|
Okay, ich mache mich gleich mal an die Arbeit! :daumenhoc |
Hey Andreas! Ich habe (schon wieder) ein Problem... :( Aus irgendeinem Grund kann ich den Flash Disinfector nicht downloaden, wie du´s mir gesagt hast. Sobald ich auf den Link klicke, kann ich den Download starten, aber bei 99% meldet sich mein Anti-Viren-Programm und sagt ACHTUNG VIRUS... :( Hab´s mehrmals versucht, immer das gleiche. Ich poste dir mal das entsprechende Zugriffsprotokoll: 04.08.2009 21:09:56 1027 BLÜMCHEN\Bina C:\Programme\Internet Explorer\iexplore.exe C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KB51T2K7\FLASH_DISINFECTOR[1].EXE Generic.dx () 04.08.2009 21:09:57 1027 BLÜMCHEN\Bina C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KB51T2K\Flash_Disinfector[1].exe Generic.dx () Liegt das an mir? :( Bzw. dem Wurm? Oder tatsächlich an der Datei? :( :( Liebe Grüße *Blümchen* |
Das ist ein Fehlalarm, schalte zeitweise den Wächter von McAfee ab. Siehe auch hier => http://www.trojaner-board.de/74629-t...tml#post448997 ciao, andreas |
Oh, das dauert Ewigkeiten mit dem Panda ActiveScan... :kloppen: Ist gerade mal bei 21% und hat schon 10 infizierte Files gefunden... :( |
:) Panda findet auch Cookies und die sind ganz sicher nicht gefährlich. Cool bleiben. ciao, andreas |
So, der Panda-Scan ist durch :) - habe das Protokoll mal als Anhang drangehängt, weil`s hier nur so komisch verschoben angezeigt wird. Hoffe, das funktioniert! Kümmere mich gleich um den nächsten Scan. Liebe Grüße! *Sabrina* |
Hm... es scheint nicht zu funktionieren :schmoll: Dann muss es wohl so gehen: ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-08-05 13:31:46 PROTECTIONS: 1 MALWARE: 9 SUSPECTS: 0 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== McAfee VirusScan Enterprise 8.5.0.781 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\bina@doubleclick[1].txt 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\bina@doubleclick[2].txt 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\bina@atdmt[2].txt 00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\bina@tradedoubler[2].txt 00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\bina@mediaplex[1].txt 00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\bina@apmebf[1].txt 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\bina@adtech[1].txt 00366244 Application/NirCmd.A HackTools No 0 No No C:\Dokumente und Einstellungen\Administrator\Desktop\Flash_Disinfector.exe[C:\Dokumente und Einstellungen\Administrator\Desktop\Flash_Disinfector.exe][nircmd.exe] 00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{DD7E788E-3CF6-46B3-93F5-19065CA236ED}\RP260\A0035340.sys 02111504 W32/AutoRun.APJ.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{DD7E788E-3CF6-46B3-93F5-19065CA236ED}\RP260\A0035334.ini ;===================================================================================================================================================== ============================== SUSPECTS Sent Location zO ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description zO ;===================================================================================================================================================== ============================== 210625 HIGH MS09-026 zO 210624 HIGH MS09-025 zO 210621 HIGH MS09-022 zO 210618 HIGH MS09-019 zO 208380 HIGH MS09-015 zO 208379 HIGH MS09-014 zO 208378 HIGH MS09-013 zO 208377 HIGH MS09-012 zO 206981 HIGH MS09-007 zO 206980 HIGH MS09-006 zO 205735 HIGH MS09-002 zO 204670 HIGH MS09-001 zO 203806 HIGH MS08-078 zO 203508 HIGH MS08-073 zO 203505 HIGH MS08-071 zO 202465 HIGH MS08-068 zO 201683 HIGH MS08-067 zO 201258 HIGH MS08-066 zO 201256 HIGH MS08-064 zO 201255 HIGH MS08-063 zO 201253 HIGH MS08-061 zO 209275 HIGH MS08-049 zO 196455 MEDIUM MS08-037 zO 194860 HIGH MS08-030 zO ;===================================================================================================================================================== ============================== Kann man das so vernünftigt entziffern und zuordnen? |
Ah, wie ich sehe, geht´s so doch! :Boogie: |
