|
keine Ahnung was los ist Hallo erstmal.Großes Lob an alle die hier helfen und sich Gedanken machen.RESPEKT. Ich habe seid heute morgen folgendes Problem.Gestern habe ich mir den Trailer zu Battlefield 2 runtergeladen.Wollte ihn mit dem Media Player öffnen, ging aber nicht.Also zog ich mir den Quicktime Player,womit es ging. Soweit so gut. Seid heute morgen hängen sich meine Internetseiten auf.Wenn ich eine schließen will, per x,geht die Seite weg, bleibt aber in der Taskleiste weiterhin stehen.Das selbe mit dem Taskmanager. Wenn ich den öffnen will,geht er auf aber nur unten rechts in der Taskbar,von wo ich ihn aber auch nicht öffnen kann.Habe den Spybot laufen lassen,welcher einige Sachen gefunden hat http://home.t-online.de/home/Carsten_Britta/Hilfe.JPG.Sorry das so groß. Bin ein Noob in Sachen Viren.usw. Bitte um Hilfe |
ist zwar aus eienm anderen forum, aber die antwort passt: http://www.rokop-security.de/board/i...ndpost&p=50069 rock |
also ich habe jetzt 1.3 runtergeladen und habe das Prg durchlaufen lassen. Er hat auch wieder 6 Sachen gefunden und angeblich behoben.Leider ist dem aber nicht so.Ich kann ca.5 min surfen,dann kann ich die Seiten wieder nicht schließen. Und wenn ich den Regcleaner öffne steht da immer was von wuampd.exe und zwar 3 mal. Hilfe ich will nicht formatieren |
Hallo carsten75, erstelle bitte ein Logfile mit Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html. SD |
Das DSO Exploit ist zunächst mal sekundar, dein Hauptaugenmerk sollte sich an diese wuampd.exe (Malware) richten. Überprüfe deshalb diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis, sowie das HJT Log-File. |
LOG Logfile of HijackThis v1.98.2 Scan saved at 14:51:18, on 12.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\wuampd.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Carsten1\Desktop\Neuer Ordner (2)\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cgi6.ebay.de/ws/eBayISAPI.dll...&since=-1&rd=1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093370548058 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BCCAF97D-435C-450D-B104-752CD222E03B}: NameServer = 217.237.151.225 217.237.150.225 |
wuampd.exe wuampd.exe - packed with PE_Patch.Morphine wuampd.exe - packed with Morphine wuampd.exe - packed with UPX wuampd.exe Infiziert: Backdoor.Rbot.gen Statistiken: Bekannte Viren: 98981 Updated: 12-09-2004 Größe der Datei (Kb): 96 Viren-Korpus: 1 Datei: 4 Warnungen: 0 Archive: 0 Verdächtigt: 0 Und nu ???? |
@ carsten75, downloade nun bitte den eScan, erstelle einen Ordner (=Verzeichnis) c:\bases, entpacke den Inhalt in dieses Verzeichnis, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083 Teile uns bitte, zusammen mit dem Ergebnis des eScan, auch die Namen des Virus/der Viren mit: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: Erstelle dann ein neues Logfile und poste es. SD [edit] Zitat:
|
@ carsten75 Backdoor.Rbot.gen => Zitat:
Eine Bereinigung durch AV Scanner ist imho nicht sinnvoll! http://oschad.de/wiki/index.php/Virenscanner Die sicherste Lösung wäre ein Neuaufsetzen deines Systems, um wieder einen vertrauenswürdigen Zustand herzustellen. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. Deine Passwörter ändern 8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 9. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html |
escan,und er schrieb immer was von action renamend [0x0000035c] 12/09/2004 15:30:43:328 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com [0x0000035c] 12/09/2004 15:30:43:343 :[msvLclnt.dll]Registry Key Deleted Properly!!! [0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400): [0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]TimeOut : ffffffff [0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Priority : NORMAL [0x0000035c] 12/09/2004 15:30:46:593 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12 [0x0000040c] 12/09/2004 15:31:32:562 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\wuampd.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:31:33:218 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\wuampd.