Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Backdoor.Bot in system32.exe das ist hart !hilfe bitte! (https://www.trojaner-board.de/68818-backdoor-bot-system32-exe-hart-hilfe-bitte.html)

lulububu 19.01.2009 01:15
Backdoor.Bot in system32.exe das ist hart !hilfe bitte!
 
Schön guten abend liebe HiJackThis Team und User !
Als erstes will ich mich für eventuell Rechtschreibfehler Gramatikfehler
oder andere für euch lustige Fehler entschuldigen bin ein Leihe was dem angeht mit Pc Virenkenntnissen usw. ! :uglyhammer:

Ich habe vollgendes Problem habe gestern ausversehen bitte fragt nicht wie
ein paar Systemdienste über dem Taskmanager beendet (svchost.exe dienste).

So soweit alles garnicht das Problem, hatte mir zuvor noch etwas nötiges gedowloadet wo mein Kaspersky gleich Alarm schlug mit Quarantene und löschen volles Programm . Also gut hab ich mir gedacht lulu wirste erstma Quarantene wählen prommt kam die Antwort "von meiner Software" kann nicht verschoben werden löschen oder überspringen. Najut das beides mir gestern abend nichts mehr dann gebracht hat könnt ihr euch jetzt bestimmt vorstellen.
aber weitergehts also löschen gedrückt schon war ich erstma beruhigt .

P.S.: in der Zeit hatte ich den Taskmanager offen weil ich gerade da was gucken wollte, da vielen mir die Datein svchost.exe auf . Wie oben schon leicht beschrieben "beendet" so das kam alles so innerhalb weniger minuten somit hatte ich auch ein dienst beendet wo ich mein rechner runterfuhr weil ich dachte das dann alles wieder schicki ist .

Jut Kiste wieder hochgefahren dann gings los explorer.exe lädt den Desktop und soweiter. und schon nach wenigen Sekunden des ladens verschwand die Taskleiste mit allem und die Desktopicons waren auch alle weck somit war für dem moment nur mein Hintergrundbild sichtbar. So dies wiederholte sich entlos aller 5 - 7 sekunden lädt die explorer.exe neu mit den Icons und allem.

Gut hab ich gedacht 2-3 wieder pc reset immernoch ...
Hab dann so schnell wie es möglich war ziwschen den Pausen des ladens meine Internetverbindung aktiviert und mozilla gestartet soweit gings hab mich dann in foren durchgewurschtelt was das für svchost.exe datein sind (Systemdienste). :eek: Jut jetzt weis ich was das ist . :daumenhoc
Also mein Onkel angerufen der das seit 20 Jahren macht .
Er sagte dienst zerschossen schick dir heute Abend eine Liste in form von Screens und dann stellste die wieder ein und so. Sag ja bissel kann ich was aber nicht viel . Gut 14 Uhr Kiste angemacht um 22 Uhr kam dann die Screens hab schon probiert in der Zwischenzeit selber Listen oder so zu finden hab ich auch zum teil . Somit könnt ihr euch vorstellen wie mühsählich es ist bei den paar Sekunden in die Dienste zu kommen war ich aber drin war ich da auch zum glück somit sass ich bis um 1 uhr nächsten morgen da hab alles wieder eingestellt. Fahre dann die kiste runter wieder hoch der scheiss immernoch da. Jut also mit dem Problem wie vorher beschrieben Internet wieder an und Mozilla auf und gesucht woran es liegt . Bin dabei zum teil auf Sachen gestossen in eurem Forum die mir ein bissel die Augen geöffnet haben.
Somit hab ich seit gestern wenig geschlafen wegen dem Problem.
In der Zeit hab ich alle Tips die ich lass Probiert auszuführen um das Problem zu beseitigen .

Installierte Programme von gestern zu heute zwecks Problemlösung:

-Vundofix
-Combofix
-HiJackThis
-Malwarebytes
-Comodo Internetsecurity
-regestry cleaner

Da ich verzweiffelt bin was ich noch ausprobieren soll bitte ich euch mir zu helfen hab bis jetzt wars alles gelöst bekommen nur die nuss könnt nur ihr knacken.

Bei der Analyse mit dem Programmen ist folgendes nun rausgekommen hab alles gecleant gesäubert gelöscht und soweiter und so heiter.Die Log`s folgen gleich .

Hier ein Pfad von meinem Rechner der mich stutzig macht. ( Wer mir das nicht glauben mag Screenanfrage stellen) :

c:\WINDOWS\system32\scvhost

<< denke ma da sollte lieber svchost stehen oder ?

Hier ist der Backdoor.bot Pfad :

Infizierte Dateien:
C:\WINDOWS\system32\system32.exe (Backdoor.Bot) -> Delete on reboot.

