Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner, Wurm oder nicht? (https://www.trojaner-board.de/7576-trojaner-wurm.html)

killver 15.09.2004 10:35
Trojaner, Wurm oder nicht?
 
Hallo erstmal,

seit einiger zeit plagen mich immer wieder automatische Neustartmeldungen nach hochfahren des Betriebsystemes (WinXP). Remoteprozeduraufruh unerwartet beendet. Ihr kennt das sicher von Würmern usw. Das Komische ist aber, dass ich diese Meldung nur vll. alle 10mal starten bekomme (max.). Als ich am Anfang dieses Problem hatte, hatte ich den Wurm Flood.L (laut Antivir) wurde aber korrekt entfernt. Seitdem mach ich imemr wieder Checks, aber er findet nix mehr.
Wenn ich Computerspiele minimiert er auch ab und zu automatisch, weiß aba nich ob das daher kommen kann.

Danke für Antworten
killver

MountainKing 15.09.2004 11:06
Ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

killver 15.09.2004 12:53
Logfile of HijackThis v1.98.2
Scan saved at 13:55:04, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Karna\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\mIRC\mirc.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\DOKUME~1\snider\LOKALE~1\Temp\Rar$EX00.734\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reboot.exe
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11

MountainKing 15.09.2004 13:11
Besorge dir zunächst dieses Programm:

http://www.cexx.org/lspfix.htm


E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html


Beende diese Prozesse mit dem Taskmanager:

C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe

Fixe mit Hijackthis:

C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s


Fixe dann mit LSPfix:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer




Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben

durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste

es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

killver 15.09.2004 13:39
komischerweise finde ich die zwei dateien nicht im task manager

MountainKing 15.09.2004 13:44
Hm, hast du schon irgendwas gelöscht inzwischen? Dann lass den Schritt mal weg und befolge den Rest.

killver 15.09.2004 13:46
ich hab nochmal hijack laufn lass und siehe da die sin wirklich nimma offen

hatte nun nur mehr diese sachen zum löschen:


O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s


ehm und bei lsp fix sin nur 4 sachen drin

MountainKing 15.09.2004 14:34
Stehen die 4 sachen auf der Remove-Liste? Dann entferne sie und erstelle ein neues Log.

killver 15.09.2004 14:35
so hab nu mal alles gemacht

Logfile of HijackThis v1.98.2
Scan saved at 15:35:32, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Karna\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
D:\download\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\snider\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11

escan:

Wed Sep 15 15:22:45 2004 => Total Number of Files Scanned: 33646
Wed Sep 15 15:22:45 2004 => Total Number of Virus(es) Found: 10
Wed Sep 15 15:22:45 2004 => Total Number of Disinfected Files: 0
Wed Sep 15 15:22:45 2004 => Total Number of Files Renamed: 9
Wed Sep 15 15:22:45 2004 => Total Number of Deleted Files: 0
Wed Sep 15 15:22:45 2004 => Total Number of Errors: 2
Wed Sep 15 15:22:45 2004 => Time Elapsed: 00:19:59
Wed Sep 15 15:22:45 2004 => Virus Database Date: 2004/09/08
Wed Sep 15 15:22:45 2004 => Virus Database Count: 103474

Wed Sep 15 15:22:45 2004 => Scan Completed.

Der ganze log is zu groß. Ein File warn backdoor

killver 15.09.2004 20:49
gebt mir mal ebscheid bidde

MountainKing 15.09.2004 21:14
Ich bräuchte nicht das ganze Logfile, sondern die genauen Namen der Schädlinge.
Auch weiss ich immer noch nicht, was das ist:

O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup

Wie lautet der gesamte Pfad, kennst du das Programm zu dem er gehört?

Wenn du einen echten Backdoor hattest, wäre es das Klügste, dein System neu zu machen.

Ansonst muss das immer noch weg:

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net


Fixe es mit HJT (nach Deaktivierung der Systemwiederherstellung), falls es danach Probleme mit dem Netz gibt, nochmal lspfix verwenden.

killver 16.09.2004 11:18
http://www.handybits.com/

daher is die datei

Wed Sep 15 14:35:55 2004 => File C:\Programme\OutLaster\shhost.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:46 2004 => File C:\PROGRA~2\WEBHAN~1\programs\whiehlpr.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:47 2004 => File C:\PROGRA~2\WEBHAN~1\Programs\whAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:47 2004 => File C:\Dokumente und Einstellungen\snider\Startmenü\Programme\Autostart\Reboot.exe tagged as not-a-virus:RiskWare.Tool.ExitWin.b. No Action Taken.

Wed Sep 15 14:38:57 2004 => File C:\WINDOWS\webhdll.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:57 2004 => File C:\WINDOWS\whInstaller.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:45 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\new_net.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:45 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\ol-setup5.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:46 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\webhancer.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:07:19 2004 => File C:\Program Files\webHancer\Programs\whSurvey.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:58 2004 => File C:\Programme\whInstall\Webhdll.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\WhAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\whiehlpr.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\whInstaller.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\WhSurvey.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:21:11 2004 => File C:\WINDOWS\system32\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart. No Action Taken.

so das is alles

*Christian* 16.09.2004 21:04
Erstelle und poste mal ein neues HijackThis-Log.
Da du einen aktiven Backdoor auf dem System hattest, solltest du dir überlegen, ob eine Neuinstallation nicht sinnvoller wäre.

charlie1 16.09.2004 21:21
Aber Hallo, man kann/ soll doch nicht bei jedem Trojanerbefall, gleich ein neues OS aufsetzen, denn, wie Ihr sagt, gibt es doch so viel Möglichkeiten, das Ding loszuwerden und die sollte man auch nutzen!
LG; Charlie

*Christian* 16.09.2004 21:26
Schau dir ein paar Threads an und les dir mal die empfohlenen Lektüren bezüglich Backdoors durch.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:02 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131