Quarantäne-Ordner verschoben. Wenn ich diesen im Arbeitsplatz anklicke, verschwindet eine der Dateien wieder nach kurzer Zeit und kann erst bei einem erneuten Suchdurchlauf wieder gefunden und verschoben werden. Ich vermute, dass das Ding nicht wirklich unschädlich gemacht ist und eine Bedrohung meines Systems darstellt. Vielleicht kennt jemand diesen Trojaner bereits und weiß, was er anrichten kann und wie groß das Potential an Schädigung ist. Zudem wäre ich sehr dankbar, wenn mir jemand einen Hinweis geben könnte, mit welchen Programmen sich das Problem lösen lässt? Vielen Dank!" Ich habe jetzt den dazu gegebenen Tipp befolgt und ein hijackthis-log gemacht. HiJackThis ergibt folgendes: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:14:40, on 21.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\WINDOWS\system32\ZoomingHook.exe C:\WINDOWS\system32\TCtrlIOHook.exe C:\WINDOWS\system32\TPSMain.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\WINDOWS\system32\TPSBattM.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\DNA Digital Media Group\Nestle Fitness Virtual Coach\dcu.exe C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Programme\DNA Digital Media Group\Nestle Fitness Virtual Coach\Reminder.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Octoshape Streaming Services\User\OctoshapeClient.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\User\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*****/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.19:80 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SkypeIEHelper Class - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: Skype™ For Internet Explorer - {B13721C7-F507-4982-B2E5-502A71474FED} - C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\User\OctoshapeClient.exe" -inv:bootrun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: DCU.lnk = ? O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Startup: reminder.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Skype™ For Internet Explorer - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL O9 - Extra 'Tools' menuitem: Skype™ For Internet Explorer - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://**.spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - h**p://*****.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0 O18 - Protocol: haufereader - (no CLSID) - (no file) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe -- End of file - 11319 bytes Kann mir jemand helfen? Das wäre super! |
EScan gibt folgendes an: Tue Aug 21 18:00:32 2007 => Gescannte Dateien: 134638 Tue Aug 21 18:00:32 2007 => Gefundene Viren: 4 Tue Aug 21 18:00:32 2007 => Anzahl der desinfizierten Dateien: 0 Tue Aug 21 18:00:32 2007 => Umbenannte Dateien: 0 Tue Aug 21 18:00:32 2007 => Anzahl der gelöschten Dateien: 0 Tue Aug 21 18:00:32 2007 => Anzahl Fehler: 208 Tue Aug 21 18:00:32 2007 => Dauer des Scans bisher: 01:32:49 Tue Aug 21 18:00:32 2007 => Virus-Datenbank Datum: 8/21/2007 Tue Aug 21 18:00:32 2007 => Virus-Datenbank Zähler: 386412 entfernte aber nichts. |
Hi, Filenamen anzeigen lassen, merken, in den Safemode booten (F8 beim Booten), File löschen bzw. zur Sicherheit erstmal umbenenen (z. B. ein .vir anhängen, dann ist sie auf jeden Fall nicht mehr ausführbar) Systemfix einspielen: Microsoft Security Bulletin MS06-014: Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution (911562) Welche Viren/Trojaner bringt escan? Chris |
Vielen Dank für die Hilfe, werde das erstmal machen. Escan sagt, dass er Spyware gefunden habe und 1 Trojaner, welche genau, schaue ich nochmal nach. Mc Affee gibt, wie gesagt, Exploit MS 06 014 an. |
Ich bekomme 3 x die Meldung "spypal Spyware/Adware" gefunden und zig-mal (vermutlich 208 x ?) "Entry "***" verweist auf das ungültige Objekt ".***". sowie: Datei C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe infiziert von "Trojan-Proxy.Win32.Horst.xs" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Mc affe hat die Dateien schon in .vir, .vir0, .vir1 etc umbenannt. Was mache ich nun? Soll ich erstmal versuchen die Files im gesicherten Modus zu löschen (so sind sie nicht löschbar)? |
Hi, wenn die Datei "C:\WINDOWS\system32\gdiplus.dll" angegeben wird, online scannen lassen, könnte ein false/positiv sein (spypal Spyware/Adware); Wichtiger wäre mir der Trojaner... virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan C:\WINDOWS\system32\gdiplus.dll Chris |
hallo, ich komme nicht weiter. Die Dateien lassen sich nicht löschen. Die datei C:\WINDOWS\system32\gdiplus.dll findet das ScanProgramm virustotal nicht, aber der name erscheint, wenn ich den Virusdateinamen hker[1].htm.Vir0-7 z.B. kopieren will. Diesen kann ich aber nicht in das Scan-Programm hochladen. Ist der Trojaner nicht also C:\WINDOWS\system32\gdiplus.dll? Und wie bekomme ich ihn weg? |
das Microsoft-Update habe ich gemacht, aber eigentlich habe ich automatische Updates.... |
Hi, lassen wir mal die 208 Fehler, interessant ist die setup.exe; Kannst Du die online prüfen lassen? Welche andere drei Viren werden wo gefunden? Poste nur die Zeilen aus dem Log wo die trojaner auftauchen... Bitte arbeite das hier ab und poste wie angegeben die Logs; ComboScan Chris |
Ich habe das bei escan so interpretiert, dass 3 viren die spyware ("spypal Spyware/Adware") sind, weil ich dazu 3 nachrichten habe und der trojaner ist der 4. ("C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe infiziert von "Trojan-Proxy.Win32.Horst.xs" Virus"). Ich kann bei comboscan nichts öffnen/doppelklicken, dann bekomme ich "page not found"? |
lasse jetzt die setup.exe bei virustotal checken, zeigt mir in der Regel an, dass trojaner: AhnLab-V3 2007.8.22.0 2007.08.22 Win-Trojan/Agent.23552.BJ AntiVir 7.4.1.63 2007.08.22 TR/Dldr.Agent.23552.1 Authentium 4.93.8 2007.08.22 W32/Trojan.ADDP Avast 4.7.1029.0 2007.08.21 Win32:Horst-IA AVG 7.5.0.484 2007.08.21 Downloader.Agent.KCC BitDefender 7.2 2007.08.22 Trojan.Downloader.Agent.BBY CAT-QuickHeal 9.00 2007.08.21 TrojanDownloader.Agent.aii ClamAV 0.91 2007.08.22 Trojan.Proxy-386 DrWeb 4.33 2007.08.22 Trojan.DownLoader.19951 eSafe 7.0.15.0 2007.08.22 Win32.Agent.aii eTrust-Vet 31.1.5080 2007.08.22 Win32/Boxed!generic Ewido 4.0 2007.08.21 Downloader.Agent.aii FileAdvisor 1 2007.08.22 - Fortinet 2.91.0.0 2007.08.22 W32/Agent.AII!tr.dldr F-Prot 4.3.2.48 2007.08.20 W32/Trojan.ADDP F-Secure 6.70.13030.0 2007.08.22 Trojan-Proxy.Win32.Horst.xs Ikarus T3.1.1.12 2007.08.22 Trojan-Downloader.Win32.Agent.aii Kaspersky 4.0.2.24 2007.08.22 Trojan-Proxy.Win32.Horst.xs McAfee 5102 2007.08.21 - Microsoft 1.2803 2007.08.22 TrojanProxy:Win32/Horst.XS NOD32v2 2475 2007.08.22 probably a variant of Win32/Medbot.HQ Norman 5.80.02 2007.08.21 W32/Downloader.WF Panda 9.0.0.4 2007.08.22 W32/Rizalof.ZP.worm Prevx1 V2 2007.08.22 TROJAN.AGENT.GEN Rising 19.37.21.00 2007.08.22 Trojan.DL.MnLess.gg Sophos 4.20.0 2007.08.22 Mal/Behav-080 Sunbelt 2.2.907.0 2007.08.22 Win32.ExplorerHijack Symantec 10 2007.08.22 Downloader TheHacker 6.1.8.171 2007.08.21 Trojan/Downloader.Agent.aii VBA32 3.12.2.2 2007.08.21 Trojan-Downloader.Win32.Agent.aii VirusBuster 4.3.26:9 2007.08.21 Trojan.DL.Horst.NV Webwasher-Gateway 6.0.1 2007.08.22 Trojan.Dldr.Agent.23552.1 weitere Informationen File size: 23552 bytes MD5: 2c184d3447b48530f7df83e57442130c SHA1: 7b88b8c674fe9d1457b60051c1ca675a8e82d6cd Prevx info: SETUP.EXE - Prevx und nun? |
PS Ich finde den Pfad im Explorer gar nicht, nur einen ähnlichen (Alle Dokumente) und die Datei wird bei McAfee als virusfrei angegeben. |
Hi, Mist das der Link nichtmehr geht, wollte erweiterte Systeminfos haben... Lassen wir einen anderen Scanner los: scanne mit ewido und poste den scanreport Ewido Micro: http://downloads.ewido.net/ewido_micro.exe Poste den Report! So, hast Du Freigaben auf Deinem Netzwerk, benutzt Du eine Tausch-SW, Messenger etc.? Das würde u. U. erklären wieso die Datei immer wieder auftaucht... Chris |