Hier sind auch noch Drei andere netigkeiten die immer wieder neue .tmp`s
benutzen um nicht gelöscht werden zu können oder so :confused:

Aus der Kaspersky Quarantene kopiert:

Code:
2009-01-19 00:45        Datei: C:\RECYCLER\S-1-5-21-1214440339-1383384898-725345543-500\Dc170.tmp        gefunden: trojanisches Programm 'Trojan.Win32.Patched.dy' (Modifikation)       
2009-01-19 00:45        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp9.tmp        gefunden: trojanisches Programm 'Trojan.Win32.Patched.dy' (Modifikation)       
2009-01-19 00:45        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp26C.tmp        gefunden: trojanisches Programm 'Trojan.Win32.Patched.dy' (Modifikation)


Gut zum Schluss möchte ich sagen das nach dem scannen und probierter löschung und behebung mein Pc erstma stabil läuft also das die explorer.exe nicht ständig neulädt. Kann aber nicht spielen nur Internet mehr wollt ich noch nicht ausprobieren.

So zum Schluss die Log`s ganz frisch nach registry clean !

Malwarebytes Log:
Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1663
Windows 5.1.2600 Service Pack 2

18.01.2009 15:11:31
mbam-log-2009-01-18 (15-11-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51008
Laufzeit: 4 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\system32.exe (Backdoor.Bot) -> Delete on reboot.
Kaspersky Log für die drei komischen trojaner.Setz das ma rein um das ihr seht was ich meine mit der Bezeichnisänderung der tmp Trojaner !? :confused: :

Code:
gefunden: potentiell gefährliche Software Invader        Prozess: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\{50C1FC5F-690B-451C-839A-BCA9997FA405}\uninstall.exe
gelöscht: trojanisches Programm Trojan.Win32.Agent.bgbt        Datei: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\cogad\cogad.exe//PE_Patch.UPX//UPX
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.jbp        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\winlogin.exe
gelöscht: trojanisches Programm Backdoor.Win32.Bifrose.fmz        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\csrssc.exe
gelöscht: trojanisches Programm Trojan-Downloader.Win32.VB.itq        Datei: C:\windows\system32\m3V15\m3V151080.exe
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp17.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp19.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp1B.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp1D.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp1F.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp2B.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp2.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp4.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp6.tmp
nach Quarantäne verschoben: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\RECYCLER\S-1-5-21-1214440339-1383384898-725345543-500\Dc170.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp7.tmp
gelöscht: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp9.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp5.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp7.tmp
gelöscht: trojanisches Programm Trojan-Downloader.Win32.VB.jub        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\IXP000.TMP\msiexec.exe
gelöscht: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmpA.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmpC.tmp
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmpF.tmp
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Delf.nol        Datei: I:\System Volume Information\_restore{8ABC235B-18C6-42CD-9D87-49ED96640357}\RP74\A0046872.dll
gelöscht: trojanisches Programm Backdoor.Win32.Ciadoor.big        Datei: I:\spiele\dvd image airborne\world in conflict\Neuer Ordner (2)\CRACK - World In Conflict WORKS !!.zip/wic.exe
gelöscht: trojanisches Programm Backdoor.Win32.Ciadoor.big        Datei: I:\spiele\dvd image airborne\world in conflict\Neuer Ordner (2)\wic.exe
nicht gefunden: trojanisches Programm Trojan.Win32.Patched.dy (Modifikation)        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tmp26C.tmp
nicht gefunden: Virus EICAR-Test-File        Datei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Av-test.txt

HiJackThis Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39, on 2009-01-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ROCCAT\Kone Mouse\KoneHID.EXE
C:\Programme\COMODO\SafeSurf\cssurf.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\G DATA\DAVServer\DAVServer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ROCCAT\Kone Mouse\osd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\clear.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://home.sweetim.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SweetIM Toolbar Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: &Quero - {A411D7F4-8D11-43EF-BDE4-AA921666388A} - C:\PROGRA~1\QUEROT~1\Quero.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kone] "C:\Programme\ROCCAT\Kone Mouse\KoneHID.EXE"
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [DAVSERVER.EXE] C:\Programme\Gemeinsame Dateien\G DATA\DAVServer\DAVServer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F816E28D-873D-43B7-B554-9690CA1DE475}: NameServer = 213.191.74.18 62.109.123.196
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.805.16405 (GoogleDesktopManager-051608-133132) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

--
End of file - 8543 bytes
Bitte helft mir dringend ich hab kein Rat mehr dazu hoffe euch hilft das weiter leider hat combofix keine log rausgeschmisse weis nicht warum nur nach ner halben stunde log datei wird vorbereitet sitzung hab ich auch keine Lust mehr nach so viel mühe !

Steh zur hilfe mit Tat weil Rat hab ich nicht mehr :heulen: .