Hey Andreas! Prevx kommt zu dem Schluss: System Status: Clean Hat also nix gefunden. Gut? Liebe Grüße! Blümchen |
Hallo Sabrina :) Code: Hat also nix gefunden. Gut?Wenn du Sticks und externe Datenträger mit dem Flash Disinfector behandelt hast, lösche das Programm wieder. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. Code: VULNERABILITIES Id Severity Description zOLade dir von Microsoft den MSIE 8 und rufe mit ihm folgende Adresse auf. => Microsoft Windows Update Benutzerdefinierte Installation, alle Updates installieren. Poste ein aktuelles HJT-Log. ciao, andreas |
So... Berichterstattung: 1. Ich wollte den Flash Disinfector (wie du empfohlen hast) löschen, jedoch ist er verschwunden. :confused: Das kann ich mir überhaupt nicht erklären - auf jeden Fall ist er nicht mehr auf meinem Desktop. :confused: Kommt das schonmal vor? 2. Ich habe die Systemwiederherstellung deaktiviert - den Laptop neu gestartet - das Ganze wieder aktiviert. 3. Habe den neuen Internet-Explorer und lade gerade bei Windows Update sämtliche neuen Updates herunter. :daumenhoc Ist es sinnvoll, hier die automatische Suche nach neuen Updates bei jedem Start zu aktivieren oder sollte ich das lieber bleiben lassen? Und da wir gerade bei den Updates sind: 4. Ich dachte, McAfee würde sich immer automatisch aktualisieren? :schmoll: Muss ich das doch regelmäßig über´s Uni-Netz machen? 5. Wichtig! Wie erstelle ich ein HJT-Log? Und 6. Warum zeigt mir dieses Windows-Sicherheitscenter plötzlich immer beim Start an, dass "Kein Firewall aktiviert" ist - obwohl die Firewall aktiv ist? :confused: Oh oh, so viele Fragen... die Pädagogik-Studenten... :kloppen: :) Vielen Dank für deine kompetente Hilfe! Bin total happy, dass wir -anscheinend- den Wurm gekriegt haben. :taenzer: *Sabrina* |
:eek: 1000 Fragen! Zitat:
Zitat:
Zitat:
Zitat:
Wie man die größte Sicherheitslücke schlechthin für Updates benutzen kann, wird mir ewig ein Rätsel bleiben. McAfee ist für mich gestorben. Zitat:
Zitat:
ciao, andreas |
So, ich habe das HJT-Log erstellt :daumenhoc - hier kommt´s: #Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:20:45, on 06.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe C:\Programme\TOSHIBA\TME3\TMESBS32.EXE C:\WINDOWS\system32\TPSBattM.exe C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE C:\WINDOWS\system32\TFNF5.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\Toshiba\TAudEffect\TAudEff.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\LTSMMSG.exe C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\System32\00THotkey.exe C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE C:\Programme\McAfee\Common Framework\UdaterUI.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\McAfee\Common Framework\McTray.exe C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Prevx\prevx.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\McAfee\Common Framework\FrameworkService.exe C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\RegSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TOSHIBA\TME3\Tmesbs32.exe C:\Programme\TOSHIBA\TME3\Tmesrv31.exe C:\Programme\Prevx\prevx.exe C:\Programme\TOSHIBA\TME3\TMEEJME.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [TAudEffect] C:\Programme\Toshiba\TAudEffect\TAudEff.exe /run O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\System32\nvsysrot.dll,Enable O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1249289952817 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe -- End of file - 10002 bytes# Und das mit der Firewall-Meldung geht vom Windows-Sicherheitscenter aus(also wahrscheinlich die Firewall von Windows). Wenn ich dort aber nachschaue, ist alles in Ordnung, d.h. die Firewall ganz normal aktiviert. McAfee meldet sich diesbezüglich nicht... :confused: Ich schaue nochmal nach... Liebe Grüße! Blümchen |
Hm... die Windows-Firewall ist aktiv... |
Mal ne Frage zwischenrein. was ist der unterschied zw. Windows und Microsoft Update? Wieso soll man dort benutzerdefiniert machen, andi? Kannst mir das bitte erklären. lg marcel |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board