Hallo, ich hatte yahoo-messenger, habe ich deinstalliert, da ich ihn eh nicht nutzte. Was ist eine Tausch-Sw genau (beispiel?), ich tausche eigentlich nix? Freigegeben habe ich auch nichts. Sorry, bin nicht so fit darin... das programm findet mit high risk wieder die datei setup.exe Downloader-Agent.aii C:\\ Dokumente und Einstellungen\All User\Setup.exe es läuft aber noch liegt es also daran, dass ich mal was downgeloadet habe? |
Also, hier das ergebnis. Wenn ich richtig sehe, ne menge cookies und 2x diese trojaner-geschichte, die als high risk eingestuft wird. ________________________________________________ ewido anti-spyware online scanner ewido - anti-spyware and anti-malware solutions __________________________________________________ Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@112.2o7[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@122.2o7[1].txt Risk: Medium Name: TrackingCookie.247realmedia Path: C:\Dokumente und Einstellungen\User\Cookies\user@247realmedia[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@2o7[2].txt Risk: Medium Name: TrackingCookie.Adition Path: C:\Dokumente und Einstellungen\User\Cookies\user@ad.adition[1].txt Risk: Medium Name: TrackingCookie.Adnet Path: C:\Dokumente und Einstellungen\User\Cookies\user@ad.adnet[2].txt Risk: Medium Name: TrackingCookie.Yieldmanager Path: C:\Dokumente und Einstellungen\User\Cookies\user@ad.yieldmanager[1].txt Risk: Medium Name: TrackingCookie.Adbrite Path: C:\Dokumente und Einstellungen\User\Cookies\user@adbrite[1].txt Risk: Medium Name: TrackingCookie.Adjuggler Path: C:\Dokumente und Einstellungen\User\Cookies\user@adjuggler[2].txt Risk: Medium Name: TrackingCookie.Euroclick Path: C:\Dokumente und Einstellungen\User\Cookies\user@adopt.euroclick[1].txt Risk: Medium Name: TrackingCookie.Adrevolver Path: C:\Dokumente und Einstellungen\User\Cookies\user@adrevolver[1].txt Risk: Medium Name: TrackingCookie.Quarterserver Path: C:\Dokumente und Einstellungen\User\Cookies\user@ads-205.quarterserver[2].txt Risk: Medium Name: TrackingCookie.Planetactive Path: C:\Dokumente und Einstellungen\User\Cookies\user@ads.planetactive[1].txt Risk: Medium Name: TrackingCookie.Pointroll Path: C:\Dokumente und Einstellungen\User\Cookies\user@ads.pointroll[1].txt Risk: Medium Name: TrackingCookie.71i Path: C:\Dokumente und Einstellungen\User\Cookies\user@adserver.71i[1].txt Risk: Medium Name: TrackingCookie.Adtech Path: C:\Dokumente und Einstellungen\User\Cookies\user@adtech[1].txt Risk: Medium Name: TrackingCookie.Adtiger Path: C:\Dokumente und Einstellungen\User\Cookies\user@adtiger[1].txt Risk: Medium Name: TrackingCookie.Advertising Path: C:\Dokumente und Einstellungen\User\Cookies\user@advertising[1].txt Risk: Medium Name: TrackingCookie.Adviva Path: C:\Dokumente und Einstellungen\User\Cookies\user@adviva[2].txt Risk: Medium Name: TrackingCookie.Tacoda Path: C:\Dokumente und Einstellungen\User\Cookies\user@anad.tacoda[2].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\User\Cookies\user@as-eu.falkag[2].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\User\Cookies\user@as-us.falkag[1].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\User\Cookies\user@as1.falkag[2].txt Risk: Medium Name: TrackingCookie.Atdmt Path: C:\Dokumente und Einstellungen\User\Cookies\user@atdmt[2].txt Risk: Medium Name: TrackingCookie.Addcontrol Path: C:\Dokumente und Einstellungen\User\Cookies\user@axa.addcontrol[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@bertelsmann.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Bfast Path: C:\Dokumente und Einstellungen\User\Cookies\user@bfast[1].txt Risk: Medium Name: TrackingCookie.Bluemountain Path: C:\Dokumente und Einstellungen\User\Cookies\user@bluemountain[2].txt Risk: Medium Name: TrackingCookie.Bluestreak Path: C:\Dokumente und Einstellungen\User\Cookies\user@bluestreak[1].txt Risk: Medium Name: TrackingCookie.Serving-sys Path: C:\Dokumente und Einstellungen\User\Cookies\user@bs.serving-sys[2].txt Risk: Medium Name: TrackingCookie.Casalemedia Path: C:\Dokumente und Einstellungen\User\Cookies\user@casalemedia[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@cmpmedica.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Com Path: C:\Dokumente und Einstellungen\User\Cookies\user@com[1].txt Risk: Medium Name: TrackingCookie.Connextra Path: C:\Dokumente und Einstellungen\User\Cookies\user@connextra[3].txt Risk: Medium Name: TrackingCookie.Coremetrics Path: C:\Dokumente und Einstellungen\User\Cookies\user@data.coremetrics[1].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\Dokumente und Einstellungen\User\Cookies\user@doubleclick[2].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-adidas.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-alt64.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-dig.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-falkag.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-foxmovies.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-francetel.hitbox[2].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-idg.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-irb.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-nestlefr.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-randomhouse.hitbox[2].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-sz.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-telecomitalia.hitbox[2].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-warnerbrothers.hitbox[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ehg-youtube.hitbox[2].txt Risk: Medium Name: TrackingCookie.Estat Path: C:\Dokumente und Einstellungen\User\Cookies\user@estat[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@eurostar.122.2o7[1].txt Risk: Medium Name: TrackingCookie.Fastclick Path: C:\Dokumente und Einstellungen\User\Cookies\user@fastclick[1].txt Risk: Medium Name: TrackingCookie.Comclick Path: C:\Dokumente und Einstellungen\User\Cookies\user@fl01.ct2.comclick[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@fnac.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Fortunecity Path: C:\Dokumente und Einstellungen\User\Cookies\user@fortunecity[2].txt Risk: Medium Name: TrackingCookie.Starware Path: C:\Dokumente und Einstellungen\User\Cookies\user@h.starware[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@hamburgerabendblatt.122.2o7[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@hitbox[1].txt Risk: Medium Name: TrackingCookie.I12 Path: C:\Dokumente und Einstellungen\User\Cookies\user@i12[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@ice.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Bluestreak Path: C:\Dokumente und Einstellungen\User\Cookies\user@iv2.bluestreak[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\User\Cookies\user@ivwbox[1].txt Risk: Medium Name: TrackingCookie.Komtrack Path: C:\Dokumente und Einstellungen\User\Cookies\user@komtrack[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@libri.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Webtrends Path: C:\Dokumente und Einstellungen\User\Cookies\user@m.webtrends[2].txt Risk: Medium Name: TrackingCookie.I12 Path: C:\Dokumente und Einstellungen\User\Cookies\user@max.i12[2].txt Risk: Medium Name: TrackingCookie.Mediaplex Path: C:\Dokumente und Einstellungen\User\Cookies\user@mediaplex[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@microsoftwga.112.2o7[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@msnaccountservices.112.2o7[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@msninvite.112.2o7[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@msnportal.112.2o7[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@nbcuniversal.122.2o7[1].txt Risk: Medium Name: TrackingCookie.Oewabox Path: C:\Dokumente und Einstellungen\User\Cookies\user@oewabox[2].txt Risk: Medium Name: TrackingCookie.Overture Path: C:\Dokumente und Einstellungen\User\Cookies\user@overture[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@philips.