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:43:41:343 :[msvLclnt.dll][00000001] File C:\Programme\mt.html infected by not-a-virus:Advware.MediaTickets.e [0x0000040c] 12/09/2004 15:43:41:359 :[msvLclnt.dll][00000001] File C:\Programme\mt.html infected by not-a-virus:Advware.MediaTickets.e [0x0000040c] 12/09/2004 15:44:34:281 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP53\A0010066.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:44:34:328 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP53\A0010066.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:46:15:593 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP89\A0012983.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:46:16:250 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP89\A0012983.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:46:29:109 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP92\A0013280.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:46:29:781 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP92\A0013280.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:58:42:906 :[msvLclnt.dll][00000001] File D:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP81\A0010840.exe infected by not-a-virus:Tool.Win32.Reboot [0x0000040c] 12/09/2004 16:01:08:578 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12 [0x0000035c] 12/09/2004 16:03:42:140 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12 |
@ cidre das was Du da gepostet hast auf english sieht nicht gut aus. Habe aber kein Bock zu formatieren,da ich auch noch einen Netzwerkrechner an meinem hängen habe.Habe kein Bock auf eine neue Netzwerkeinrichtung. Ich hoffe ich bekomme das ohne formatieren in Griff. :heulen: |
Zitat:
Bedenke, du bist ein Teil eines riesigen Netzwerkes (I-net) und stellst mit deinem System (Virenschleuder) ein Gefahr für andere I-net User dar. Wenn du es nicht für dich machst, dann mach es wenigstens für andere. btw: Trenne dein kompromittiertes System schnellstmöglich vom Netz. Hier noch eine deutsche Erklärung dazu: Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 |
es bleibt mir ja nix anderes übrig. Vielen dank für Eure hilfe.Werde nun format c: |
Hallo Leute, ich als ziemlicher Computer-Laie benötige bitte Eure Hilfe. Beim Windows-Update habe ich für kurze Zeit die Norton Personal Firewall deaktiviert und habe dann nach einem Neustart des Systems bemerkt, dass die "wuampd.exe" auf das Internet zugreifen möchte. Das habe ich dann sofort mit der Firewall unterdrückt! Durch Norton Antivirus wurde keine Infektion erkannt. Auf "Kaspersky.Com" wurde die "wuampd.exe" jedoch als mit "backdoor.Rbot.gen" infiziert gemeldet. Da "wuampd.exe" im Taskmanager als aktiver Prozess angegeben wurde, habe ich diesen unter "msconfig>systemstart" deaktiviert. Nun wird er auch nicht mehr mitgestartet. Kann es sein, daß durch das sofortige Sperren per Firewall dieser Schädling noch keine Verbindung mit dem Internet aufgebaut hat und daher sein "Unwesen" auf dem Rechner noch nicht treiben konnte? Kann ich - wenn ich den Systemrestore abgeschaltet und den PC im abgesicherten Modus gestartet habe - die "wuampd.exe" sowie zwei gleichlautende Registrierungseinträge bedenkenlos löschen? Oder kann es sich hier doch um wichtige Systemdateien - die zwar infiziert sind - handeln, die man daher nicht löschen darf? Kann ich den Schädling ggf. mit dieser Vorgehensweise "im Schach" halten? Danke für Eure Antworten! Gruß digihunter |
Erstelle bitte ein Log mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste den Inhalt hier. Es handelt sich nicht um Systemdateien, sondern um neu angelegte. Du musst auch an deinem Sicherheitskonzept arbeiten, der entscheidende Schritt, die Verhinderung einer Infizierung, ist bei dir schon mal fehlgeschlagen, dann bleibt als letzte Hilfe noch die Hoffnung auf Zusatzsoftware wie Firewall und Antivirenscanner und die ist trügerisch. Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html Aber poste bitte erst mal das Log. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board