|
Bin ich verseucht ? Hallo, ich habe in den letzten Tagen häufiger eine Virusmeldung erhalten Anti Vir hat den Wurm Rbot/Fl gefunden und auch schon mehrfach gelöscht. Zudem ist mein Rechner langsamer geworden. Ich kenne mich mit dem HiJack nicht wirklich aus uns poste einfach mal den Bericht. Ich würde meinen Rechner nur äußerst ungerne formatieren. Logfile of HijackThis v1.98.2 Scan saved at 19:42:56, on 31.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AIM\aim.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\xx\HijackThis.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [AIM] C:\Programme\AIM\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab Wäre super wenn sich jemand mal den Bericht angucken könnte. (Vielleicht weiß auch wer , wie ich den real player loswerde :)) mfg und danke |
Hallo, piffpaff, der hier: O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab ist als böse erkannt. Bitte im abgesicherten Modus fixen. Dann aber auf jeden Fall ebenfalls im abgesicherten Modus einen eScan durchführen und dann wieder posten. cacatoa |
Das Log ist IMO nicht vollständig, wie brauchen den gesamten Inhalt. Wenn du nicht formatieren willst, musst du dir darüber klar sein, dass ein Restrisiko besteht, dass dein System weiterhin infiziert und manipuliert ist. |
heyho, das log ist nicht vollständig ? Habe eignetlich alles kopiert und eingefügt Und wie soll ich das genau im abgesicherten Modus fixen ? Ich habe momentan einfach keine Zeit um den Rechner zu formatieren. mfg und danke |
Hi, piffpaff, also, Du brauchst nur in meinem Post "abgesicherter Modus" anclicken, dann weißt Du wie es geht. Wenn Du mit HJT gescannt hast, kannst Du vor die von mir beschriebene DAtei ein Häkchen machen und dann "Fix checked" anclicken. Dann iss es wech. Dann bitte nochmal ein Logfile erstellen und reinposten. MountainKing meinte, es sei nicht vollständig, weil so kurz. Bis dann cacatoa |
Hallo, ich habe jetzt mal einen eScan durchgeführt. Ich habe folgende Meldung erhalten: Tue Nov 02 21:47:50 2004 => ***** Scanning complete. ***** Tue Nov 02 21:47:50 2004 => Total Files Scanned: 51993 Tue Nov 02 21:47:50 2004 => Total Virus(es) Found: 12 Tue Nov 02 21:47:50 2004 => Total Disinfected Files: 0 Tue Nov 02 21:47:50 2004 => Total Files Renamed: 0 Tue Nov 02 21:47:50 2004 => Total Deleted Files: 0 Tue Nov 02 21:47:50 2004 => Total Errors: 100 Tue Nov 02 21:47:50 2004 => Time Elapsed: 00:54:17 Tue Nov 02 21:47:50 2004 => Virus Database Date: 2004/11/02 Tue Nov 02 21:47:50 2004 => Virus Database Count: 108119 File C:\Programme\AVPersonal\INFECTED\A0036610.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TFTP1276.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TFTP1332.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TFTP1512.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TFTP1532.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TFTP1552.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TFTP172.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TFTP196.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TFTP368.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File D:\Eigene Dateien\Meine empfangenen Dateien\serialz.rar tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File D:\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. Ich werde jetzt das erste Problem mit Hjack im abgesicherten Modus beheben und dann den Scan ausführen und nochmal posten. Aber was ist mit den oben genannten Viren ? Ich hoffe die verschwinden dann auch . Bis morgen und danke mfg |
Hallo, piffpaff, Leere den Quarantäne-Ordner von Deinem Antivir, dann sollten sie weg sein! Gute Nacht cacatoa |
hallo, kaum habe ich den einen Fehler behoben,kommt auch schon der nächste Fehler. Immer wenn ich den PC hochfahre kommt eine Meldung über die Sicherheitseinstellung und dass man yes klicken muss. (sehr eigenartig) Zudem ist meine Internetverbindung sehr langsam geworden und im Task Manager finden sich komische / unbekannte Prozesse. Hier meine hijack log Logfile of HijackThis v1.98.2 Scan saved at 18:32:12, on 04.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\blcproc.exe C:\WINDOWS\System32\frmwrks32.exe C:\Programme\AIM\aim.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\adh3sg.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\LOKALE~1\Temp\Rar$EX02.857\HijackThis.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [blc proc drv] blcproc.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows Frame Works] frmwrks32.exe O4 - HKLM\..\RunServices: [blc proc drv] blcproc.exe O4 - HKLM\..\RunServices: [Windows Frame Works] frmwrks32.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [blc proc drv] blcproc.exe O4 - HKCU\..\Run: [Windows Frame Works] frmwrks32.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab Oder ist das kein Virus ? Und danke für eure Hilfe. mfg piffpaff |
Tja, so gehts einem eben wenn man bei einem kompromittierten System nicht formatiert!!! Überprüfe mal bei Jotti: C:\WINDOWS\System32\blcproc.exe C:\WINDOWS\System32\frmwrks32.exe C:\adh3sg.exe Wenn du die Dateien nicht findest: Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren PS: Dein System ist in keinster Weise gepatcht! |
@piffpaff system und IE sind nicht auf den neuesten stand Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) bitte als erstes updaten gebe danach HJT einen eigenen Ordner lasse diese 2 dateien C:\WINDOWS\System32\blcproc.exe C:\WINDOWS\System32\frmwrks32.exe hier überprüfen und poste das ergebnis @Haui45 warst wieder mal schneller chaosman :lach: :lach: |
nabend, ich bin wohl ein dauergast für Viren. Anti Vir hat jetzt folgende Programme gefunden: Trojanische Pferd TR/Drop.180Soluti.A Trojanische Pferd TR/Dldr.IstBar.A wie werde ich die beiden Viecher los ? Löschen bringt nichts. Zudem habe ich wieder komische Programme im hintergrund laufen. Und bei jeden zweiten Neustart habe ich einen browserfenster fest in der taskleiste...hjacklog kommt nach..... gruß und danke piffpaff |
Guckst du mal bei Haui´s post: Zitat:
|
kompromittierten ????? Ich habe leider keine Zeit für eine formatierung . |
Na dann mach doch mal so weiter; wir finden Dich bald hier (oder auf einem anderen Board) wieder... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board