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Tfag Path: C:\Dokumente und Einstellungen\User\Cookies\user@php.sales.tfag[2].txt Risk: Medium Name: TrackingCookie.Popularix Path: C:\Dokumente und Einstellungen\User\Cookies\user@ppms.popularix[1].txt Risk: Medium Name: TrackingCookie.Questionmarket Path: C:\Dokumente und Einstellungen\User\Cookies\user@questionmarket[2].txt Risk: Medium Name: TrackingCookie.Realmedia Path: C:\Dokumente und Einstellungen\User\Cookies\user@realmedia[2].txt Risk: Medium Name: TrackingCookie.Real Path: C:\Dokumente und Einstellungen\User\Cookies\user@real[1].txt Risk: Medium Name: TrackingCookie.Revenue Path: C:\Dokumente und Einstellungen\User\Cookies\user@revenue[2].txt Risk: Medium Name: TrackingCookie.Revsci Path: C:\Dokumente und Einstellungen\User\Cookies\user@revsci[2].txt Risk: Medium Name: TrackingCookie.Adjuggler Path: C:\Dokumente und Einstellungen\User\Cookies\user@rotator.adjuggler[2].txt Risk: Medium Name: TrackingCookie.Tfag Path: C:\Dokumente und Einstellungen\User\Cookies\user@sales.tfag[2].txt Risk: Medium Name: TrackingCookie.Information Path: C:\Dokumente und Einstellungen\User\Cookies\user@searchportal.information[2].txt Risk: Medium Name: TrackingCookie.Liveperson Path: C:\Dokumente und Einstellungen\User\Cookies\user@server.iad.liveperson[2].txt Risk: Medium Name: TrackingCookie.Liveperson Path: C:\Dokumente und Einstellungen\User\Cookies\user@server.lon.liveperson[1].txt Risk: Medium Name: TrackingCookie.Serving-sys Path: C:\Dokumente und Einstellungen\User\Cookies\user@serving-sys[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@sevenoneintermedia.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Skype Path: C:\Dokumente und Einstellungen\User\Cookies\user@site.skype[2].txt Risk: Medium Name: TrackingCookie.Skype Path: C:\Dokumente und Einstellungen\User\Cookies\user@skype[2].txt Risk: Medium Name: TrackingCookie.Smartadserver Path: C:\Dokumente und Einstellungen\User\Cookies\user@smartadserver[2].txt Risk: Medium Name: TrackingCookie.Specificclick Path: C:\Dokumente und Einstellungen\User\Cookies\user@specificclick[2].txt Risk: Medium Name: TrackingCookie.Spylog Path: C:\Dokumente und Einstellungen\User\Cookies\user@spylog[2].txt Risk: Medium Name: TrackingCookie.Onestat Path: C:\Dokumente und Einstellungen\User\Cookies\user@stat.onestat[2].txt Risk: Medium Name: TrackingCookie.Statcounter Path: C:\Dokumente und Einstellungen\User\Cookies\user@statcounter[2].txt Risk: Medium Name: TrackingCookie.Reliablestats Path: C:\Dokumente und Einstellungen\User\Cookies\user@stats1.reliablestats[2].txt Risk: Medium Name: TrackingCookie.Webtrendslive Path: C:\Dokumente und Einstellungen\User\Cookies\user@statse.webtrendslive[2].txt Risk: Medium Name: TrackingCookie.Skype Path: C:\Dokumente und Einstellungen\User\Cookies\user@support.skype[1].txt Risk: Medium Name: TrackingCookie.Tacoda Path: C:\Dokumente und Einstellungen\User\Cookies\user@tacoda[2].txt Risk: Medium Name: TrackingCookie.Coremetrics Path: C:\Dokumente und Einstellungen\User\Cookies\user@test.coremetrics[1].txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: C:\Dokumente und Einstellungen\User\Cookies\user@tradedoubler[2].txt Risk: Medium Name: TrackingCookie.Trafficcenter Path: C:\Dokumente und Einstellungen\User\Cookies\user@trafficcenter[1].txt Risk: Medium Name: TrackingCookie.Tribalfusion Path: C:\Dokumente und Einstellungen\User\Cookies\user@tribalfusion[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\User\Cookies\user@truitionphilipspublicde.122.2o7[1].txt Risk: Medium Name: TrackingCookie.Starware Path: C:\Dokumente und Einstellungen\User\Cookies\user@try.starware[2].txt Risk: Medium Name: TrackingCookie.Valueclick Path: C:\Dokumente und Einstellungen\User\Cookies\user@valueclick[1].txt Risk: Medium Name: TrackingCookie.Realtracker Path: C:\Dokumente und Einstellungen\User\Cookies\user@web4.realtracker[1].txt Risk: Medium Name: TrackingCookie.Weborama Path: C:\Dokumente und Einstellungen\User\Cookies\user@weborama[2].txt Risk: Medium Name: TrackingCookie.Web-stat Path: C:\Dokumente und Einstellungen\User\Cookies\user@webstat[1].txt Risk: Medium Name: TrackingCookie.Adobe Path: C:\Dokumente und Einstellungen\User\Cookies\user@www.adobe[1].txt Risk: Medium Name: TrackingCookie.Burstnet Path: C:\Dokumente und Einstellungen\User\Cookies\user@www.burstnet[1].txt Risk: Medium Name: TrackingCookie.Etracker Path: C:\Dokumente und Einstellungen\User\Cookies\user@www.etracker[1].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\User\Cookies\user@www.falkag[1].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\User\Cookies\user@www.falkag[2].txt Risk: Medium Name: TrackingCookie.Smartadserver Path: C:\Dokumente und Einstellungen\User\Cookies\user@www.smartadserver[2].txt Risk: Medium Name: TrackingCookie.Zedo Path: C:\Dokumente und Einstellungen\User\Cookies\user@zedo[1].txt Risk: Medium Name: Downloader.Agent.aii Path: C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe Risk: High Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@2o7[2].txt Risk: Medium Name: TrackingCookie.Planetactive Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@ads.planetactive[2].txt Risk: Medium Name: TrackingCookie.Adtech Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@adtech[2].txt Risk: Medium Name: TrackingCookie.Advertising Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@advertising[1].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@as-eu.falkag[1].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@as1.falkag[1].txt Risk: Medium Name: TrackingCookie.Atdmt Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@atdmt[2].txt Risk: Medium Name: TrackingCookie.Bluestreak Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@bluestreak[2].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@doubleclick[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@ehg-deltatre.hitbox[1].txt Risk: Medium Name: TrackingCookie.Estat Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@estat[1].txt Risk: Medium Name: TrackingCookie.Hitbox Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@hitbox[2].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@ivwbox[2].txt Risk: Medium Name: TrackingCookie.Komtrack Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@komtrack[2].txt Risk: Medium Name: TrackingCookie.Mediaplex Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@mediaplex[1].txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@tradedoubler[1].txt Risk: Medium Name: TrackingCookie.Weborama Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@weborama[1].txt Risk: Medium Name: TrackingCookie.Smartadserver Path: C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@www.smartadserver[1].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\Gast\Cookies\gast@as1.falkag[1].