Lg lulububu P.S.: :balla:

nochdigger 19.01.2009 05:50
Hallo

Zitat:
Datei: I:\spiele\dvd image airborne\world in conflict\Neuer Ordner (2)\CRACK - World In Conflict WORKS !!.zip/wic.exe
dein Problem (komplett verseuchtes System) ist hausgemacht.
Folge dieser Anleitung zur Neuinstallation des Systems.
Ändere nach der Neuinstallation oder von einem sauberen System aus alle deine Pass- und Kennwörter.
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden,
sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden.

MFG

lulububu 19.01.2009 18:12
Hier bin ich nochmal !
Ich danke dir für deine prompte hilfe .
Das ist Klasse .
Wie durch ein Zufall hab ich heute morgen jemanden kennengelernt der ahnung hatte von dem Problem .

Er empfahl mir gleich 2 Programme hier die ich euch gleich mal als anregung hinschreiben falls ihr so ne Brocken auch mal habt !

Antimalware

http://download4.emsisoft.com/a2AntiMalwareSetup.exe

Spybot

http://dl.betanews.com/spybotsd160.exe

Die haben alles weckgeboxxt sogar von der externen Festplatte also Daum hoch an den schreibern !

nochdigger 19.01.2009 18:43
Moin

Zitat:
Wie durch ein Zufall hab ich heute morgen jemanden kennengelernt der ahnung hatte von dem Problem .

Er empfahl mir gleich 2 Programme hier die ich euch gleich mal als anregung hinschreiben falls ihr so ne Brocken auch mal habt !
http://e.deviantart.com/emoticons/w/weirdface.gifach was

Zitat:
Die haben alles weckgeboxxt sogar von der externen Festplatte also Daum hoch an den schreibern !
Evtl. haben sie einen (großen) Teil der infizierten Dateien löschen können, die gerissenen Lücken werden sie dir nicht wieder schließen können.
Aber vielleicht wirst du schlauer, wenn dein Internetanbieter dich mal eine Weile vom Netz trennt, weil deine Kiste Spam versendet oder andere nette Dinge anstellt:taenzer:

Prost

Haengdichweg 19.01.2009 19:07
Zitat:
Zitat von lulububu (Beitrag 407346)
Die haben alles weckgeboxxt sogar von der externen Festplatte also Daum hoch an den schreibern !
"Backdoor.Win32.Ciadoor.big"

Du weißt nicht was noch alles offen ist!

undoreal 19.01.2009 19:11
Zitat:
Du weißt nicht was noch alles offen ist!
:D Dürfte nicht schwer sein das rauszufinden ;)

Mr.Vain 19.01.2009 19:21
Bifrose = Bifrost :aplaus:

Logisch was das ist.
Wieder mal ein Remote Admin Tool (RAT)
Neuinstallation wäre hier angebracht :'P

lulububu 21.01.2009 22:54
ALso das hier keiner eine herzattacke bekommt wie ich darauf komme .
ich hab ein onkel der bereits seit über 20 jahren pc kenntnisse hat und ist durch und durch ein profi .

er wird nochma auf mein system nachgucken ob was da ist .

Und da mein onkel noch nie sein system neugemacht hat ausser ma bei einer neuen einlage eines mainboards in seinem pc vertraue ich ihm da voll und ganz .

sein spruch war nur : :uglyhammer:

Code:
jeder der sein pc neumacht ist zu doof damit umzugehen !
:singsing::taenzer::singsing:

also werde ich mich meinem onkel fügen und er wird es richten falls noch was da sein sollte :huepp:

jeder der natürlich davon keine ahnung hat soll lieber neuinstallieren !

guti also viel spass noch bei der diskussion !

achso und das der RAT backdoor.bot drauf wa geht ja auch nu nich anders als mit RAT :singsing:

Robsen84 21.01.2009 23:24
Aber ein Neuaufsetzen wäre a: sicherer für dich und für uns und b: sicherlich zeitsparender.
Mir scheint ausserdem, dass du leichte Symptome von Beratungsresisstenz aufweist.
Sollte dein Onkel deinen Rechner "retten" (nach seiner Definition), könnte er noch ein Grammatik-Update draufziehen. Es scheint mir, ebenfalls versucht zu sein.

nochdigger 22.01.2009 05:44
Hallo
Zitat:
Zitat von lulububu (Beitrag 407900)
ALso das hier keiner eine herzattacke bekommt wie ich darauf komme .
ich hab ein onkel der bereits seit über 20 jahren pc kenntnisse hat und ist durch und durch ein profi .
Warum fragst du erst hier nach:balla:?

Zitat:
Zitat von lulububu (Beitrag 407900)
er wird nochma auf mein system nachgucken ob was da ist .
Er sollte fündig werden...

