Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner, Wurm oder nicht?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.09.2004, 10:35   #1
killver
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Hallo erstmal,

seit einiger zeit plagen mich immer wieder automatische Neustartmeldungen nach hochfahren des Betriebsystemes (WinXP). Remoteprozeduraufruh unerwartet beendet. Ihr kennt das sicher von Würmern usw. Das Komische ist aber, dass ich diese Meldung nur vll. alle 10mal starten bekomme (max.). Als ich am Anfang dieses Problem hatte, hatte ich den Wurm Flood.L (laut Antivir) wurde aber korrekt entfernt. Seitdem mach ich imemr wieder Checks, aber er findet nix mehr.
Wenn ich Computerspiele minimiert er auch ab und zu automatisch, weiß aba nich ob das daher kommen kann.

Danke für Antworten
killver

Alt 15.09.2004, 11:06   #2
MountainKing
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.
__________________


Alt 15.09.2004, 12:53   #3
killver
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Logfile of HijackThis v1.98.2
Scan saved at 13:55:04, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Karna\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\mIRC\mirc.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\DOKUME~1\snider\LOKALE~1\Temp\Rar$EX00.734\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reboot.exe
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
__________________

Alt 15.09.2004, 13:11   #4
MountainKing
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Besorge dir zunächst dieses Programm:

http://www.cexx.org/lspfix.htm


E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html


Beende diese Prozesse mit dem Taskmanager:

C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe

Fixe mit Hijackthis:

C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s


Fixe dann mit LSPfix:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer




Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben

durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste

es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

Alt 15.09.2004, 13:39   #5
killver
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



komischerweise finde ich die zwei dateien nicht im task manager


Alt 15.09.2004, 13:44   #6
MountainKing
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Hm, hast du schon irgendwas gelöscht inzwischen? Dann lass den Schritt mal weg und befolge den Rest.

Alt 15.09.2004, 13:46   #7
killver
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



ich hab nochmal hijack laufn lass und siehe da die sin wirklich nimma offen

hatte nun nur mehr diese sachen zum löschen:


O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s


ehm und bei lsp fix sin nur 4 sachen drin

Geändert von killver (15.09.2004 um 13:52 Uhr)

Alt 15.09.2004, 14:34   #8
MountainKing
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Stehen die 4 sachen auf der Remove-Liste? Dann entferne sie und erstelle ein neues Log.

Alt 15.09.2004, 14:35   #9
killver
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



so hab nu mal alles gemacht

Logfile of HijackThis v1.98.2
Scan saved at 15:35:32, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Karna\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
D:\download\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\snider\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11

escan:

Wed Sep 15 15:22:45 2004 => Total Number of Files Scanned: 33646
Wed Sep 15 15:22:45 2004 => Total Number of Virus(es) Found: 10
Wed Sep 15 15:22:45 2004 => Total Number of Disinfected Files: 0
Wed Sep 15 15:22:45 2004 => Total Number of Files Renamed: 9
Wed Sep 15 15:22:45 2004 => Total Number of Deleted Files: 0
Wed Sep 15 15:22:45 2004 => Total Number of Errors: 2
Wed Sep 15 15:22:45 2004 => Time Elapsed: 00:19:59
Wed Sep 15 15:22:45 2004 => Virus Database Date: 2004/09/08
Wed Sep 15 15:22:45 2004 => Virus Database Count: 103474

Wed Sep 15 15:22:45 2004 => Scan Completed.

Der ganze log is zu groß. Ein File warn backdoor

Alt 15.09.2004, 20:49   #10
killver
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



gebt mir mal ebscheid bidde

Alt 15.09.2004, 21:14   #11
MountainKing
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Ich bräuchte nicht das ganze Logfile, sondern die genauen Namen der Schädlinge.
Auch weiss ich immer noch nicht, was das ist:

O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup

Wie lautet der gesamte Pfad, kennst du das Programm zu dem er gehört?

Wenn du einen echten Backdoor hattest, wäre es das Klügste, dein System neu zu machen.

Ansonst muss das immer noch weg:

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net


Fixe es mit HJT (nach Deaktivierung der Systemwiederherstellung), falls es danach Probleme mit dem Netz gibt, nochmal lspfix verwenden.