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\Dokumente und Einstellungen\Gast\Cookies\gast@doubleclick[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Gast\Cookies\gast@ivwbox[1].txt Risk: Medium Name: TrackingCookie.Komtrack Path: C:\Dokumente und Einstellungen\Gast\Cookies\gast@komtrack[2].txt Risk: Medium Name: TrackingCookie.Mediaplex Path: C:\Dokumente und Einstellungen\Gast\Cookies\gast@mediaplex[1].txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: C:\Dokumente und Einstellungen\Gast\Cookies\gast@tradedoubler[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: :mozilla.14:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Doubleclick Path: :mozilla.15:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Komtrack Path: :mozilla.27:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Komtrack Path: :mozilla.28:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Komtrack Path: :mozilla.33:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Komtrack Path: :mozilla.34:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: :mozilla.35:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: :mozilla.36:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: :mozilla.37:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Mediaplex Path: :mozilla.44:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Webtrends Path: :mozilla.52:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Atdmt Path: :mozilla.55:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.67:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.2o7 Path: :mozilla.74:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Webtrendslive Path: :mozilla.89:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Cqcounter Path: :mozilla.104:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Advertising Path: :mozilla.115:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Advertising Path: :mozilla.116:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Advertising Path: :mozilla.117:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Bfast Path: :mozilla.122:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\9y3ffth9.default\cookies.txt Risk: Medium Name: TrackingCookie.Advertising Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@advertising[1].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@as1.falkag[2].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@doubleclick[2].txt Risk: Medium Name: TrackingCookie.Estat Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@estat[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@ivwbox[1].txt Risk: Medium Name: TrackingCookie.Komtrack Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@komtrack[2].txt Risk: Medium Name: TrackingCookie.Mediaplex Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@mediaplex[1].txt Risk: Medium Name: TrackingCookie.Weborama Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@weborama[2].txt Risk: Medium Name: TrackingCookie.Smartadserver Path: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Cookies\user@www.smartadserver[1].txt Risk: Medium Name: Downloader.Agent.aii Path: C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP387\A0072692.exe Risk: High |
Hi, kann sein, emule, bittorrent etc. Findet er Dateien in _Restore? Wenn ja muß die Systemwiederherstellung abgeschaltet werden.... Lass Ihn alles in Quarantäne verschieben (und wenn das nicht geht löschen). Chris |
Das sagt mir alles nix, und was ist in-restore? Soll ich das Programm jetzt alles löschen lassen, auch die cookies? Habe jetzt die 2 dateien gelöscht, die cookies nicht. was mach ich jetzt? |
Hi, poste mal den Report.. Cookies kann man unbedenklich löschen... Hah, da haben wir Ihn im Systemrestore... Also erstmal folgendes: Systemwiederherstellung löschen Wenn der Rechner einwandfrei läuft alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da). Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> jetzt werden alle Punkte gelöscht. Bevor wir jetzt neu Booten, lassen wir von ewido alles löschen! Danach neu Booten! Chris |
report ist unten, 2 posts vorher |
Hi, gesehen, folgen den Anweisung im vorherigen Post! Zuerst Systemwiederherstellung ausschalten (eigentlich dann neu booten), dann scannen und löschen lassen. Danach prüfen ob sie wieder auftaucht setup.exe. Kannst ja mal den stecker vom internet ziehen und schauen ob sie auftaucht, dann wieder rein (nach einer Wartezeit bei der sie üblicherweise wieder da war),taucht sie dann auf,, dann lädt sie Dir jemand auf den Rechner (Trojan downloader, freigaben etc.). Chris (So, muß jetzt ran an die Arbeit bis heute abend, vielleich mal kurz zwischendurch...) |
Hallo, mache ich, vielen dank schonmal. Werde berichten, ob es geklappt hat. Gruß Chal |
habe gerade wieder eine warnung von Mc Afee bekommen, seufz. was tun????? |
Mc Afee On demand findet nichts, Mc Afee On access zeigt an, dass er wieder mehrfach hker[1]vir.htm.Vir.5 usw. in Quarantäne-Ordner verschoben hat. Als Application gibt er ewido an, als Client eine Nummer, ansonsten offenbar das Gleich wie vor den Maßnahmen.. eScan gibt wieder die 3 Spyware/Adware-Warnungen und mehrfach "ungültiges Objekt" aus, warte jetzt, ob er auch den torjaner wieder anzeigt eScan und ewido läuft noch war vielleicht die reihenfolge falsch? ausschalten, booten, scannen, löschen? oder ausschalten, scannen, löschen, booten? oder scannen, ausschalten, löschen, booten? oder anders? |
Hi, als erstes die Systemwiederherstellung auschalten. Dann neu booten und scannen&löschen; Wo findet er den "hker[1]vir.htm.Vir.5"? (Ich finde nichts über dieses Teil)... Welchen Browser benutzt Du? Es sind jetzt auch zuviele Scanner aktiv (zumindest die Meldung von McAffee und ewido), wichtig sind die Trojaner (setup.exe). Poste mir mal eine Meldung eines "ungültigen Eintrags".... Gruß, Chris |
also, ewido hat nichts gefunden. Beispiel für ein ungültiges Objekt: Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (1.0.2)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. an scanner läuft jetzt nur noch escan, ich wollte wissen, ob er den Trojaner noch anzeigt. wo er diesen hker... findet, weiß ich nicht, als quelle gibt er ewido an. Das ist auf jeden Fall wieder dieser exploit-MA06-014. An der stelle, wo vorher setup.exe war, ist nichts mehr, ich finde auch keine andere setup.exe oder exe.datei ich hoffe, ich habe alle fragen ausreichend beantwortet? PS. ich habe, unvernüftigerweise, internet explorer benutzt, habe aber auch mozilla habe jetzt in der netzwerkumgebung irgenwelche ordner gefunden mit "shared docs" an xx's computer. was ist das, kann das mit den problemen zusammenhängen? Wo kommt das her, und soll ich das einfach löschen? Fragen über Fragen.... |
Hi, dass sind verwaiste Registeryeinträge, die können mit Registerytools (Tuneup etc.) beseitigt werden. Gruß Chris |
Hallo, das habe ich nicht verstanden, bezieht sich das auf die ungültige Objekte? |
Ja! Chris |
ok, aber das ist doch vermutlich werde gefährlich noch dringend, oder? Geht es dabei nicht mehr um die schnelleigkeit des Computers? Was ist denn mit diesen Spywaremeldungen? Und wie finde ich den Trojaner (escan läuft immer noch)? Ich kann ja nicht nochmal booten, da ich den Trojaner nicht gefunden habe. oder war das von Mc afee on access ne falschmeldung? ich bekomme jetzt nämlich keine Meldung mehr und gestern kam sie alle 20 Minuten (toi toi toi)? |
nehme alles zurück, da war sie wieder die MCAfee-Meldung dass ich einen exploit usw. habe |
verstehe das nicht: der escan meldet jetzt einen virus weniger, die setup.exe datei st weg. McAffe on acces verschiebt aber weiterhin exploit ms06 in den Quarantäne-Ordner. hier das ergebnis: ed Aug 22 17:26:57 2007 => Gescannte Dateien: 130916 Wed Aug 22 17:26:57 2007 => Gefundene Viren: 3 Wed Aug 22 17:26:57 2007 => Anzahl der desinfizierten Dateien: 0 Wed Aug 22 17:26:57 2007 => Umbenannte Dateien: 0 Wed Aug 22 17:26:57 2007 => Anzahl der gelöschten Dateien: 0 Wed Aug 22 17:26:57 2007 => Anzahl Fehler: 211 Wed Aug 22 17:26:57 2007 => Dauer des Scans bisher: 01:46:39 Wed Aug 22 17:26:57 2007 => Virus-Datenbank Datum: 8/22/2007 Wed Aug 22 17:26:57 2007 => Virus-Datenbank Zähler: 387059 Was soll ich tun? Nochmal booten? |
