|
fakewebcam hallo. habe eben einen video-editor (freeware) installiert. danach meldet sich die pfw, daß der i-e- verändert wurde. wie kann das sein? der genaue text: Zitat:
kav findet nichts. keine ahnung was das mit fakewebcam.com sein soll, kann mir jmd helfen, bitte? |
Hi, ja, das solltest Du! http://filepony.de/?q=WOTde/scorecard/fakewebcam.com Da ist zumindest Adware mit installiert worden... Daher bitte: http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html chris |
nun, - ein hjt-scan brachte mit der automatischen auswertung kein negatives ergebnis. - einkav 7.0.1.325 vollscan mit neuesten signaturen bleibt eben falls ohne befund. - die entsprechende datei (iexplorer.exe) auf virustotal getestet bringt 37 mal kein befall, vba32 bringt nur ein heuristisches ergebnis (suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)) und nur McAffee-GW-Edition zeigt befall mit Win32.LooksLike.Virut.... ein browser hijack ist es wohl auch nicht, hab dennoch den zugan zum netzwerk für ie immer noch gesperrt... - wenn es etwas nützt, kann ich die sonstigen angaben von virustotal (hash-werte und so) auch posten. ich weiß echt nicht was ich davon halten soll. die anwendung die das "mitgebracht" hat ist wieder deinstalliert. würde es etwas bringen, nur die iexplorer.exe gegen eine "neue" aus dem netzt auszutauschen? wo würde ich diese finden und wie sicherstellen, daß es die richtige version ist? // noch was: ein scan mit regcleaner zeigt "verdächtige" schlüssel an: 1.) yahoo-partner toolbar -> wede ich löschen 2.) Software : vfcC Alter : Neu Wenn Sie diesen Eintrag löschen, werden folgende Schlüssel gelöscht HKEY_CURRENT_USER\Software\vfcC HKEY_LOCAL_MACHINE\Software\vfcC nach vfcc gegoogelt, zeigt es eine verbindung zu diesem fakewebcam-zeugs. ich werde die schlüssel mal löschen, wenn ihr mir nichts anderes ratet :) |
Hi, exportiere die Schlüssel als Textfile und poste sie hier! HKEY_CURRENT_USER\Software\vfcC HKEY_LOCAL_MACHINE\Software\vfcC Download IE (auch wenn hier 7 nur für XP angeboten wird, ev. gleich auf IE8 umsteigen)... Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. Wenn der auch nichts bringt, hmmm... RSIT: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
hi chris. die vfcc schlüssel sind zwar schon gelöscht, ich kann aber eine entsprechende sicherung aus regcleaner widerherstellen lassen. soll ich das machen? das rist hab ich grad eh durchlaufen lassen, das sieht so aus: Code: Logfile of random's system information tool 1.05 (written by random/random) |
fortsetzung von rist: Code: ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== |
rist info.txt: Code: info.txt logfile of random's system information tool 1.05 2009-03-19 16:07:01 |
Hi, was macht Gmer? Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: D:\WINDOWS\system32\drivers\a8l00mex.sys
Das Hostfile sieht interessant aus, ist Alcohol legal erworben...? chris |
hi. gmer: ich hatte gar keine fragen :/, das rootkit-log ist hier: Code: GMER 1.0.15.14939 - http://www.gmer.netalkohol: das war jetzt ne fangfrage :D host datei ist relativ voll, vieles von spybot, auch eigene einträge von seiten die ich nicht besuchen will. alkohol gehört da auch dazu ;) |
Zitat:
|
Hi, Dein Rechner hat einige "Querverbknüpfungen" die ungewöhnlich sind... C:\WINDOWS\system32\powrprof.dll <- sollte gepürft werden (Virustotal, kann von MS oder Wurm sein) D:\Dokumente und Einstellungen\Flittchen\Desktop\2m0ocx5t.exe Hast Du sowas wie Windowsblinds im Einsatz? Sonst ist nichts auffälliges zu erkennen... chris |
morgen chris. virustotal meldet kein befall der datei powrprof.dll Code: Antivirus Version letzte aktualisierung Ergebnisnicht direkt windowsblinds, aber etwas das darauf basiert ist installiert |
Hi, bitte auch das hier Online prüfen: D:\Dokumente und Einstellungen\Flittchen\Desktop\2m0ocx5t.exe Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
das "2m0ocx5t.exe" war das tool gmer. hier das ergebnis: Code: atei 2m0ocx5t.exe empfangen 2009.03.20 17:15:12 (CET) |
Liste der Anhänge anzeigen (Anzahl: 1) hier der prevx scan: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board