|
bin todunglücklich Hallo, habe bei malware die win.ini gescannt und folgende Antwort erhalten: Trojan-Downloader.Agent.lz Jetzt meldete sich Antivir: C:\DOKUMENTE UND EINSTELLUNGEN\URSULA\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\K5EZG1IZ\T-17336[1].HTM Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml Ich mag nicht neu aufsetzen :nixda: Gruß Luxy |
Wechsel in den angesicherten Modus (wenn du XP oder ME nutzt auch noch die Systemwiederherstellung abschalten): http://www.systemwiederherstellung-d...indows-xp.html Lösche für jeden Nutzer den Inhalt folgender Ordner: C:\Dokumente und Einstellungen\Default User\Cookies\ C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf Boote neu, wen du die systemwiederherstellung abgeschaltet hast, schalte sie wieder ein. Erstelle einen Log mittels Hijackthis: Kurzanleitung Auführliche Anleitung Zitat:
|
ok, aber wie schalte ich die Systemwiederherstellung ab? |
Lies dir den ersten Link durch, den ich dir gegeben hab. Wähle dein Betriebsystem, dort wird alles beschrieben. |
Zitat:
BTW: Zitat:
|
Die Lösung, die dir hier beschrieben wurden, helfen nur, um diesen einen Fall zu lösen. Solche Probleme werden aber mit sicherheit immer wieder kommen. Deswegen, wie Hauni45 shcon gefragt hat, solltest du einen anderen Browser benutzen. Firefox 1.0.4 scheind ohne zweifel die beste Alternative zu sein. Der Grund dafür ist dieser: IE ist sehr verbreitet, udn daher ein beliebtes Angriffsziel für Virenschreiber/Würmerschreiber/Spione und andere Leute, dessen Kreationen dir schaden können. Da FireFox nciht so verbreitet ist, gibt es dafür auch keine Maleware. Außerdem sind bei FireFox alle Sicherheitslücken (so fern überhaupt welche entdeckt wurden) innerhalb von wenigen Tagen behoben worden. Bei Mircosoft dauert ein neues Update mitunter 3 Wochen nach dem Bekanntwerden der Sicherheitslücke. Manche wurden noch dazu noch gar nicht behoben (und scheinen es auch nicht zu werden). Falls du bedenken hast: FireFox hat den gleichen aufbau wie IE, sieht fast gleich aus usw, ist eben nur sicherer, schneller und kleiner! grüsse, Mario |
Ich verspreche hoch und heilig....sobald dieses Problem gelöst ist, werde ich den IE nie wieder verwenden!!!!! Hier das Logfile, allerdings bin ich mir nicht sicher, alles richtig gemacht zu haben: Logfile of HijackThis v1.99.1 Scan saved at 17:33:17, on 16.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Mixer.exe C:\Programme\Microsoft Works\WksSb.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\wuauclt.exe C:\unzipped\hijackthis_199\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: ISDNWatch.lnk = D:\IWatch.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - [url]https://xxxxxxxxxxxxxx16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - [url]http://tools.xxxxxxxxx/eps/wl/ O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{184AA35C-D4D5-4040-9319-96E8BC2A7775}: NameServer = 192.168.121.252,192.168.121.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\SAgent2.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
also bevor du den rechner umdrehst, lösch einfach die offlineinhalte der tempfiles. da wo das exploit gemeldet wurde. das kann vorkommen das man auch bei forenseiten ein Exploit aus geposteten links aus logs gemeldet bekommt. schau dir die beschreibungen zu dem exploit an. einige bitdefender einträge sind unnötig. edit: O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) hier ist beschrieben wie du die tempfiles + OFFLINEINHALTE! wegbekommst: http://members.linzag.net/680262/Antivir/03.html |
Zitat:
|
Hab jetzt alles gemacht, was rock geschrieben hatte. Wenn ich mir jetzt Firefox runterlade, ist dann mein Rechner wieder sauber? Ganz lieben Dank an Alle. Luxy |
Zitat:
|
luxy..wenn du ein bissl paranoid bist, und wegen dem exploit jetzt schon halb umfällst...warum verwendest du dann eine virenscanner-alternative ohne mailschutz, ohne automatische updates...bla bla... der firefox allein macht's kraut nicht fett... |
Zitat:
ähm.....was würdest Du denn vorschlagen? Aber wenn, dann bitte einen in deutscher Sprache. Viele Grüße Luxy |
Zitat:
Ich möchte dir nichts einreden...deine Mischung Antivir und Bitdefender Free ist eh ganz okey...so kannst du verdächtige daten immer zweifach prüfen. Früher oder später wirst du selber feststellen was für dich geeignet ist. :) edit3: wenn du weiterhin gratis-schutz bevorzugst; kannst du hier mal klicken/lesen: http://www.rokop-security.de/index.php?showtopic=1739 |
Zitat:
Updates sind imho über den Taskplaner steuerbar. "mailschutz" ist unnötig, da beim Ausführen des Wurm-Anhangs eh der Wächter anschlägt (wenn der Scanner den Wurm erkennt). Das sind also keine Argumente gegen AntivirPE. Gruß :daumenhoc Yopie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board