Hi, Du meinst den hier: exploit-ms06-014? Bist Du über den IE online, schalte mal ActiveX ab... Ich sehe der ist über scripting unterwegs... Ist der Trojaner aufgetaucht (setup.exe)? Welche Homepage ist im IE eingestellt, der Exploit wird von infizierten Webseiten verbreitet! "This is a generic detection for malicious script files that exploits a vulnerability in the Microsoft Data Access Component (MDAC) functions. These files are most commonly hosted on a hacked or maliciously crafted webpage, in an aim to penetrate vulnerable systems via the Internet Explorer web browser." Noch mal bitte ein HJ-Log, nenne die HJ-Exe vorher auf test.com um... Chris |
ich bin über mozilla online. ja, ich meine exploitMS06-014., wie gesagt, im scann finde ich ihn nicht, aber im Mc Afee on acces wird er mir als verschoben angegeben... wo stell ich activex ab? |
Hi, IE6: Extras->Internetoptionen->Sicherheit->Stufe anpassen (Internet sollte angewählt sein)->ActiveX (Eingabeaufforderung für sichere, Deaktivieren für unsichere & den Download von sicheren und unsicheren) chris |
Hallo, ich wußte nicht, wie das umbenennen auf test.com geht, habe es jetzt einfach so gemacht. das ist das ergebnis: Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
Zu Active X habe ich noch eine Frage: Ich habe jetzt folgende Einstellungen: ActiveX Steuerelem. Ausführen ....sicher Aktivieren .....initialisieren nicht sicher deaktivieren active und plugins ausführen aktivieren Ausführung von bisher nicht verwendeten Deaktivieren Binär... Bestätigen Skriptlets zulassen Deaktivieren Videos deaktivieren Was sollte ich da ändern? |
Hallo, habe in der zwischenzeit spybot drüberlaufen lassen. Hat zumindest ne menge Cookies entfernt. Ich weiß aber immer noch nicht, ob ich den trojaner los bin..... Diese komischen dateien, die MCAfee verschoben hat, habe ich immer noch und kann sie nicht löschen. Öffne ich den Ordner, reagiert MCAfee on access mit einer Warnung. Gibt es in meinem HJ-Log Hinweise? |
Hi, die default page vom IE:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://10.254.0., was ist das für eine Seite? Ich bekomme sie nicht auf.... Prüfe sie morgen mal vom anderen Rechner aus.... Chris |
Das ist die startseite, über die wir uns einloggen, um das vom Wohnheim bereitgestellte Internet zu nutzen. Ich vermute nicht, dass das problem da liegt, da im internen netz nicht von Problemen berichtet wird. |
Hm, hast Du eine Firewall? Hast Du noch andere Laufwerke, auf denen z. B. der Thunderbird seine Emails speichert und hast Du das mit durchsuchen lassen (der Exploit könnte auch in einem Email im HTML-Format "enthalten" sein)? das ein Rootkit läuft, glaube ich nicht, habe sonst keine Idee mehr... Auf Basis vomHJ-Log kommen wir (ich) nicht weiter, bitte wende Dich an z. B. myrtille... Chris |
hallo, ja, ich habe eine Firewall. Andere Laufwerke habe ich nicht, aber was ist mit den "SharedDocs" an Computer von XX, die bei mir plötzlich im Netzwerk auftauchen? Mmh, so ein Mist, scheint echt kompliziert zu sein. Auf jeden Fall danke für die Hilfe. Vielleicht hat noch jemand anderes im Forum eine Idee, mit es weitergeht? Kann ich mich denn direkt an jemanden wenden, ich denke das soll nur übers Forum gehen? Ich stelle nochmal meine Hauptfragen: Wie bekomme ich die von McAfee onAccess umbenannten in den Quarantäne-Ordner umgeleiteten Dateien weg? Wo kommen plötzlich diese Verbindungen zu anderen Comp. im Netzwerk her, die sich SharedDocs an "Name" nennen (eins mit Untertitel Virus irgendwas)? Ich lösche sie, habe dann später aber neue, also wie verhindere ich dies, und was können Sie anrichten? Hat das was mit der Spyware/Adware-Warnung bei McAfee zu tun? Wie gesagt, ich bekomme nur noch Warnungen von McAfee on acess, wenn ich den Quarantäne-Ordner öffne, die anderen Virusprogramme zeigen nichts mehr an?! HILFE!!!! |
Hi, wenn Du in ein Netzwerk eingebunden bist, welche Rechte haben die anderen Nutzer? Ich gebe Dir jede Garantie, einer in Eurem Netzwerk ist verseucht und über die Zugriffrechte (ev. durch die Shared-Docs oder eine weitere Schwachstelle von Windows) bekommst Du immer den "Besucher" übermittelt. Von wo kommen die Sharedocs (User) sprech den mal an bzw.entziehe Ihm alle Rechte... Chris |
ich kenne die Shardedocs leute nicht. das ist ein wohnheimnetz mit zig usern! ich würde gerne von meinem Computer aus jeden zugang verbieten?! Ich suche schon die ganze Zeit, weiß aber nicht wo ich und wie den Zugang verbieten kann. Ich habe keine Ordner freigegeben. Können die irgendwas bei mir machen? |
PS. Bin ich eigentlich in einem Netzwerk, wenn wir uns alle in ein Netz einloggen? Es gibt meines Wissens einen Server und jeder hat sein Passwort. ich glaube auch, dass es pro Haus unterschiedliche Zugänge gibt. Sind wir dann untereinander verbunden? Doch nicht automatisch, oder? Es muß doch möglich sein, solche Verbindungen zu unterbinden? |
Dann sollte es einen Admin geben den Du sofort verständigen solltest. Der Exploit klinkt sich in Webpages ein, d.h. er kann z.B. sogar auf Eurem Server liegen, da wo ihr Euch anmelden müsst... Aber für sowas bin ich leider die falsche Person :o( Chris |
ok, danke, werde versuchen, jdn dort zu informieren. kann ich mich denn nicht selbst auch absichern? |
Hallo, mein Problem besteht noch immer. Hat nicht jemand eine Idee, was ich machen kann? |
Was ein Durcheinander. Ich würde dir empfehlen dein System neuaufzusetzen. Horst ist ein Trojaner mit Backdoorfunktionalität, das heißt jemand anders hat kompletten Zugriff auf deinen Rechner. Dabei empfehle ich dir folgende Anleitung zu berücksichtigen: Neuaufsetzen Exploits sind Warnungen, auf Grund von Sicherheitslücken in Programmen, das heißt es besteht eigentlich kein Risiko solange, du nicht auf einen Trojaner triffst, dass du infiziert wirst. Hier handelt es sich meines Erachtens allerdings um den Horst der bewusst Schwachstellen benutzt um sich weiterzuverbreiten. Laut google verbreitet sich der Wurm sowohl über Sicherheitslöcher in Netzwerken als auch über die autorun.inf auf USBSticks uÄ. Es ist also davon auszugehen, dass ein Großteil eures Netzwerk infiziert ist. :( Wenn ihr einen Admin habt, dann würde ich den mal informieren und schauen, was für Schritte möglich sind. Um dich selbst abzusichern, ist es absolut notwendig, dass du von einem sauberen (!) Rechner das SP2 (und am besten die folgenden Patches auch alle) lädst, deinen Rechner vom Netzwerk trennst, die Kiste neuaufsetzst, SP2 einspielst und frühestens dann die Verbindung zum Netzwerk wieder herstellst. Dann solltest du von nun an nur noch mit eingeschränkten Nutzerrechten surfen, hättest du bisher keine Adminrechte gehabt, als Horst vorbeikam, hätte sich der Virus auch nicht installieren können und du wärst auch sauber gewesen/geblieben. Bei Firefox hätte es den Exploit zb auch nicht gegeben, also auch hier besser auf alternative Software umsteigen (zb auch statt Outlokk Thunderbird benutzen etc). Also auch hier möglichst Alternativen benutzen. Die "Shareddocs an UlfsLaptop" sind freigegebene Ordner auf anderen Rechnern in deinem Netzwerk. Dort befinden sich dann zb Dateien, die Ulf mit anderen Leuten im Netzwerk teilen will, es ist ganz normal, dass du die siehst (und die dürften auch schon länger da sein. ;) Der einzige Grund, den ich mir vorstellen kann, dass die Ordner jetzt aufgetauch sind, ist, dass deine Firewall das Netzwerk vorher sozusagen versteckt hat und du sie deshalb früher nicht gesehen hast. Es könnte sein, dass Horst deine Firewall deaktiviert hat und auf einmal siehst du das gesamte Netzwerk und wirst auch gesehen. Bei der McAffee/ewido/eScan-Sache blicke ich überhaupt nicht durch. Wieviele Antivirenprogramme hast du jetzt aufm Rechner? Was tun sie? Wieso und wann hast du sie installiert. (Solltest du, wie empfohlen neuaufsetzen, ist die Frage nicht relevant. ;)) Da ich dein System nicht kenne (HJT-Logs wurden wegen nicht respektieren der Anleitung gelöscht) kann ich nicht sagen, ob du infiziert bist oder nicht, hast du freigegebene Ordner auf deinem Rechner? Ist der Ordner in dem sich die setup.exe befand freigegeben? Poste bitte ein neues HJT-Log, lies nach wie du es hier richtig reinstellst. Mache auch einen Scan mit Blacklight und silentrunner und poste die Ergebnisse hier. lg myrtille |
