| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antwort an Wizard (und natürlich alle anderen)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.02.2003, 15:47
| #1 |
| |  Antwort an Wizard (und natürlich alle anderen) Hallo Wizard, sorry dass ich erst jetzt antworte, war ein paar Tage incommunicado! Zu den Fragen: AGuard: ooops, hatte gelesen, es wäre immer noch gut.... Dass was über port 137 bzw 139 raus wollte hat mir AtGuard mitgeteilt. Als AV benutze ich AVG 6.0, lass ich im Prinzip einmal wöchentlich updaten. Um die ports manuell zu sperren bin ich anscheinend zu unwissend. Dass sich 4096 Bytes (oder eine Mehrzahl hiervon) in den bootblock schreiben, erkenne ich nach einem Kaltstart, Diskreminder (von McAffee) zeigt mir das dann. Manchmal muss ich einen Kaltstart machen, weil ich aus dem netz gekickt wurde und das runterfahren nicht mehr funktioniert. Andere Dinge die mich vermuten lassen ich hätte einen trojaner an board: download werden gerne mal bei 98 % oder so beendet, der browser (mozilla) angehalten etc etc. das cd-rom lw rödelt wie verrückt usw usf. Als Konsequenz zu deinem Schreiben habe ich AtGuard durch Kerio 2.1 ersetzt und Zonealarm entsorgt. Was ich heute entdeckt habe: im windows temp ist eine seltsame exe, die sich nur unter DOS löschen lässt. Tue ich dies, schreibt sie sich unter anderem Namen wieder ein. Z.Z.:zh7RaSSP.exe, 134.144 bytes. Momentan fragt mich beim Hochfahren RegProt von DiamondCS ob ich folgendes zulassen will (was ich nicht tue): HKEY: HKEY_CLASSES_ROOT PATH:vbsfile\shell\open\command NAME: DATA: deutet dies auf einen trojaner hin? |
|
20.02.2003, 15:52
| #2 |
  |  Antwort an Wizard (und natürlich alle anderen) Hallo Susi,
__________________ohne jetzt zu wissen, auf welchen Thread Du Dich beziehst, prüfe mal die Datei hier: http://www.kaspersky.com/remoteviruschk.html . (Gefunden: Es geht um diesen. [img]smile.gif[/img] ) [ 20. Februar 2003, 15:54: Beitrag editiert von: mmk ] |
|
20.02.2003, 20:04
| #3 |
 | Antwort an Wizard (und natürlich alle anderen) </font><blockquote>Zitat:</font><hr />Original erstellt von SusiSorglos:
__________________AGuard: ooops, hatte gelesen, es wäre immer noch gut....</font>[/QUOTE]Wo liest man denn solche Märchen? Das Programm wird seit Jahren(!) nicht mehr weiterentwickelt. </font><blockquote>Zitat:</font><hr />Als AV benutze ich AVG 6.0, lass ich im Prinzip einmal wöchentlich updaten.</font>[/QUOTE] Auch hier kann ich Dir nur raten: Schaff Dir was besseres an. Das einzig gute an AVG ist, dass es kostenlos ist und das ist für ein Schutzprogramm reichlich wenig. </font><blockquote>Zitat:</font><hr />Um die ports manuell zu sperren bin ich anscheinend zu unwissend.</font>[/QUOTE]Dafür gibt es diverse Anleitungen, wie z. B. diese hier. </font><blockquote>Zitat:</font><hr /> Dass sich 4096 Bytes (oder eine Mehrzahl hiervon) in den bootblock schreiben, erkenne ich nach einem Kaltstart, Diskreminder (von McAffee) zeigt mir das dann.</font>[/QUOTE][/qb] Das Programm kenne ich nicht. Aber soweit ich das einschätze ist das ein Fehlalarm. </font><blockquote>Zitat:</font><hr />Als Konsequenz zu deinem Schreiben habe ich AtGuard durch Kerio 2.1 ersetzt und Zonealarm entsorgt.</font>[/QUOTE]AGuard weg - gut. [img]smile.gif[/img] ZoneAlarm weg - gut [img]smile.gif[/img] Keiro installiert - schlecht  Warum glaubt nur alle Welt, dass so eine Personal Firewall wirklich nötig ist. Mein Tip entsorg auch die Keiro. </font><blockquote>Zitat:</font><hr /> Was ich heute entdeckt habe: im windows temp ist eine seltsame exe, die sich nur unter DOS löschen lässt.</font>[/QUOTE] Schick die Datei bitte mal an virus@rokop-security.de zur "Analyse". </font><blockquote>Zitat:</font><hr />deutet dies auf einen trojaner hin?</font>[/QUOTE]Nicht eindeutig. Was hat denn der Tip von mmk gebracht? wizard
__________________ |
|
20.02.2003, 23:32
| #4 |
| |  Antwort an Wizard (und natürlich alle anderen) Hallo SusiSorglos, Du kannst völlig sorglos sein, was diese 134.144 Bytes große Datei in Deinem Temp.-Ordner angeht... Es handelt sich hier um den "Watchdog" (=Echtzeit-Monitor) von "TrojanHunter 3.0". Der ändert seinen Namen immer, ist aber immer 134.144 Bytes groß. Den hab ich auch drauf. Wenn Du über den Taskmanager diesen Prozess beendest, poppt ein Hinweis auf: "Watchdog is no longer running". Wenn Du das mit ok bestätigst, kannst Du danach diese Temp.-Datei löschen, falls erwünscht  .Gruß Der Hirsch EDIT : Ich hatte erst geschrieben, das sei der Watchdog von YAW 3.5 . Das ist natürlich unrichtig, es ist definitiv der Watchdog von Trojan Hunter 3.0. /EDIT [ 22. Februar 2003, 20:32: Beitrag editiert von: Der Hirsch ] |
|
| Themen zu Antwort an Wizard (und natürlich alle anderen) |
| angehalten, avg, beendet, browser, bytes, cd-rom, dos, download, exe, folge, frage, kaltstart, löschen, mozilla, namen, nicht, nicht mehr, port, ports, runterfahren, shell, start, tan, temp, trojaner, update, windows |
Linear-Darstellung
