|
du hast gesagt, du hast u.a. word- bzw. excel-dateien gesichert... reeeeeeeein theoretisch könnte ein schadprogramm bösartigen 'code' in form von sog. makros hier reingepflanzt haben.... |
hmm, das wäre natürlich sch..., denn dann wären jetzt 2 pcs infiziert. wenn der ganze sums wieder aufm meinem pc ist, werde ich auf jeden fall nochmal ein log-file erstellen lassen und stell es hier rein. dauert noch einige minuten bis das ganze zeug wieder aufm pc is, aber bis jetzt hat auch das anti-viren-programm noch nichts gemeldet. |
teils OT: Trojan-Spy.Win32@mx Zitat:
Hier lag ein "simpler" Befall mit der Smitfraud / Errorcleaner Family vor. Diese hast Du zu großen Teilen, einzeln löschen lassen. Dazu noch ein paar andere Sachen, die der User dann halt mal verschmerzen muss, nLite, Adobe Acrobat, aber das kann ja passieren, wenn man sich damit nicht richtig auskennt. :D @dobrown: Generell hast Du recht: Ein Linux ist schon eine tolle und sichere Sache, grade von einer Live CD. Hier liegt aber kein Linux vor, der User benutzt Windows XP. Also damit arbeiten. Und wenn Du rätst, den Rechner neu zu machen, da er von irgendwas befallen wurde, so hast Du auch hier recht, allerdings ist es nicht praktikabel. Der User kann diesen Befall leicht wieder loswerden, oder so wie virus es ihm gezeigt hat, und mit dem System weiterarbeiten. Sicherlich immer mit einem Restrisiko der Infektion. Dieses Restrisiko gibt es allerdings immer, zu jedem Zeitpunkt und auf jedem System, man muss sich dessen nur bewußt sein. Zitat:
Zur Verwendung von Icesword: Gern, aber bitte richtig, nicht den User hier den Teufel an die Wand malen! Rote Einträge, bedeuten zunächst erst mal nichts, sie müssen interpretiert werden. In unserem Fall zeigen sich typische Merkmale der AV Preogramme und des allseits beliebten ICQ, welches sich immer einen Weg nach außen bohrt und von so manchem Admin gehaßliebt wird. Auch hier sieht man keine Bedrohung. Zitat:
Zitat:
|
PHP-Code: naja, nachm formatiern is wenigstens wieder ordnung, weil es hier und da aussah, als wäre ne bombe eingeschlagen, nachdem ich hier ein tool nach dem andern runtergeladen habe. ich hatte vor dem formatiern noch ein zweites mal das programm icesword benutzt und da waren dann noch viel mehr rote einträge. und vor 2 tagen wollte ich auch combofix mal ausprobiern, aber da war auch mein pc wieder einfach ausgegangen. das programm war mir ehrlich gesagt auch nicht so geheuer, nachdem ich die anleitung gelesen hab. allein schon die meldung, wenn man das programm startet, "jeder hunderteste pc übersteht das nicht" oder so... |
ch hatte vor dem formatiern noch ein zweites mal das programm icesword benutzt und da waren dann noch viel mehr rote einträge. Du hast das richtige getan!!! Auch wenn es nur ein "Simpler Befall war" und nichts anderes.:kloppen::Boogie::heilig::headbang::daumenhoc:aplaus::rolleyes: Denk dran regelmäßig image ziehen, jetzt. |
Zitat:
Ich weiss du glaubst du seiest der einzige mit Ahnung, schlussendlich konnte ich jedem user in jedem Thread bei dem ich gepostet habe helfen:eek: ps. es kann immer mal vorkommen das man etwas einfaches schwieriger macht als das es ist. Trotzdem solltest du nicht alles bemänglen was nicht genau so gemacht wird wie du es gemacht hättest:daumenhoc Zitat:
Adobe Acrobat?? ist wirklich extrem wichtig für den Autostart:heulen:........ das ist völlig unnützlich und verlangsamt denn rechner nur unnötig das selbe für nLite ist ja nix systemabhängiges oder so das kann man starten wenn man es braucht:daumenhoc |
Jetzt weiß ich, warum die bei Dell soviel zu tun haben:rolleyes: Zitat:
|
so, um wieder mal zum thema zurück zu kommen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:54:06, on 01.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\winamp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{CB9EC55F-A6B3-496A-AB08-D7A14CA6F111}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe -- End of file - 4667 bytes sieht das ok aus?? |
ich wollte heut mein drucker installiern und da hat was net geklappt und dann hab ich den bei systemsteurung --> software deinstalliert, aber der drucker wird trotzdem noch angezeigt (bei der druckereinrichtung und bei software). genauo wie die icq-toolbar, die hab ich auch wieder deinstalliert, aber im firefox kann ich die immer noch anzeigen lassen. wie bekomme ich den mist den wieder ganz weg? außerdem ist mein pc langsamer als vorher, weiß net genau seit wann, so ca. ner stunde, wo ich so sachen wie acrobade reader, den drucker und so installiert hab. und immer wenn icq startet, kommt da irgendwas mit laufzeitfehler, aber das kam glaube bis jetzt immer, wenn ich windows neu drauf gemacht habe. |
hat sich eigentlich alles von selbst erledigt. drucker wurde nicht richtig vom pc entfernt, da noch ein druckauftrag im gange war (obwohl der drucker ja nicht drucken konnte, da es ein netzwerkdrucker ist und ich die einstellungen nicht vorgenommen hatte :rolleyes:) und somit hat sich auch dann das problem mit dem langsamen pc erledigt, er ist nämlich wieder so schnell wie vorher auch und das mit der icq toolbar hat sich auch erledigt, da ich die nochma seperat im firefox bei den add-ons löschen musste. auf so sachen muss man ja auch erstma kommen. und ich will mich hier auch nochmal offiziell bei allen bedanken, die mir in den letzten tagen geholfen haben. Danke :aplaus: (wenn ich wieder probleme habe, melde ich mich im forum --> vielleicht ja schon morgen:)) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board