Hallo Myrtille, vielen, vielen Dank. Jetzt kommt Licht in die Sache. Kann ich irgendwie rausfinden, ob jemand etwas macht oder gemacht hat? Ich hatte das Windows Sicherheitscenter mit Firewall und Virusprogramm und Autom. Updates und ein McAfee, dessen automatische Updates aber wohl nicht liefen. Jetzt habe ich die Windows Firewall gegen eine von Comboscan getauscht udn Spybot installiert. Die anderen Virenscanner (Ewido und escan) wurden mir im Forum empfohlen. ich werde mir jetzt die Anleitung zum neuaufsetzen ansehen. Meines Wissens, soweit ich sehe und was ich bewußt gemacht habe, ist kein ordner freigegeben. ich mache jetzt erstmal den HJT-Log. Gruß CHal |
Hier die Angaben: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:01:40, on 24.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Comodo\Firewall\cmdagent.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\WINDOWS\system32\ZoomingHook.exe C:\WINDOWS\system32\TCtrlIOHook.exe C:\WINDOWS\system32\TPSMain.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\TPSBattM.exe C:\Programme\Comodo\Firewall\CPF.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\User\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://**/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.19:80 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SkypeIEHelper Class - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O3 - Toolbar: Skype™ For Internet Explorer - {B13721C7-F507-4982-B2E5-502A71474FED} - C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\User\OctoshapeClient.exe" -inv:bootrun O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Skype™ For Internet Explorer - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL O9 - Extra 'Tools' menuitem: Skype™ For Internet Explorer - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://**.spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - h**p://**.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0 O18 - Protocol: haufereader - (no CLSID) - (no file) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe -- End of file - 9918 bytes |
Hi, :) Zitat:
Du könntest dir zb tpcview besorgen und schauen auf welchen Ports welche Programme aktiv sind. Damit erkennt man häufig Backdoortrojaner, allerdings auch nur die schlechtversteckten. Zitat:
Wichtig ist vor allem auch nicht zuviel Antivirensoftware auf dem Rechner zu haben. 2 Antivirenprogramme mit Hintergrundwächtern bekämpfen sich gegenseitig, verlangsamen so dein System und machen sich gegenseitig unsicherer. Dasselbe kann (muss aber nicht ;)) auch bei dem HIntergrundwächter für Spybot passieren. Den würde ich persönlich auch deaktivieren. Zitat:
Es gibt OnAccess-Virenscanner das ist zb der McAffee-Scanner. Ein Programm, das auf deinem Rechner installiert ist und immer im Hintergrund läuft. Mehrere solche OnAccess-Scanner auf einem Rechner ist ne dumme Idee. Und es gibt OnDemand-Scanner, dazu gehören unter anderem die hier empfohlenen Scanner von eScan und Ewido. Sie haben keinen Hintergrundwächter und müssen bei Bedarf explizit aufgerufen werden. Unterschiedliche OnDemand-Scanner können nebeneinander heruntergeladen und durchgeführt werden, ohne dass sie sich gegenseitig behindern. (Es ist trotzdem eine dumme Idee 2 Virenscans gleichzeitig laufen zu lassen, auch wenn es geht ;)) Zitat:
lg myrtille EDIT: Folgende Einträge fixen: Zitat:
|
blacklight hat nichts gefunden. silentrunner habe ich laufen gelassen. jetzt gibt er mir an, das ergebnis sei in einer Textdatei unter Startup programs, was ist das? Habe nach der Datei gesucht und sie nicht gefunden... |
Auszug aus der Anleitung: In welchem Ordner hast du denn Silentrunners installiert? Dort sollte sich eine Datei befinden die so heißt: Startup Programs (Rechnername) 2007-08-24 uhrzeit.txt Diese öffnen und hier posten Bitte auch Posting Nr. 51 noch beachten und abarbeiten. :) lg myrtille |
Hallo, Einträge sind gefixt! Ich habe jetzt den Ordner "Dokumente" angesehen. Dort steht unter Freigabe, ich solle ihn unter "gemeinsame Dokumente" ziehen, damit er nur für Nutzer des Computers freigegeben ist, das geht aber nicht. Außerdem soll ich ein Kästchen anklicken, dass ihn nur für diese Nutzer freigibt, das ist aber nicht anklickbar. Ich dachte immer, freigegebene Ordner wären mit einer Hand gekennzeichnet, das ist er aber nicht. Gekennzeichnet sind nur 2 Ordner unter Windows\System32 und zwar Druckertreiber und Remote-IPC, ist das ok? |
Zitat:
|
Nein, lass den Ordner wo er ist. ;) Ich wollte nur wissen ob er freigegeben ist. Ist er nicht. Das heißt allerdings leider auch, dass die Datei dort nicht von außerhalb hingeschrieben wurde. :( Und das der Wurm bei dir aktiv sein dürfte. Auch die beiden freigegebenen Ordner deuten darauf hin. Remote-IPC dürfte ein Programm sein um deinen Rechner aus der Ferne zu steuern. Hast du das Programm selbst installiert und nutzt es selbst, kann es durchaus normal sein. In deinem Fall vermute ich den Backdoor dahinter. Da es sich um ein normales Programm handelt, wird es von keinem Scanner erkannt werden und du würdest nach einer Bereinigung glauben sauber zu sein, obwohl Fremde weiterhin Zugriff auf deinen Rechner haben. Da ich nicht weiß/nicht wissen kann, welche weiteren Programme bei dir noch installiert worden, kann ich dir nur das Neuaufsetzen empfehlen. Mein anfänglicher Verdacht, dass dir jemand die setup.exe dort hingelegt hat, damit du dich infizierst hat sich nicht bestätigt. Die Datei wurde sozusagen von dir dort hin gelegt um weitere Leute zu infizieren. :( Sorry. Falls es dich noch interessiert: Einträge fixen kannst du hier nachlesen: unter Einsetzen von Hijackthis-Einträge fixen. lg myrtille EDIT: Bei Silentrunners dürfte das Problem sein, dass du die Datei nicht entpackt hast, sondern direkt ausm Archiv gestartet hast. Entpacke die Datei und lass Silentrunner dann nochmal laufen, danach dürfte auch das Log erscheinen. Auch wenn das jetzt nicht mehr viel Bedeutung hat. |
So ein Mist! Das mit dem Fixen hatte ich doch gefunden und schon gemacht. ich mache jetzt trotzdem das Log mit Siletrunners. Soll ich dann neuaufsetzen? Da ist es: "Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "TOSCDSPD" = "C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" ["TOSHIBA"] "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "Octoshape Streaming Services" = ""C:\Programme\Octoshape Streaming Services\User\OctoshapeClient.exe" -inv:bootrun" [file not found] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"] "igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"] "igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"] "AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"] "Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."] "CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."] "(Default)" = "(empty string)" [file not found] "TPNF" = "C:\Programme\TOSHIBA\TouchPad\TPTray.exe" ["COMPAL ELECTRONIC INC."] "HWSetup" = "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP" ["TOSHIBA CO.,LTD."] "SVPWUTIL" = "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL" ["TOSHIBA"] "Zooming" = "ZoomingHook.exe" ["TOSHIBA"] "TCtryIOHook" = "TCtrlIOHook.exe" ["TOSHIBA"] "TPSMain" = "TPSMain.exe" ["TOSHIBA Corporation"] "SmoothView" = "C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" ["TOSHIBA Corporation"] "TFncKy" = "TFncKy.exe" ["TOSHIBA Corporation"] "Tvs" = "C:\Programme\TOSHIBA\Tvs\TvsTray.exe" ["TOSHIBA Corporation"] "NDSTray.exe" = "NDSTray.exe" ["TOSHIBA CORPORATION"] "dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"] "PadTouch" = "C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" ["TOSHIBA"] "ShStatEXE" = ""C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE" ["Network Associates, Inc."] "McAfeeUpdaterUI" = ""C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey" ["Network Associates, Inc."] