|
Programme wollen auf unsichere Internetseite zugreifen Hallo erstmal! Ich habe heute mein "Fritz!DSL Protect" neu installiert, also ein Programm zugehörig zur Fritz Box, welches Programme den Zugriff auf das Internet gestattet oder ablehnt. Ganz praktisch, zeigt einem also immer vorher an ob ein Progrmam auf das Internet zugreifen soll oder nicht. Durch die Neuinstallation des Programmes waren die Zugriffseinstellungen natürlich weg und direkt beim Nestart kam mir diese Meldung entgegen: Generic Host Process for Win 32 Services Dieses Programm versucht eine Verbindung in das Internet herzustellen Zieladresse: "Rozpierdole.com" Diese Meldung kommt beim Start jedes Programmes auf, was irgendwas mit dem Internet zu tun hat, also auch bei Firefox und co., immer versuchen die Programme auf "Rozpierdole.com" zuzugreifen. Hab natürlich immer auf "Zugriff ablehnen" geklickt und bin jetzt an meinem Zweit-PC da ich auf dem anderen natürlich nicht mehr ins Internet gehen kann. Hab auch gegooglet was es mit dieser ominösen Seite auf sich hat, scheint irgendeine polnische Seite zu sein, also bitte nicht draufgehen. Kann mir irgendjemand helfen, damit ich das Problem wieder in Ordnung bekomme? Danke schonmal im Vorraus |
Hi, prüfe mal ob Du das File "sknc.dll" auf Deinem Rechner hast... Sehr neu... Pfad: "C:\Windows\System32" Wenn ja, dann bitte bei Virustotal.com prüfen lassen und log posten... Dateien Online überprüfen lassen:
Code: C:\Windows\System32\sknc.dll
Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris |
Hey, Sknc.dll befindet sich in meinem System32 Ordner. 10 kb groß und nach Dateiinformationen wurde die Datei Gestern Erstellt und Heute war der letzte Zugriff !... Hab den VirusTotal Scan durchgeführt, die anderen Scans kommen gleich. VirusTotal Logfile : Datei sknc.dll empfangen 2010.07.23 20:12:11 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 17/41 (41.47%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2010.07.23.01 2010.07.23 - AntiVir 8.2.4.26 2010.07.23 TR/Gendal.10240.X Antiy-AVL 2.0.3.7 2010.07.23 - Authentium 5.2.0.5 2010.07.23 - Avast 4.8.1351.0 2010.07.23 - Avast5 5.0.332.0 2010.07.23 - AVG 9.0.0.851 2010.07.23 PSW.Generic8.TR BitDefender 7.2 2010.07.23 Trojan.Generic.4020034 CAT-QuickHeal 11.00 2010.07.23 - ClamAV 0.96.0.3-git 2010.07.23 - Comodo 5521 2010.07.23 - DrWeb 5.0.2.03300 2010.07.23 - Emsisoft 5.0.0.34 2010.07.23 Trojan.SuspectCRC!IK eSafe 7.0.17.0 2010.07.22 - eTrust-Vet 36.1.7732 2010.07.23 - F-Prot 4.6.1.107 2010.07.23 - F-Secure 9.0.15370.0 2010.07.23 Trojan.Generic.4020034 Fortinet 4.1.143.0 2010.07.23 - GData 21 2010.07.23 Trojan.Generic.4020034 Ikarus T3.1.1.84.0 2010.07.23 Trojan.SuspectCRC Jiangmin 13.0.900 2010.07.23 - Kaspersky 7.0.0.125 2010.07.23 - McAfee 5.400.0.1158 2010.07.23 PWS-Tibia.gen.q McAfee-GW-Edition 2010.1 2010.07.23 PWS-Tibia.gen.q Microsoft 1.6004 2010.07.23 - NOD32 5306 2010.07.23 - Norman 6.05.11 2010.07.23 W32/Malware.LXWD nProtect 2010-07-23.02 2010.07.23 Trojan.Generic.4020034 Panda 10.0.2.7 2010.07.23 Trj/CI.A PCTools 7.0.3.5 2010.07.23 - Prevx 3.0 2010.07.23 High Risk Cloaked Malware Rising 22.57.03.08 2010.07.23 Trojan.Win32.Generic.520950F7 Sophos 4.55.0 2010.07.23 - Sunbelt 6627 2010.07.23 Trojan.Win32.Generic!BT Symantec 20101.1.1.7 2010.07.23 - TheHacker 6.5.2.1.324 2010.07.23 - TrendMicro 9.120.0.1004 2010.07.23 TSPY_TIBIA.SMR TrendMicro-HouseCall 