|
was ist der unterschied zwischen isolieren... quarantäne ...löschen ich habe auch das prob mit einigen flöhen, obwohl ich seit 6 jahren, seit dem ich meinen pc habe, NIE damit zu tun gehabt habe. benutze adaware, a2, NAV im wechsel laufend. irgend eins dieser scans findet immer was .. sakra!! meine frage ist: was bedeutet nun : quarantäne??? oder isolieren?? oder löschen?? ist das im grunde dasselbe? was musss ich überhaupt konkret noch tun? thx für rückmeldung.. mfl |
Hallo myfairlady, Flöhe? Im Netz? hm ... naja, wenn man sie isoliert, können sie sich nicht vermehren. In Quarantäne können sie kein Unheil anrichten, weil sie festsitzen ... und wenn man sie löscht, sind sie nicht mehr da ... :heilig: Es ist nicht dasselbe, auch wenn die Wirkung ähnlich ist. Was Du tun mußt? Woher soll ich das wissen? Was willst Du denn tun? Und worum geht es überhaupt? Du könntest ein Hijack This Logfile erstellen http://www.trojaner-board.de/51130-a...ijackthis.html und es mittels copy&paste entsprechend der Anleitung in diesem Link hier ins Forum posten. Wir schauen dann nach, ob wir Flöhe finden ;) SD |
hi shadowdance ( schöner nick :-) ) oder wer auch immer mein leiden ansehen will ggggg hier ist mein logfile. hab vorab auch noch 3 fragen. sorry, wenn sie etwas wirr sind. mir fehlt das strukturwissen über pc & co :-))) 1. habe mir letzte nacht auch auf anleitung hier im forum den escan runtergeladen. und im abgesicherten modus installiert und auch gleich einen scan gemacht, den habe ich mir gespeichert. nun öffnet aber jedesmal wenn ich den pc hochgefahren habe, dieser escan. ist das so gewollt??. der öffnet und schließt sich selbsttätig. ist das richtig??? muss man dabei online sein?? ich verstehe nicht, warum man den in C-bases abspeichern muss, es heißt, um updates machen zu können....kapier ich nicht . sorry.. kannnst du das eräutern??? 2. habe mir vor ein paar wochen schon firefox installiert. da hat alles im pc randaliert . *ggg* der arme wurde immer noch langsamer als er eh schon war.. bin dann wieder auf IE, hatte aber noch version 5. lief alles wieder flüssiger, nur ständig IE-abstürze, popups am laufenden band und beim recherchieren in google haben sich gleich 200 seiten auf einmal öffnen wollen, dann war natürlich der der erstickungsanfall perfekt. habe mir dann updates voon MSN runtergeladen, auch den neuen IE6 installiert und jetzt isses etwas besser. hatte aber zunächst noch an die 100 verseuchte einträge laut a2. diese habe ich dann deleted, warum sind die viecher dann immer noch da? ist firefox nun trotzdem zu empfehlen? 3) wie sollte man sich beim chatten verhalten? ist da die gefahr der übertragung von plagegeistern möglich? hier logfile: Logfile of HijackThis v1.98.2 Scan saved at 13:49:09, on 08.09.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\SYSTEM\EXXDEMON.EXE C:\PROGRAMME\CREATIVE\BLASTERCONTROL\BCHKEY32.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\DETEMEDIEN\DAS TELEFONBUCH FüR DEUTSCHLAND\OMALARM.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\EIGENE DATEIEN\HELGA\DOWNLOADS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gqyym.dll/sp.html#22776 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ExxtremeHelperDemon] exxdemon.exe nowakeup O4 - HKLM\..\Run: [HotkeyHook] C:\PROGRAMME\CREATIVE\BLASTERCONTROL\BCHKEY32.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: OfficeManager Terminerinnerung.lnk = ? O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - User Startup: OfficeManager Terminerinnerung.lnk = ? O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tsca thx for reply -- i would be happy mfl :-) |
Zitat:
für den Rest hab' ich grade keine Zeit, sorry http://www.trojaner-board.com/images...es/redface.gif |
Zitat:
Du hast das wahrscheinlich selbst aktiviert, als du E-Scan hast durchlaufen lassen. Starte einfach noch mal das Programm, da müsstest du unten eine Fläche "Add to Startup" bzw. "Remove from Startup" sehen, bei dir ist es sicher das zweite, einfach anklicken und er startet nicht mehr mit. Normalerweise ist E-Scan nur ein Testtool, eigentlich soll man das nur gut finden und dann eine volle, kostenpflichtige Version erwerben. Deswegen ist es so geregelt, dass man die Virensignaturen eigentlich nicht automatisch updaten kann, sondern das gesamte Programm immer wieder neu herunterladen müsste, um diese aktuellesten Signaturen (das A und O eines Virenscanners) zu bekommen. MIt einem kleinen Trick kann man das hier aber umgehen und zwar, indem man das ganze in das Verzeichnis c:\bases entpackt, denn dann kann man wie beschrieben trotzdem updaten. Wenn du es in ein anderes Verzeichnis entpackst, geht das nicht. Zitat:
Auf jeden Fall. Deine Probleme kommen garantiert nicht von Firefox, sondern haben andere Ursachen. Dein HJT-Log bricht etwas plötzlich ab, da dürfte noch was fehlen: Fixe (in HJT ein häkchen vor den Eintrag setzen und dann "fix checked" drücken) aber auf jeden Fall schon mal: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gqyym.dll/sp.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf (es sei denn, dein rechner geht über einen lokalen Proxy ins Netz) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tsca Zitat:
