![]() |
Hallo zusammen! Hatte heute auf meinen Rechner 2 Trojaner und nen Wurm drauf. Nach einem Virenscann durch http://housecall.antivirus.com/housecall/start_corp.asp wurden sie erkannt und entfernt, weiss aber nicht mehr wie sie hießen. Sehe aber immer noch statt Umlaute nur andere komische Zeichen. Ist mein Rechner trotzdem noch befallen? Trotzdem wünsche ich frohe Ostern! |
Hab den Fehler selbst gefunden. Der Wurm oder Trjaner hat anscheinend die Schriftcodierung verändert, anstatt Mitteleuropäisch war Kyrillisch eingestellt. Hoffentlich hat der Wurm keinen Schaden angerichtet! |
ACHUM.A hieß der eine Trojaner. Nach einem erneuten scann war er wieder drauf. |
Infos über den Trojaner findest du z. B. hier: http://www.sophos.de/virusinfo/analyses/trojachuma.html Ein Trojaner/Wurm richtet immer schaden an. Egal ob du ihn früher oder später entdeckst. Das beste ist immer eine Neuinstallation. Danach solltest du nachdenken, warum dieser Trojaner überhaupt auf einen PC kam. Warum hast du kein AntiViren-Programm auf deinen Rechner? Vielleicht hätte er die Infizierung ja verhindert ....... PS: Willkommen im Board. ;) |
Hab Norton AV drauf. Hat er wohl nicht verhindert :-( Nach nem Update musst ich auf einmal einen Neustart durchführen, dass hatte ich noch nie! |
Hmm ...... vielleicht bringt ein HijackThis-Logfile Erklärung. Download für das kostenlose Tool findest du hier: http://www.chip.de/downloads/c_downloads_11353576.html Poste einfach das Logfile. |
Logfile of HijackThis v1.97.7 Scan saved at 01:38:31, on 11.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe F:\PROGRA~1\NORTON~1\navapw32.exe F:\Programme\dyndns\ip@ctive Win32 Client\ip@ctive Client.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\Mixer.exe F:\Programme\Steganos Online Shield\sos.exe C:\WINDOWS\system32\RAMASST.exe F:\Programme\Ad-aware\Ad-aware 6\Ad-aware.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\WINDOWS\System32\GEARSec.exe F:\Programme\Norton AntiVirus\navapsvc.exe c:\apache\APACHE.EXE C:\WINDOWS\System32\SOSsrv.exe C:\WINDOWS\System32\svchost.exe c:\apache\APACHE.EXE F:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe D:\Programs\nu2menu\nu2menu.exe C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Programme\PFTPPRO\PFTPPRO.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1977\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe O4 - HKLM\..\Run: [DU Meter] F:\Programme\Trafficmesser\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [DUControl] f:\PROGRA~1\dyndns\DUControl.exe O4 - HKLM\..\Run: [KFWebServer] F:\Programme\dyndns\bin\kfwsmon.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ip@ctive] F:\Programme\dyndns\ip@ctive Win32 Client\ip@ctive Client.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [TrojanScanner] f:\Programme\Trojan Remover\Trjscan.exe O4 - HKCU\..\Run: [SOS] F:\Programme\Steganos Online Shield\sos.exe /s O4 - HKCU\..\Run: [flat2serve Server] F:\Programme\flat2serv 2 Mein Server\F2SHSERV.EXE O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open Picture in &Microsoft PhotoDraw - res://F:\PROGRA~1\MSPHOT~1\Office\1033\phdintl.dll/phdContext.htm O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Real.com (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://activex.microsoft.com/activex...edia/Swdir.cab O16 - DPF: {1707E659-9691-43AA-B841-2FE5097B9E0F} (Downloader Class) - http://www.jetztficken.com/activex/downlib1.cab O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://217.17.197.101/scripts/iedropupload.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1254e8fc...dxIE601_de.cab O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...473.2260648148 O16 - DPF: {C79CC6E2-A3CB-4500-85FB-650B5DBD14F4} (bilderservice.de Standard-Upload) - http://217.17.197.101/scripts/ieupload.cab O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - http://webpdp.gator.com/v3/download/...tdmgainads.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E17E606A-9836-4619-A249-F40D5D2E812A} - http://member.eops.de/CuConnectorSen...u610982979.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1071F102-F479-40D1-A102-A787CB4711FE}: NameServer = 194.97.173.125 62.104.64.3 |
Hab jetzt rausgefunden, dass es an dem Sprachscript liegt, dass immer auf kyrillisch umstellt. Wie kann ich den Mitteleuropäischen Standart wiederherstellen? Er springt immer wieder auf kyrillisch zurück. Hoffe dass das der einzige Schaden ist, den der Wurm angerichtet hat. |
Mach mal ein Update auf ein aktuelles WindowsXP und aktuellen IE. Darüber hinaus schalte halt mal in Windows die Sprachoptionen generell aus, wenn Du sie anderweitig nicht benötigst. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board