9.120.0.1004 2010.07.23 TSPY_TIBIA.SMR VBA32 3.12.12.6 2010.07.23 - ViRobot 2010.7.23.3956 2010.07.23 - VirusBuster 5.0.27.0 2010.07.23 - weitere Informationen File size: 10240 bytes MD5...: 6881367a3f85d3556a6b6d0d2d746b74 SHA1..: e4b098747485feffd1b3d665669f84d97edf4eef SHA256: 72e2ce33e095452b1146d26a654bf41eb01cd9b91c5f85fc8c03440b65c7f906 ssdeep: 96:NDDbBFx2sp7zN4shLnG010i4Rjp35/6eVewakNci+oelK3Q/5/FAWNc3SGp8d iXt:NDDFFf9zhR26tEcCFC6ae4G PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1603 timedatestamp.....: 0x4b890623 (Sat Feb 27 11:46:43 2010) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x159e 0x1600 5.53 030b652f64d5f40d36ecf070fe95e826 .rdata 0x3000 0x247 0x400 3.02 cd9627ed2c2621bd3e4f25aca85f9922 .data 0x4000 0x18c3 0x600 3.31 63e1302cad42038d22a7d31dcc511312 .reloc 0x6000 0x32a 0x400 5.62 7db48c7ff5979d1775d2ea7a141fc80f ( 1 imports ) > kernel32.dll: IsDebuggerPresent, Sleep, CloseHandle, CopyFileA, CreateFileA, CreateThread, GetEnvironmentVariableA, GetFileSize, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, LoadLibraryA, MoveFileA, ReadFile, VirtualAlloc, WriteFile, lstrcmpA, lstrcpyA, lstrlenA ( 1 exports ) smooth_rect RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99 sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=FB7ACB67008BEF9628B300266F3AFF009B06B438' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=FB7ACB67008BEF9628B300266F3AFF009B06B438</a> |
Hi, Treffer... Fragt sich nur wo sie gestartet wird... und wie... Hmmm.... prüfe auch das File: ws2_32.dll im gleichen Pfad und ob es eine Datei: old_ws2.old gibt (das dürfte das Backup der nicht verseuchten Datei sein... hoffe ich..) chris Ps.: bin müde mach demnächst die Fliege, fahre z. Z. fast 50h Wochen... das tut meiner Konzentration auch nicht so gut... :o) |
Hey chris, hab ich volles Verständnis für, schönen feierabend! ;) Hier noch der Scan der ws2_32.dll Die Backup datei ist vorhanden. Malwarebytes Antimalware (MAM) ist noch am laufen, hat schon 4 verseuchte Datein entdeckt. Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2010.07.23.01 2010.07.23 - AntiVir 8.2.4.26 2010.07.23 HEUR/Malware Antiy-AVL 2.0.3.7 2010.07.23 - Authentium 5.2.0.5 2010.07.23 - Avast 4.8.1351.0 2010.07.23 - Avast5 5.0.332.0 2010.07.23 - AVG 9.0.0.851 2010.07.23 - BitDefender 7.2 2010.07.23 - CAT-QuickHeal 11.00 2010.07.23 - ClamAV 0.96.0.3-git 2010.07.23 - Comodo 5521 2010.07.23 - DrWeb 5.0.2.03300 2010.07.23 - Emsisoft 5.0.0.34 2010.07.23 - eSafe 7.0.17.0 2010.07.22 - eTrust-Vet 36.1.7732 2010.07.23 - F-Prot 4.6.1.107 2010.07.23 - F-Secure 9.0.15370.0 2010.07.23 - Fortinet 4.1.143.0 2010.07.23 - GData 21 2010.07.23 - Ikarus T3.1.1.84.0 2010.07.23 - Jiangmin 13.0.900 2010.07.23 - Kaspersky 7.0.0.125 2010.07.23 - McAfee 5.400.0.1158 2010.07.23 - McAfee-GW-Edition 2010.1 2010.07.23 - Microsoft 1.6004 2010.07.23 - NOD32 5307 2010.07.23 - Norman 6.05.11 2010.07.23 - nProtect 2010-07-23.02 2010.07.23 - Panda 10.0.2.7 2010.07.23 - PCTools 7.0.3.5 2010.07.23 - Prevx 3.0 2010.07.23 - Rising 22.57.03.08 2010.07.23 - Sophos 4.55.0 2010.07.23 - Sunbelt 6627 2010.07.23 - SUPERAntiSpyware 4.40.0.1006 2010.07.23 - Symantec 20101.1.1.7 2010.07.23 - TheHacker 6.5.2.1.324 2010.07.23 - TrendMicro 9.120.0.1004 2010.07.23 - TrendMicro-HouseCall 9.120.0.1004 2010.07.23 - VBA32 3.12.12.6 2010.07.23 - ViRobot 2010.7.23.3956 2010.07.23 - VirusBuster 5.0.27.0 