|
Im Original, ist ja eh nur ein Internes Netz, also keine Gefahr für Dich. Bata |
Schon geixt; Stimmt aber soweit alles: Symantec Bedrohungs-Log Risiko,Action,Anzahl,Dateiname,Bedrohungstyp,Quelladresse,Computer,User,Status,Aktueller Ablageort,Primäre Aktion,Sekundäre Aktion,Protokolliert von,Aktionsbeschreibung,Date Trojan Horse,Nichts unternommen,1,A0030919.exe,Datei,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP239\,PEGASUS,PEGASUS\XXXXXXX,Nichts unternommen,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP239\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Die Datei wurde nicht geändert.,28.08.2007 14:34:52 Trojan Horse,Isoliert,1,ntux.exe,Datei,C:\WINDOWS\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:22:03 Adware.Mirar,Isoliert,2,MirarSetup.exe,Adware,C:\WINDOWS\Downloaded Program Files\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:20:06 Trojan Horse,Isoliert,1,ARJ.PIF:qmtztq:$DATA,Datei,C:\WINDOWS\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:19:14 Adware.Gator,Isoliert,6,A0030917.exe,Adware,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP239\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:16:14 Adware.Gator,Isoliert,6,gain_trickler_3202.exe,Adware,C:\Programme\DivX\DivX Pro Codec\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 13:08:20 Adware.Mirar,Isoliert,19,MirarSetup.exe,Adware,C:\WINDOWS\Downloaded Program Files\CONFLICT.1\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,28.08.2007 11:57:17 Adware.Mirar,Isoliert,2,A0030777.dll,Adware,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP235\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,08.08.2007 16:22:53 Adware.IpInsight,Isoliert,2,A0030778.exe,Adware,C:\System Volume Information\_restore{5BD8F753-7503-4377-9509-E8205000153F}\RP235\,PEGASUS,PEGASUS\SYSTEM,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Auto-Protect-Prüfung,Die Datei wurde erfolgreich isoliert.,08.08.2007 16:22:33 Adware.IpInsight,Isoliert,2,sentry.exe,Adware,c:\windows\,PEGASUS,XXXXXXXXXXXXX,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Manuelle Prüfung,Die Datei wurde erfolgreich isoliert.,06.08.2007 12:31:57 Adware.Mirar,Isoliert,7,windmy.dll,Adware,c:\windows\system32\,PEGASUS,XXXXXXXXXXXXX,Infiziert,Quarantäne,Quarantäne,So belassen (nur protok.),Manuelle Prüfung,Die Datei wurde erfolgreich isoliert.,06.08.2007 12:29:52 sorry, eben war`s noch ein Excel-Sheet :( SMITFRAUD: SmitFraudFix v2.217 Scan done at 10:57:47,70, 29.08.2007 Run from E:\TOOLS\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{12C700F7-99B4-4484-A6A3-17171F53227E}: NameServer=XXX.XXX.XXX.XX HKLM\SYSTEM\CS1\Services\Tcpip\..\{12C700F7-99B4-4484-A6A3-17171F53227E}: NameServer=XXX.XXX.XXX.XX0 HKLM\SYSTEM\CS3\Services\Tcpip\..\{12C700F7-99B4-4484-A6A3-17171F53227E}: NameServer=XXX.XXX.XXX.XX »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End IPCONFIG.TXT: Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : PEGASUS Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Ja Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE-Netzwerkverbindung Physikalische Adresse . . . . . . : 08-00-46-43-08-62 DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.101.113 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.10.1 DNS-Server. . . . . . . . . . . . : 213.148.129.10 Wie gesagt, sieht für mich normal aus...... |
Bei der ersten Zeile im Antivir log stimmt nicht, daß nichts unternommen wurde, das Teil wurde Opfer eines anderen Hilfspgm. |
Die Systemwiederherstellung deaktiveren, das System dann neu booten. Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Dann Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken. Bata, der jetzt mal weg und erst gegen Abend wieder da ist und sich über die Logs freuen würde, die aber auch jeder andere auseinandernehmen darf. :D |
Noch nicht weggehen, was meinst Du mit CODE CODE???? |
Wenn Du einen Betrag erstellst, hast Du so einen tollen Button der wie eine Raute # aussieht, dieser erzeugt Code Tags. Das erleichtert das Lesen ungemein. Bata |
I`ll do my very best.... |
Hier die gewünschten Log-Files: file-List: Code: ----- Root ----------------------------- Bis jetzt war das ja einfach. O Gott, was schreibt der Mann da? Moment, muß splitten, ist zuviel Text. |
Main.txt Code: Deckard's System Scanner v20070826.66 |
Uuuuunnnd.... Extra.txt Code: Deckard's System Scanner v20070826.66Ich harre der Dinge die da auf mich zukommen. Aber auf jeden Fall schon mal vielen, vielen Dank für die bisher geleistete Hilfe. CU Ralph |
Oh Gott, schon 3 Seiten für meinen Sch..ß, ich hab schon ein schlechtes Gewissen. |
Alles ok so weit, scanne bitte diese Dateien c:\windows\system32\drivers\atksgt.sys c:\windows\system32\drivers\lirsgt.sys bei VirusTotal - Free Online Virus and Malware Scan und poste der Ergebnis hier. Bata |
Hi, hier die Ergebnisse: Datei atksgt.sys empfangen 2007.08.30 10:25:19 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Datei lirsgt.sys empfangen 2007.08.30 10:43:17 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Alle Scanner =0 |
Ok, dann liegt es mal zu vielen Prozent Punkten nicht an einer Infektion. Zwei Möglichkeiten sehe ich 1. Die Windows Firewall war/ist aktiv, deaktivere sie wie hier beschrieben. Deaktivere auch die Spygate Firewall Wenn Du jetzt nicht online kommst gehe zu zwei 2. Deine IPs stimmen nicht, spiele ein bißchen damit, kommst Du mit dem Laptop nie online? Gleiche die IPs soweit an, das nur die letzte Ziffer vaariert. Prüfe auch, ob die IP im Router freigegeben werden muss. Welches Modell ist es? Bata |
Versuche ich mal alles. Du meinst also, es könnte damit zusammenhängen, daß Router oder DNS, oder wer auch immer nur eine bestimmte range von IP-Adressen zuläßt? Das müßte doch dann irgendwo beschrieben sein, oder? Bin nur heilfroh, daß es offenbar keine Intrusion war. Vielen Dank schonmal, ich melde mich bestimmt wieder. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board