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."] "Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "COMODO Firewall Pro" = ""C:\Programme\Comodo\Firewall\CPF.exe" /background" ["COMODO"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = (no title provided) -> {HKLM...CLSID} = "SkypeIEHelper Class" \InProcServer32\(Default) = "C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL" ["Skype Technologies S.A."] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = (no title provided) -> {HKLM...CLSID} = "DriveLetterAccess" \InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet" -> {HKLM...CLSID} = "TouchPad PropSheet Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\TPprop.dll" ["COMPAL ELECTRONIC INC."] "{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess" -> {HKLM...CLSID} = "DriveLetterAccess" \InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"] "{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt" -> {HKLM...CLSID} = "RecordNow! SendToExt" \InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data] "{E91B2703-013E-4A99-AD33-2B6FB00AA356}" = "RecordNow! ContextMenuExt" -> {HKLM...CLSID} = "RecordNow! ContextMenuExt" \InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] "{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] VirusScan\(Default) = "{cda2863e-2497-4c49-9b89-06840e070a87}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Network Associates\VirusScan\shext.dll" ["Network Associates, Inc."] Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] VirusScan\(Default) = "{cda2863e-2497-4c49-9b89-06840e070a87}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Network Associates\VirusScan\shext.dll" ["Network Associates, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AADiffDocContext\(Default) = "{B64E66EA-4F55-4F12-91B0-645D8E09B139}" -> {HKLM...CLSID} = "DiffDocContext.clsContextMenu" \InProcServer32\(Default) = "C:\Programme\Softinterface, Inc\DiffDoc\DiffDocContext.dll" ["SoftInterface, Inc. and Cypress Technology Solutions, Inc."] VirusScan\(Default) = "{cda2863e-2497-4c49-9b89-06840e070a87}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Network Associates\VirusScan\shext.dll" ["Network Associates, Inc."] HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ AADiffDocContext\(Default) = "{B64E66EA-4F55-4F12-91B0-645D8E09B139}" -> {HKLM...CLSID} = "DiffDocContext.clsContextMenu" \InProcServer32\(Default) = "C:\Programme\Softinterface, Inc\DiffDoc\DiffDocContext.dll" ["SoftInterface, Inc. and Cypress Technology Solutions, Inc."] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Startup items in "User" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart "Microsoft Office OneNote 2003 Schnellstart" -> shortcut to: "C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE /tsr" [MS] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{B13721C7-F507-4982-B2E5-502A71474FED}" -> {HKLM...CLSID} = "Skype™ For Internet Explorer" \InProcServer32\(Default) = "C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll" ["Skype Technologies S.A."] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{B13721C7-F507-4982-B2E5-502A71474FED}" -> {HKLM...CLSID} = "Skype™ For Internet Explorer" \InProcServer32\(Default) = "C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll" ["Skype Technologies S.A."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{B13721C7-F507-4982-B2E5-502A71474FED}" = (no title provided) -> {HKLM...CLSID} = "Skype™ For Internet Explorer" \InProcServer32\(Default) = "C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll" ["Skype Technologies S.A."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll" ["Yahoo! Inc."] Explorer Bars HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\ {4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided) -> {HKLM...CLSID} = "&Yahoo! Messenger" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {029F4681-0900-4227-A3CB-52F1ED4A8529}\(Default) = (no title provided) -> {HKLM...CLSID} = "My Skype™ Contacts" \InProcServer32\(Default) = "C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL" ["Skype Technologies S.A."] {4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided) -> {HKLM...CLSID} = "&Yahoo! Messenger" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."] HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ {D7783732-69C6-4A28-BE53-618CC4609617}\ "ButtonText" = "eBay" "Exec" = "C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe" [null data] HKLM\Software\Microsoft\Internet Explorer\Extensions\ {77BF5300-1474-4EC7-9980-D32B190E9B07}\ "ButtonText" = "Skype™ For Internet Explorer" "MenuText" = "Skype™ For Internet Explorer" "CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}" -> {HKLM...CLSID} = "EasyHideBtn Class" \InProcServer32\(Default) = "C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL" ["Skype Technologies S.A."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll" ["Yahoo! Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Comodo Application Agent, CmdAgent, "C:\Programme\Comodo\Firewall\cmdagent.exe" ["COMODO"] ConfigFree Service, CFSvcs, "C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe" ["TOSHIBA CORPORATION"] iPod Service, iPod Service, ""C:\Programme\iPod\bin\iPodService.exe"" ["Apple Computer, Inc."] McAfee Framework Service, McAfeeFramework, "C:\Programme\Network Associates\Common Framework\FrameworkService.exe /ServiceStart" ["Network Associates, Inc."] Network Associates McShield, McShield, ""C:\Programme\Network Associates\VirusScan\mcshield.exe"" ["Network Associates, Inc."] Network Associates Task Manager, McTaskManager, ""C:\Programme\Network Associates\VirusScan\vstskmgr.exe"" ["Network Associates, Inc."] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ PDFCreator\Driver = "redmonnt.dll" [null data] Toshiba Bluetooth Monitor\Driver = "tbtmon.dll" ["Toshiba America Business Solutions, Inc."] ---------- (launch time: 2007-08-24 15:49:28) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 48 seconds. ---------- (total run time: 73 seconds) |
Zitat:
:heulen: Also jetzt neuaufsetzen? |
Zitat:
Zitat:
Was ich sagen wollte war, dass von deinem Account aus diese Datei wohl erstellt wurde um andere dazu zu verleiten, sie auch anzuklicken und nicht von woanders aus die Datei erstellt wurde um dich zu verleiten die Datei anzuklicken. Horst verbreitet sich meist über Netzwerke und über Wechseldatenträger, so wirst du ihn wahrscheinlich auch bekommen haben. (und derzeit auch weitergeben ;)) Nicht traurig sein! :knuddel: lg myrtille EDIT: Bei Silentrunners sieht man übrigens auch nicht, das ist ein gut versteckter kleiner Bastard! |
Gut, oder nicht gut. Auf jeden Fall vielen, vielen Dank für Deine Hilfe. Ich werde mich dann also heute abend ans Neuaufsetzen machen. Noch eine Frage: habe ich das richtig verstanden, dass das nicht über Webseiten oder Programme wie Skybe oder Mails kommt, sondern über einen USB-Stick (halte ich für unwahrscheinlich) oder ein Netzwerk, wie das Wohnheimnetz hier. Wäre es also wichtig den Administrator hier aufzuspüren? Und noch eine zweite: In der Anleitung steht nur Passwörter ändern. Welche Passwörter muß ich ändern? Sind nur die Eingangspasswörter hier ins Netz gemeint? Könnte sich aktuell jemand mit meinen Passwörtern in das Netz hier einloggen, d.h. müßte das Haus hier den Zugang meines Zimmers ändern? oder geht das sowiet, dass wenn sich jemand über meinen Pc z.B. in ein Mailprogramm eingeloggt hat (hotmail etc.), dass so ein Passwort dann auch geändert werden muß? Viele Grüße und nochmals danke Chal |