2010.07.23 - weitere Informationen File size: 82944 bytes MD5...: 2bbe0bc2d424c98a295b5712607e86ab SHA1..: 5a2d0de167c6905dcf53e4629ad0b56674988ecf SHA256: 2fcb846f4c1719c185515dc2897a848e63ea72dfca8139dab11cee87b84192a2 ssdeep: 1536:bjEHiNVCfAQRQa6kgTDlxvxI7PYF4dp+ujZBUjVqCqdelG:bjEH+VXotgTD /x0Pq4dp9XU3Sj PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1273 timedatestamp.....: 0x4802bffb (Mon Apr 14 02:22:51 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x12153 0x12200 6.48 36dc91fe3b284757999397a41ae19af9 .data 0x14000 0x914 0xa00 4.88 3f623555a7de0f4c657cbdc81a71385b .rsrc 0x15000 0x3f8 0x400 3.43 5ff68b649c14d167754073f671ef1ef1 .reloc 0x16000 0x1dc8 0x1000 6.35 646ff2c7d13a4396ed3caa5e13070073 ( 6 imports ) > ADVAPI32.dll: RegNotifyChangeKeyValue, RegDeleteKeyA, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegEnumKeyExA > KERNEL32.dll: GetTickCount, QueryPerformanceCounter, lstrcmpA, HeapReAlloc, HeapFree, HeapAlloc, InterlockedCompareExchange, IsBadWritePtr, GetEnvironmentVariableA, GetComputerNameA, GetVersionExA, GetSystemDirectoryA, GetWindowsDirectoryA, WaitForMultipleObjectsEx, ResetEvent, IsBadReadPtr, TlsSetValue, GetHandleInformation, ExpandEnvironmentStringsA, InterlockedExchange, GetCurrentThreadId, TlsAlloc, GetSystemInfo, HeapCreate, GetProcessHeap, HeapDestroy, TlsFree, lstrlenA, lstrcpyA, IsBadCodePtr, GetProcAddress, CreateEventA, GetModuleFileNameA, LoadLibraryA, CreateThread, FreeLibrary, WaitForSingleObject, CloseHandle, FreeLibraryAndExitThread, EnterCriticalSection, SetEvent, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SwitchToThread, SetLastError, DelayLoadFailureHook, TlsGetValue, InterlockedDecrement, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, LeaveCriticalSection > msvcrt.dll: __isascii, isspace, _except_handler3, sprintf, _adjust_fdiv, malloc, _initterm, free, _stricmp, fclose, fgets, atoi, strchr, fopen, wcscpy, strtoul, wcscmp, wcslen, wcschr > ntdll.dll: RtlIpv4StringToAddressW, RtlIpv6StringToAddressExW, RtlIpv4StringToAddressA > WS2HELP.dll: WahCompleteRequest, WahQueueUserApc, WahEnableNonIFSHandleSupport, WahDisableNonIFSHandleSupport, WahCreateSocketHandle, WahNotifyAllProcesses, WahCreateNotificationHandle, WahWaitForNotification, WahOpenCurrentThread, WahCloseThread, WahInsertHandleContext, WahRemoveHandleContext, WahDestroyHandleContextTable, WahCreateHandleContextTable, WahEnumerateHandleContexts, WahCloseApcHelper, WahCloseHandleHelper, WahCloseNotificationHandleHelper, WahOpenNotificationHandleHelper, WahOpenHandleHelper, WahOpenApcHelper, WahCloseSocketHandle, WahReferenceContextByHandle > sknc.dll: - ( 117 exports ) FreeAddrInfoW, GetAddrInfoW, GetNameInfoW, WEP, WPUCompleteOverlappedRequest, WSAAccept, WSAAddressToStringA, WSAAddressToStringW, WSAAsyncGetHostByAddr, WSAAsyncGetHostByName, WSAAsyncGetProtoByName, WSAAsyncGetProtoByNumber, WSAAsyncGetServByName, WSAAsyncGetServByPort, WSAAsyncSelect, WSACancelAsyncRequest, WSACancelBlockingCall, WSACleanup, WSACloseEvent, WSAConnect, WSACreateEvent, WSADuplicateSocketA, WSADuplicateSocketW, WSAEnumNameSpaceProvidersA, WSAEnumNameSpaceProvidersW, WSAEnumNetworkEvents, WSAEnumProtocolsA, WSAEnumProtocolsW, WSAEventSelect, WSAGetLastError, WSAGetOverlappedResult, WSAGetQOSByName, WSAGetServiceClassInfoA, WSAGetServiceClassInfoW, WSAGetServiceClassNameByClassIdA, WSAGetServiceClassNameByClassIdW, WSAHtonl, WSAHtons, WSAInstallServiceClassA, WSAInstallServiceClassW, WSAIoctl, WSAIsBlocking, WSAJoinLeaf, WSALookupServiceBeginA, WSALookupServiceBeginW, WSALookupServiceEnd, WSALookupServiceNextA, WSALookupServiceNextW, WSANSPIoctl, WSANtohl, WSANtohs, WSAProviderConfigChange, WSARecv, WSARecvDisconnect, WSARecvFrom, WSARemoveServiceClass, WSAResetEvent, WSASend, WSASendDisconnect, WSASendTo, WSASetBlockingHook, WSASetEvent, WSASetLastError, WSASetServiceA, WSASetServiceW, WSASocketA, WSASocketW, WSAStartup, WSAStringToAddressA, WSAStringToAddressW, WSAUnhookBlockingHook, WSAWaitForMultipleEvents, WSApSetPostRoutine, WSCDeinstallProvider, WSCEnableNSProvider, WSCEnumProtocols, WSCGetProviderPath, WSCInstallNameSpace, WSCInstallProvider, WSCUnInstallNameSpace, WSCUpdateProvider, WSCWriteNameSpaceOrder, WSCWriteProviderOrder, __WSAFDIsSet, accept, bind, closesocket, connect, freeaddrinfo, getaddrinfo, gethostbyaddr, gethostbyname, gethostname, getnameinfo, getpeername, getprotobyname, getprotobynumber, getservbyname, getservbyport, getsockname, getsockopt, htonl, htons, inet_addr, inet_ntoa, ioctlsocket, listen, ntohl, ntohs, recv, recvfrom, select, send, sendto, setsockopt, shutdown, socket RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Windows Socket 2.0 32-Bit DLL original name: ws2_32.dll internal name: ws2_32.dll file version.: 5.1.2600.5512 (xpsp.080413-0852) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned |
Hi, hm das ist grenzwertig... Warten wir mal was mam so von sich gibt, auch prevx wäre wohl geeignet, kann aber nichts entfernen... chris |
Hi, mam scan ist jetzt fertig: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4342 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 23.07.2010 23:29:44 mbam-log-2010-07-23 (23-29-44).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 319052 Laufzeit: 1 Stunde(n), 5 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Generic.Bot.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\victem (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{3803A546-DF29-43CA-A346-9D841505308B}\RP256\A0062714.exe (Backdoor.Poison) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully. ps: die ws2_32.dll kann ich ja schonmal durch das Backup ersetzen oder? |
Hi, lass erst noch otl laufen... es ist nicht sicher ob das wirklich das Backup der Datei ist... suchen wir mal ob die sonst noch wo auf dem Rechner rumfährt... MAM hat die Datei "Sknc.dll" nicht erkannt TrendMicro-Housecall sollte das können: Trend Micro HouseCall ? Jetzt kostenlosen Online-Scan durchführen! - Trend Micro Deutschland Scan mit SystemLook Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jpshortstuff/SystemLook.exe
Code: :filefind
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. chris |
Hi, Hier das Ergebnis des SystemLook Scans: SystemLook v1.0 by jpshortstuff (11.01.10) Log created at 23:48 on 23/07/2010 by Administrator (Administrator - Elevation successful) ========== filefind ========== Searching for "ws2_32.dll" C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll -----c 82944 bytes [20:10 08/02/2010] [12:00 10/10/2005] D569240A22421D5F670BB6FB6DD522B5 C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll ------ 82432 bytes [20:13 08/02/2010] [06:52 14/04/2008] 6A35E2D6F5F052C84EC2CEB296389439 C:\WINDOWS\system32\ws2_32.dll --a--- 82944 bytes [12:00 10/10/2005] [13:25 