Zitat:
Zitat von lulububu (Beitrag 407900)
Und da mein onkel noch nie sein system neugemacht hat ausser ma bei einer neuen einlage eines mainboards in seinem pc vertraue ich ihm da voll und ganz .
Ich hoffe die Beziehung wird nicht irgendwann einmal getrübt:rolleyes:

Zitat:
Zitat von lulububu (Beitrag 407900)
sein spruch war nur :

Code:
jeder der sein pc neumacht ist zu doof damit umzugehen !
Ach was

Zitat:
Zitat von lulububu (Beitrag 407900)
also werde ich mich meinem onkel fügen und er wird es richten falls noch was da sein sollte
Ich hoffe du kannst in den nächsten Tagen/Wochen auf deinen Rechner verzichten:)

Zitat:
Zitat von lulububu (Beitrag 407900)
jeder der natürlich davon keine ahnung hat soll lieber neuinstallieren !
nicht nur der, der keine Ahnung hat...

Zitat:
Zitat von lulububu (Beitrag 407900)
guti also viel spass noch bei der diskussion !
Es herrscht kein Bedarf:kloppen:

Zitat:
Zitat von lulububu (Beitrag 407900)
achso und das der RAT backdoor.bot drauf wa geht ja auch nu nich anders als mit RAT :singsing:
...

Zitat:
Zitat von Robsen84
Mir scheint ausserdem, dass du leichte Symptome von Beratungsresisstenz aufweist.
:daumenhoc

Prost

lulububu 22.01.2009 18:14
ROBSEN :snyper:

Erstma geh zum arzt und lass ma dein Kopfproblem untersuchen !
Weil Rechtschreibung ist nicht gleich Grammatik.
Aber ich bin mir da schon zu 99% sicher du findest ein .

Und zu dem rest der Leute die mir antworteten.:uglyhammer:
Ich habe mich an das Team gewannt weil mein Onkel mehr zu tun hat als manch andere und ich das Problem erstma in den griff kriegen musste!

Und mit RAT meinte ich nicht das runterziehen und draufladen/aktiven des
Trojaners aber naja das war wohl dann meine falsche Ausdrucksform.

Najut also für mich ist der Fall abgeschlossen .

Trotzdem ein dank an das Team von HiJackThis . :daumenhoc

Eminemstyle 22.01.2009 18:20
Hast du deinem Onkel auch gesagt, dass du das alles wegen einem illegalen Crack auf dein System geholt hast?

nochdigger 22.01.2009 18:42
Moin

Zitat:
Trotzdem ein dank an das Team von HiJackThis .
ich hoffe doch inständig, dass dir dort nicht das System bereinigt wurde:rolleyes:

MFG

Eminemstyle 22.01.2009 18:54
Ach Nochdigger es werden hier noch mehrere kommen mit der Einstellung, lasse doch einfach den "Spezialisten" das Bereinigen :rolleyes:
wenn sie strikt die Hilfe von uns ablehnen...
Wenn sie meinen dass nichts ist....
EDIT: diese Leute wollen sowieso nur das was sie hören wollen

nochdigger 22.01.2009 19:31
Hallo

Zitat:
Ach Nochdigger es werden hier noch mehrere kommen mit der Einstellung, lasse doch einfach den "Spezialisten" das Bereinigen
Die meisten Aktiven (auch Inaktiven, Ehemaligen) hier am Board wissen um die Gefahr, auch wenn sie gering erscheint, ist sie da.
Evtl. hat man kein Pech und es kommt nix nach, die Chance das etwas passieren könnte, möchte ich für mich nicht eingehen und für den hilfesuchenden schon garnicht.
Lieber lasse ich im Zweifel ein System neu aufsetzen, als das mir einer durch geht.

MFG

Eminemstyle 22.01.2009 19:34
Ich geb dir Recht aber es werden immer so welche kommen die Hilfe suchen aber dann nicht annehmen und dass dann machen was sie wollen (nicht Neuaufsetzen, wenn man es ihnen empfiehlt).
Diejenigen haben gar keine Ahnung was sie dann auf ihrem System lassen und trotzdem nehmen sie das was wir ihnen sagen nicht an.

Robsen84 22.01.2009 19:52
Zitat:
Zitat von lulububu (Beitrag 408072)
ROBSEN :snyper:

Erstma geh zum arzt und lass ma dein Kopfproblem untersuchen !
Weil Rechtschreibung ist nicht gleich Grammatik.
Aber ich bin mir da schon zu 99% sicher du findest ein .
Ich dachte, dass du erstmal mit Grammatik anfängst...:kloppen:
Danke für die Belehrung. Im Latein-Lk hat man uns das nicht beigebracht.:uglyhammer:

Aber für die Zukunft!
Lass deine Finger von sämtlichen Cracks. Die Bringen nur Unheil.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131