Ich würde den Admin auf jedenfall informieren, wenn jeder mitdenkt, sein System aktuell hält und keine unbekannten Dateien ausführt dürfte nichts passieren. Da in solchen Netzwerken im Allgemeinen aber auch sehr veraltete System sind und nicht alle so vorsichtig sind wie du lässt sich nur Schlimmes ahnen. Die meisten Varianten des Medbots verbreiten sich, wie shcon erwähnt, über Wechseldatenträger und über freigegebene Ordner, in denen die setup.exe erstellt wird. Aufgrund deiner Exploitmeldungen gehe ich aber davon aus, dass bei der Variante, die bei euch umgeht, auch versucht wird über Sicherheitslücken sich weiterzuverbreiten. Ob du das Netzwerk oder das Netzwerk dich infiziert hat, lässt sich schwer sagen. Da der Medbot allerdings nur sehr selten direkt übers Internet verbreitet wird, würde ich vermuten, dass das Ding per USB-Stick oder Ähnlichem eingeschleppt wurde. Du kannst dich von nun an wie gesagt am besten schützen, indem du nur noch mit eingeschränkten Rechten unterwegs bist und ansonsten weiterhin dein System uptodate ist und ne Firewall und ne Menge Verstand benutzst. ;) Eine Alternative sind andere Betriebssysteme wie Mac oder Linuxdistributionen. Dadurch, dass diese Systeme noch so selten sind, macht sich keiner die Mühe Trojaner zu schreiben die auf solchen Systemen auch laufen würden. ;) Das ist allerdings nicht für jedermann was. lg myrtille EDIT: Passwörter ändern ist eine Vorsichtmaßnahme, die hier mE nicht unbedingt notwendig ist. Es gibt Trojaner die deine Tastatureingaben mitschreiben und damit dann alle deine Zugangsdaten zu allen Webseiten haben. Interessant sind in dem Fall natürlich Sachen wie Onlinebanking, Ebay, Amazon, etc... aber auch mit Logins bei Foren lässt sich noch genügend Scheiß bauen. Damit einem also nicht seine Identitäten geklaut werden, empfiehlt es sich nach dem Neuaufsetzen die Passwörter zu ändern. Wie gesagt ist das bei Horst mE nicht unbedingt notwendig. |
Die Sache mit den Passwörtern ist also nicht ganz so dramatisch, das ist ja schonmal gut. Und jetzt bin ich ja gewarnt. Ich habe so was immer befürchtet, aber natürlich macht man sich erst richtig schlau, wenn was passiert ist (wie gut dass ich kein Onlinebanking mache...). Ich werde danach alles tun, um den Pc so sicher wie möglich zu haben. Dazu gibts bei euch ja auch Tipps bzw. ihr sehr mich dann im Forum ;) Nochmals danke, Chal |
Hallo, ich ahnte ja schon, dass ich doch noch Fragen haben werde: Ich habe jetzt alles so gut ich konnte nach den Anleitungen neuaufgesetzt und gesichert. Jetzt habe ich neue Fragen: 1. Ich hatte vorher ein Bios-Passwort, das habe ich jetzt immer noch. Habe ich alles richtig gemacht, oder ist das normal, dass das bleibt? 2. Wenn ich mich jetzt einlogge, egal ob als Admin oder User, werde ich automatisch mit dem Internet und Intranet verbunden. Wo kann ich das abstellen? Ich kann ja nicht immer das Kabel ziehen... 3. Kann ich irgednwo einstellen, dass die Änderungen, die ich als Admin mache auch als user gelten? ich habe jetzt diverse Interneteinstellungen beim Admin geändert, die beim User aber nicht mitgeändert wurden. 4. Gibt es irgendwo Tipps, welche Firewall und Virenscanner gut sind? Ich habe jetzt die Windows-Firewall drauf und Spybot on demand, SpywareBlaster On access, AwiraAntvir on access und Ad-Aware On demand. Ist das gut? Fehlt was oder ist was zu viel? 5. Wie kann ich prüfen, ob der Comp. jetzt ok ist? Danke Chal |
Zitat:
Zitat:
Zitat:
Da ich letztens erst einen kleinen Roman zu dem Thema geschrieben habe, verlinke ich dir das einfach mal: klick. Es passt natürlich nicht 100%ig auf dein Problem, aber der Grundtenor "kein Programm gibt absolute Sicherheit, selber denken ist wichtig" sollte klar werden. ;) Zitat:
Wenn du später mal testen willst ob dein System sauber ist, so empfiehlt sich zb ein Onlineauswertung von deinem HJT-Log bei hijackthis.de oder ein Scan mit Adaware und Avira, etc. Sind all die Scans negativ, kannst du zwar immernoch befallen sein, es ist jedoch entsprechend unwahrscheinlich. Wie gesagt ist Verbeugung jedoch besser als späteres Kontrollieren. ;) lg myrtille |
Zitat:
Sobald ein LAN-Kabel eingesteckt ist und die LAN-Karte aktiviert ist (Deaktivierung wäre auch eine Möglichkeit, statt Kabel ziehen) und du eine feste IP-Adresse mit korrektem Gateway- und DNS-Eintrag oder DHCP-Client eingetragen hast, weiß Windows wie der Weg ins Netz geht. Auch weiß Windows dass der Weg ins Internet über das LAN geht. Wenn ein Programm (egal ob gut oder böse, egal ob legal oder illegal) nun gerne ins Internet will, so wird die Verbindung natürlich aufgebaut. Wer will ins Internet? Nun legal und meist nicht unerwünscht will sich das Antivirenprogramm aktualisieren bzw. einfach nachsehen ob es aktuell ist. Und schon besteht die Verbindung ins Internet (und ich sehe da auch kein Problem). Ebenso wenn andere Programme sich aktualisieren wollen, hier würde ich aus "Hygiene-Gründen" und um das System flott zu lassen, einiges abstellen (diverse Player, Adobe Reader (jeglicher Adobe-Mist will ständig plaudern), u.v.m.. Ebenso will Windows selber nachsehen ob es noch aktuell ist, ist eigentlich ganz okay (auch wenn da die Meinungen geteilt sind und ich selber für mich auch hier ganz gerne bestimme, wer was wann macht). Willst du (was nicht ganz falsch ist) immer die richtige Zeit am System haben, synchronisiert sich dein System mit M$ oder besser mit den Zeitservern der PTB. (Physikalisch-Technische Bundesanstalt in Braunschweig / Atomuhr) Auch Mailprogramme wollen je nach Einstellung u.U. gleich ins Internet (sehe ich als okay an) sowie Messenger (sehe ich nicht als okay, der Müll gehört gelöscht, zumindest so eingestellt dass er nicht automatisch startet). Zitat:
Zitat:
|
Hallo Myrtille und Shadow, vielen Dank für Eure ausführlichen Antworten. Zu der letzten Frage: Die von mir geänderten Sicherheitseinstellungen betreffen den Bereich benutzerdefinierte Sicherheit bei den Interneteinstellungen. Ich hatte nach Euren Anleitungen diverse Dinge deaktiviert etc., das dann auch noch für den user für Inter- und Intranet jeweils per Hand zu machen ist fehleranfällig und zeitaufwändig. Außerdem erschien es mir unlogisch, dass der Admin etwas verbietet (Cookies, ...), was der User dann erlaubt?! Gruß Chal |
Ich habe die Seiten vorher NICHT durchgelesen und werde es auch nicht tun *sorry* Welche Windows-Version und was für ein Benutzer? (Also welchem Standard-Profil entspricht der Nutzer) |
Hallo, ich habe Windows XP Home. Ich habe auf meinem Computer 2 Konten eigerichtet, ein Administratorkonto mit allen Rechten und dann ein Nutzerkonto mit eingeschränkten Rechten. Wie gesagt dachte ich, dass die Einschränkungen, die der Administrator macht, z.B. bzgl. der Internetverbindung, dann auch für das eingeschränkte Nutzungskonto gilt. Gruß Chal |
Zitat:
Zitat:
Sollte aber über die Gruppenrichtlinien gehen => gpedit.msc. (dort dann Windows-Einstellungen => IE-Wartung (gilt natürlich nur für IE)) Leider fehlt dies aber unter Home (soviel ich weiß nicht nur versteckt, sondern fehlt). Ein Kopieren von einer Pro-Version wäre ein Raubkopieren. Allerdings scheint mir diese Variante näher an der Legalität bzw. sogar legal: http://www.pcwelt.de/know-how/tipps_tricks/betriebssysteme/windows/63058/ nicht getestet und keine Erfahrung |
Hallo, ok, ich mach das einfach per Hand. Da ich, wie man merkt, nicht so viel Ahnung habe, werde ich nicht so komplizierte Dinge anfangen, vermutlich würde ich alles verschlimmbessern.... Icon24 Nochmals vielen Dank für die Hilfe, ich habe einiges gelernt und hoffe, in Zukunft nur noch zur Info und nicht mehr wegen eines Notfalls vorbeizuschaun! Viele Grüße Chal |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board