22/07/2010] 2BBE0BC2D424C98A295B5712607E86AB -=End Of File=- Trend Micro HouseCall ist gerade am scannen hier das Ergebnis von otl: otl.txt OTL Logfile: Code: OTL logfile created on: 23.07.2010 23:35:39 - Run 1extras.txt OTL Logfile: Code: OTL Extras logfile created on: 23.07.2010 23:35:39 - Run 1TrendMicro-Housecall hat die Datei "Sknc.dll" als Infiziert angezeigt und nachdem ich auf "Beheben" geklickt habe jetzt nach Reboot Bluescreen: Stop : c000021a [Schwerer Systemfehler] Der Systemprozess Windows Logon Prozess wurde unerwartet beendet Status : 0xc0000135 (0x00000000 0x00000000). Das System wurde heruntergefahren. Das Ganze auch im abgesicherten Modus :/ Kann man da nochwas machen? PS: Vielen Dank für die bisherige Hilfe chris! |
Hi, shit.... das liegt an der ws2_32.dll, die muss wiederhergestellt werden (aus der Backupdatei "old_ws2.old "). Dazu musst Du entweder es schaffen von CD zu booten (Boot-CD vorhanden?) und die Datei auf die ws2_32.dll zu kopieren, oder die Festplatte ausbauen und als Slave an einen zweiten Rechner hängen den Du bootest und von dem Du dann so vorgehen kannst)... Allerdings hätte ich nicht gedacht, das Trendmicro nicht nur die verseuchte Daten sondern auch die manipulierte "zurück ändert", das war mein Fehler... Die Gefahr ist, dass Teile des NTFS-Dateisystems zerschossen wurden... Das wird man aber nach der Wiederherstellung der Dateien erst sehen können... Dann müssen wir mit Recovery-Programmen rangehen... Allerdings hat MAM auch Teile von Bifrost gefunden, und da ist Neuaufsetzen eigentlich Pflicht... Bin Nachmittags/Abends wieder erreichbar... chris Boot-CD selber bauen: Knoppix-Live-CD erstellen Folge den Anweisungen hier: http://www.trojaner-board.de/75619-a...x-live-cd.html Boot-CD erstellen: Am einfachsten geht dies über UBCD for Windows, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Schnellanweisung für XP: Im Groben sieht das so aus; UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden). Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)). Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los. Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)... |
Hey, Hab mithilfe der Boot-CD die ws2_32.dll mit der Backupdatei ersetzt. Windows startet jetzt wieder normal und auch das Problem mit dem Zugriff auf diese Internetseite ist soweit gelöst. Demnach hat das NTFS-Dateisystem wohl keinen Schaden erlitten, oder? Du hast angesprochen das MAM Teile von Bifrost gefunden hat, mit welchem Programm soll ich jetzt weiter vorgehen um dieses Problem zu spezifieren? mfg |
Hi, ich schaue mir das OTL-log mal durch... Würde Prevx laufen lassen, Bifrost ist ein Backdoor, man weis nie was alles auf dem Rechner geändert wurde, daher wird neuaufsetzen empfohlen... Prevx: Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch 64Bit-Plattformen) Prevx 3.0 for Home and Family Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Hi, Also Prevx hat nichts gefunden, hab auch heute nochmal MAM durchlaufen lassen, hat auch nichts mehr gefunden. |
Hi, ist das von Norton: C:\WINDOWS\tasks\Automatic troubleshooting.job Sonst sieht es gut aus... chris |
Hey, Gehört zu "TuneUp Utilities 2010" ;) Ok dann hat sich mein Problem soweit gelöst, wenn es noch mal zu Schwierigkeiten kommen sollte, melde ich mich dann hier im Forum. Vielen Dank für die Hilfe. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board