|
Das fiese Ding will nicht weg! Hallo zusammen, bin ein wenig ratlos bzgl. der Bekämpfung eines ungebeten Gastes auf meinem Rechner. Habe, nachdem ein bekannter ohne Firewall im Netz war, den Rechner komplett gereinigt, unter anderem auch mit eScan im abgesicherten Modus nach Malware gefahndet. Ist auch alles fein, bis auf einen kleinen Fiesling: eScan meldet: File C:\WINNT\system32\drivers\jrmyxyka.sys infected by "Trojan.Win32.Agent.aw" Virus. Action Taken: No Action Taken. Ich lösche im abgesicherten Modus die enstprechende Datei, starte neu - und sie ist wieder da. Bin etwas ratlos.... Kann mir jemand helfen? :confused: Danke schonmal, Gruß Bastian |
Hi, deaktiviere mal die Systemwiederherstellung auf allen Platten dann abgesicherten Modus das ding löschen und Rechner neustarten.Danach kannst die Systemwiederherstellung wieder aktivieren. Wenn er dann immer noch nciht weg ist mal Google aufsuchen und dort suchen ;) mfg Katze |
Und wie mache ich dass bei Windows 2000? :( |
Das müsste eigentlich genauso wie bei win XP gehen. Arbeitsplatz rechtsklick -> Eigenschaften -> Systemwiederherstellung -> Haken setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren dann kommt nochmal eine Sicherheitsabfrage und diese mit ja beantworten ( den Text ruhig mal durchlesen ). dann wie ich im ersten Beitrag beschrieben fortfahren. als Tipp : schau mal in der Hilfe von deinem BS nach. Rufst du mit F1 auf und da suchst du denn Systemwiederherstellung ;) |
@ Kampfkatze Bei Win2k gibt es keine Systemwiederherstellung.;) @ stammheim_77 Es wäre nützlich wenn du uns mit mehr Infos versorgen würdest, wie z.B. ein HiJackThis Log-File. |
@Cidre Zitat:
Wäre es nicht nützlicher, wenn das System neu aufgespielt wird? ;) |
@ Rene-gad Ja, da hast du natürlich Recht, aber ich möchte schon in Bezug auf neue Malware, sofern sie dargestellt wird, ein HJT Log-File sehen.;) |
man kann ja auch nicht alles wissen :balla: |
Danke für die Tipps! Hab noch ein bisserl rumgewerkerlt, hoffe, jetzt ist alles i.O. Habe hier mal das Logfile von Hijack angefügt. Ich erkenne da mal garnix draus... Laie halt.. :( Logfile of HijackThis v1.99.0 Scan saved at 17:53:11, on 01.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\drivers\CDAC11BA.EXE C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe C:\WINNT\Explorer.EXE C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\a2\a2guard.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\WINNT\system32\wisptis.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\bcampmann\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1783B9F5-6AFD-614A-671D-C1EF1BA6770E} - C:\WINNT\system32\vjbhynuk.dll O2 - BHO: (no name) - {606C623A-3196-F9EA-F7DF-B5A56485B3C9} - C:\WINNT\system32\soaslrpz.dll (file missing) O2 - BHO: (no name) - {AD083574-3822-5380-5FCC-E14FEF4B5A80} - C:\WINNT\system32\auuzvxif.dll O2 - BHO: (no name) - {E79E513A-AB93-99A9-4445-012C7C1FA323} - C:\WINNT\system32\mfaqkebf.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = koelnsport.de O17 - HKLM\System\CCS\Services\Tcpip\..\{B5027BE3-F1C9-41DE-B9AC-5061990E371D}: NameServer = 194.8.194.60,213.168.112.60,192.168.0.5 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = koelnsport.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = koelnsport.de O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: OfficeScanNT Echtzeitsuche - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe |
@stammheim_77 da escan es schon gefunden hat, hier ein paar infos http://www.sophos.de/virusinfo/analy...ojagentaw.html ich kann dich nur empfehlen dein system neuaufzusetzen. hier eine hilfestellung http://trojaner-board.de/showthread.php?t=12154 sry chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board