Hat E-Scan denn etwas gefunden und wenn ja, was? |
(bin wieder da) Zitat:
Könnte auch was böses sein. |
hallo ..... ja habe die vier von dir vorgeschlagenen gefixt. ( also fixen heißt: löschen??? ? habe unterdessen noch mal enen scan mit hijack gemacht, ist es so besser? Logfile of HijackThis v1.98.2 Scan saved at 15:40:26, on 08.09.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\SYSTEM\EXXDEMON.EXE C:\PROGRAMME\CREATIVE\BLASTERCONTROL\BCHKEY32.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\DETEMEDIEN\DAS TELEFONBUCH FüR DEUTSCHLAND\OMALARM.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\EIGENE DATEIEN\HELGA\DOWNLOADS\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ExxtremeHelperDemon] exxdemon.exe nowakeup O4 - HKLM\..\Run: [HotkeyHook] C:\PROGRAMME\CREATIVE\BLASTERCONTROL\BCHKEY32.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: OfficeManager Terminerinnerung.lnk = ? O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - User Startup: OfficeManager Terminerinnerung.lnk = ? O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll du fragtest nach dem ergebnis von escan... kann gespeichertes logfile nicht mehr öffnen, habe dummerweise das mit .log abgespeichtert, habe aber ein paar handschriftliche notizen, vielleicht hilft die info: agent.ap agent.an win.show.at win.trim.be win.show.u small.hb mit einem anderen programm habe ich noch agent.z agent.bc tinytest aufgeschrieben. beste grüße |
habe escan nochmal laufen lassen: meldet 12 infiltrierte dateien. ich kann den viruslogfile nicht per copy&paste hier her transportieren, weil das nicht geht. läßt sich nicht in die zwischenablage kopieren. gibts außer abschreiben von hand noch ne andere lösung?? braucht ihr das ergebnis?? ist es normal dass dieser scan mehr als 2 stunden dauert ???????? thx for any answer mfl |
@myfairlady, es kann durchaus sein das escan viel zeit braucht. auf ein XP Rechner hatte wir mal 1 1/2 st bis escan durch war. Gib mal Agent Ap , - Z, Agent BC üsw in google ein. die meisten fand ich bei sophos.de wieder ich vermute , daß du am besten dein system neu aufsetzt, anschließend updaten. dein system ist wahrscheinlich schon kompromittiert. anschließend neu passwörter verwenden. chaosman |
@ myfairlady Suche die mwXface.log und poste deren Inhalt. Sollte dies nicht möglich sein, dann "Dateien anhängen" ausprobieren. |
ups... chaosman, was heißt denn >>>>>kompromittiert??? nach dem scan mit escan müßten doch nun alles gesäubert sein oder? wie soll ich mein system neu aufbauen?? habe doch keine ahnung..... bitte konkrete schritte vorschllagen. aber was nützen dann beseitigungsproggis eigentllich noch?? |
hallo CIDRE................... es gelingt mir nicht. die log datei zu öffnen oder rüberzusenden. ich weiß keinen rat wie man dasmacht. hier im forum sehe ich keine hochlademöglichkeit .... *binratlos* |
nach escan und hijackfixen bitte ich noch mal drum zu schauen auf meinen neusten logfile-- thx ich verstehe zum beispiel nicht, warum hier immer noch IE6 drauf steht, wo ich seit heut abend den firrefox benutze *merkwürdig* Logfile of HijackThis v1.98.2 Scan saved at 22:56:03, on 08.09.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\SYSTEM\EXXDEMON.EXE C:\PROGRAMME\CREATIVE\BLASTERCONTROL\BCHKEY32.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\DETEMEDIEN\DAS TELEFONBUCH FüR DEUTSCHLAND\OMALARM.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\EIGENE DATEIEN\HELGA\DOWNLOADS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ExxtremeHelperDemon] exxdemon.exe nowakeup O4 - HKLM\..\Run: [HotkeyHook] C:\PROGRAMME\CREATIVE\BLASTERCONTROL\BCHKEY32.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: OfficeManager Terminerinnerung.lnk = ? O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - User Startup: OfficeManager Terminerinnerung.lnk = ? O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll |
Starte den Editor oder Wordpad, öffne damit dann die log-Datei und suche die Zeilen, in denen steh "schädling x wurde in datei y gefunden", die bitte hierher kopieren. Das Problem mit dem Beseitigungsprogrammen ist, dass, wenn dein System mit Trojanischen Pferden, die einem Angreifer die Manipulation deines Rechners erlauben, verseucht wurde, dort alles Mögliche verändert sein kann und zwar so, dass die Scanner es nicht erkennen, zumindest nicht komplett. Man weiss einfahc nicht, was der Angreifer gemacht haben könnte und diese Ungewissheit ist nur zu beseitigen, wenn man das Betriebssystem komplett neu installiert, nur dann kann man sicher sein, dass es sauber ist. |
Zitat:
Zitat:
http://oschad.de/wiki/index.php/Virenscanner Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board