|
Guten Abend... habe seit zwei Tagen Probs mit meinem PC... Heute habe ich von McAfee VirusScan die Warnung bekommen, dass sich ein Trojanisches Pferd Namens Exploit-DcomPpc.gen in der Datei C/Dokumente/Einst./Besitzer/Lok.Einst./temp/~1.tmp befindet...die Datei selber lässt sich nicht entfernen, hijackthis findet nichts, cwshredder wurde durchgeführt, McAfee kann nicht löschen,säubern oder in Q. stellen. :confused: Hoffe es kann mir jemand weiter helfen, da mein Pc immer mehr Probs. macht... :( Grüße von [img]graemlins/heilig.gif[/img] -no7 |
</font><blockquote>Zitat:</font><hr /> Hoffe es kann mir jemand weiter helfen, da mein Pc immer mehr Probs. macht... </font>[/QUOTE]rechner von jeglichem netzwerk nehmen hijackthis findet sicher was speicher das log und poste das mal hier such nach diesem backdoor per google / hier im board mit n bissl pech hast nicht nur den drauf wenn du meinst dein pc würde "immer schlechter" laufen |
habe mir hijack neu runtegeladen und jetzt sieht das schon anders aus... hier das log Logfile of HijackThis v1.97.7 Scan saved at 23:43:17, on 26.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\FRITZ!DSL\Awatch.exe C:\WINDOWS\System32\navmgrd.exe C:\WINDOWS\System32\bah.exe C:\Anwender\PestPatrol\PPMemCheck.exe C:\Anwender\PestPatrol\PPControl.exe C:\Anwender\PestPatrol\CookiePatrol.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [S3Timer] S3Timer.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [Microsoft Update] navmgrd.exe O4 - HKLM\..\Run: [Windows Media Player] bah.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [PPMemCheck] C:\Anwender\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Anwender\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Anwender\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [PestPatrolCL] C:\Anwender\PestPatrol\PestPatrolCL.exe c:\ O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [FC8ACFF4] C:\WINDOWS\System32\cbcpecho.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe O4 - HKLM\..\RunServices: [Windows Media Player] bah.exe O4 - HKLM\..\RunServices: [E02698E0] C:\WINDOWS\System32\cbcpecho.exe O4 - HKCU\..\Run: [Microsoft Update] navmgrd.exe O4 - HKCU\..\Run: [Windows Media Player] bah.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Trashcan (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...62/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D8960EFC-00C6-4DEF-B3C5-BFC4D0E4DBC7}: NameServer = 192.168.122.252,192.168.122.253 hatte schon nach diesem exploit-dcomppc.gen gesucht, aber nichts gefunden darüber... |
Das gefällt mir nicht, sieht schwer nach Backdoor aus: C:\WINDOWS\System32\navmgrd.exe C:\WINDOWS\System32\bah.exe O4 - HKLM\..\Run: [Microsoft Update] navmgrd.exe O4 - HKLM\..\Run: [Windows Media Player] bah.exe O4 - HKLM\..\Run: [FC8ACFF4] C:\WINDOWS\System32\cbcpecho.exe O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe O4 - HKLM\..\RunServices: [Windows Media Player] bah.exe O4 - HKLM\..\RunServices: [E02698E0] C:\WINDOWS\System32\cbcpecho.exe O4 - HKCU\..\Run: [Microsoft Update] navmgrd.exe O4 - HKCU\..\Run: [Windows Media Player] bah.exe Prüf diese drei Dateien... C:\WINDOWS\System32\navmgrd.exe C:\WINDOWS\System32\bah.exe C:\WINDOWS\System32\cbcpecho.exe ...bitte hier: http://www.kaspersky.com/de/scanforvirus Und poste dann das Ergebnis. |
Danke erstmal, den angegebene link funktioniert nicht bzw. bekomme ich die Anzeige... Sorry, the server is temporarily unavailable... habe gerade TrendMicro laufen lassen und es wurde 3 invizierte Datein gefunden... Worm Bobax.c C:/windows/system32/config/... C:/windows/system32/temp/~170.tmp BKDR SDBOT.DP C:/windows/system32/navmgrd.exe (lässt sich werder säubern noch löschen) schau jetzt erstmal das ich BOBAX loswerde |
Dann schick mir ggf. die nicht erkannten Dateien zwecks Prüfung zu. Mailadresse siehe Signatur. Edit: diese Würmer / Backdoors deuten darauf hin, dass du nicht alle relevanten Patches für Windows installiert hast. Auch werden die Dienste nicht ausreichend sicher konfiguriert sein (http://www.ntsvcfg.de). Auch wenn du die Schadsoftware jetzt augenscheinlich "entfernst", so ist es bei bestehender Internetverbindung nicht unwahrscheinlich, dass dein PC nach wenigen Sekunden erneut infiziert wird. Das ist bildlich gesprochen, als wenn du in einem beschädigten Boot auf einem See fährst, und ständig einströmendes Wasser herausschöpfst. Solange aber das Loch nicht gestopft ist, wird das Wasser immer wieder nachströmen. Boot abdichten: http://windowsupdate.microsoft.com [ 27. Mai 2004, 00:46: Beitrag editiert von: mmk ] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board