Alt 16.09.2004, 11:18   #12
killver
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



http://www.handybits.com/

daher is die datei

Wed Sep 15 14:35:55 2004 => File C:\Programme\OutLaster\shhost.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:46 2004 => File C:\PROGRA~2\WEBHAN~1\programs\whiehlpr.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:47 2004 => File C:\PROGRA~2\WEBHAN~1\Programs\whAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:47 2004 => File C:\Dokumente und Einstellungen\snider\Startmenü\Programme\Autostart\Reboot.exe tagged as not-a-virus:RiskWare.Tool.ExitWin.b. No Action Taken.

Wed Sep 15 14:38:57 2004 => File C:\WINDOWS\webhdll.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:57 2004 => File C:\WINDOWS\whInstaller.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:45 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\new_net.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:45 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\ol-setup5.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:46 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\webhancer.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:07:19 2004 => File C:\Program Files\webHancer\Programs\whSurvey.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:58 2004 => File C:\Programme\whInstall\Webhdll.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\WhAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\whiehlpr.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\whInstaller.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\WhSurvey.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:21:11 2004 => File C:\WINDOWS\system32\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart. No Action Taken.

so das is alles

Alt 16.09.2004, 21:04   #13
*Christian*
Gast
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Erstelle und poste mal ein neues HijackThis-Log.
Da du einen aktiven Backdoor auf dem System hattest, solltest du dir überlegen, ob eine Neuinstallation nicht sinnvoller wäre.

Alt 16.09.2004, 21:21   #14
charlie1
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Aber Hallo, man kann/ soll doch nicht bei jedem Trojanerbefall, gleich ein neues OS aufsetzen, denn, wie Ihr sagt, gibt es doch so viel Möglichkeiten, das Ding loszuwerden und die sollte man auch nutzen!
LG; Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Alt 16.09.2004, 21:26   #15
*Christian*
Gast
 
Trojaner, Wurm oder nicht? - Standard

Trojaner, Wurm oder nicht?



Schau dir ein paar Threads an und les dir mal die empfohlenen Lektüren bezüglich Backdoors durch.

Antwort

Themen zu Trojaner, Wurm oder nicht?
anfang, antivir, arten, automatische, compu, einiger, entfern, hochfahren, immer wieder, komische, korrekt, meldungen, minimiert, plage, plagen, problem, seitdem, starte, starten, troja, trojaner, unerwartet, winxp, worte, wurm, würmer, würmern




Ähnliche Themen: Trojaner, Wurm oder nicht?


  1. Wurm oder Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 21.04.2013 (5)
  2. Hab einen Trojaner oder wurm oder nen virus weis aber nicht was für einen
    Log-Analyse und Auswertung - 30.11.2011 (2)
  3. Wurm oder nicht Wurm (Verschickt Spam-Mails)
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (1)
  4. Trojaner oder Wurm
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  5. Wurm oder/und Trojaner
    Log-Analyse und Auswertung - 15.09.2009 (5)
  6. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  7. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  8. Verdacht auf Trojaner oder Wurm
    Log-Analyse und Auswertung - 23.11.2008 (3)
  9. Hab ich jetzt ein Wurm/Virus/PiPaPo oder nicht????
    Plagegeister aller Art und deren Bekämpfung - 01.12.2007 (3)
  10. Trojaner oder Wurm ??
    Mülltonne - 22.06.2007 (2)
  11. Wurm oder Trojaner ? Need Help
    Log-Analyse und Auswertung - 13.03.2007 (10)
  12. Wurm und/oder Trojaner
    Log-Analyse und Auswertung - 21.02.2007 (15)
  13. Wurm oder Trojaner?
    Log-Analyse und Auswertung - 15.12.2006 (1)
  14. Hab ich einen Wurm oder nicht?????
    Log-Analyse und Auswertung - 22.03.2005 (14)
  15. Hilfe, Wurm oder trojaner?
    Plagegeister aller Art und deren Bekämpfung - 30.12.2003 (1)
  16. wurm oder nicht ?
    Plagegeister aller Art und deren Bekämpfung - 25.08.2003 (6)
  17. system32.exe ?!?! ist das ein wurm oder trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.04.2003 (42)

Zum Thema Trojaner, Wurm oder nicht? - Hallo erstmal, seit einiger zeit plagen mich immer wieder automatische Neustartmeldungen nach hochfahren des Betriebsystemes (WinXP). Remoteprozeduraufruh unerwartet beendet. Ihr kennt das sicher von Würmern usw. Das Komische ist aber, - Trojaner, Wurm oder nicht?...
Archiv
Du betrachtest: Trojaner, Wurm oder nicht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.