Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Francette

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.12.2004, 13:06   #1
Ellen_t
 
Francette - Standard

Francette



Mein System: Laptop mit Window XP Professional, SP 2
Antivir vor einer Woche installiert, Wurm vorher nicht bemerkt.
Brower: IE und Mordzilla
SmartSufer von Web.de

Bekam den Rechner vom Büro geschenkt. Ev. war der Trojaner Francette schon droben. Vor einer Woche schlug die Firewall an und zeigte etwas mit windv an. Ich fuhr den Rechner runter, startete, seitdem komme ich nicht oder nur für 6 - 7 Min. ins Internet, danach wird der Server nicht mehr gefunden. Die Seiten brauchen ewig zum laden. Erst komplettes Herunterfahren und neu starten ermöglicht weitere 6 Min surfen

Ein oder zweimal hat wie in diesem Forumsbeitrag über Francette http://www.trojaner-board.de/showthread.php?t=6873 antivir Francette angezeigt. Ein Scan ergab jedoch einen virenfreien Rechner.

Hat das nicht mehr problemlos Surfen können mit Francette zu tun? Ich werde am Wochenende nach dem o.g. Beitrag vorgehen und bei Bedarf auf eure Hilfe zurückkommen.

Wunderbar hilfreiche Webseite. Kompliment!

Alt 16.12.2004, 13:42   #2
Shadowdance
 
Francette - Standard

Francette



Hallo Ellen_t,

kannst Du bitte zunächst ein aktuelles (v1.99.0) Hijack This Logfile erstellen (www.hijackthis.de) und hier posten? Wir tun unser Bestes, um Dir dann weiter zu helfen.

SD
__________________


Alt 16.12.2004, 23:14   #3
Ellen_t
 
Francette - Standard

Francette



Logfile of HijackThis v1.99.0
Scan saved at 19:13:25, on 16.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\windrv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Freeware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.xxx.de/xxx;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [] windrv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [] windrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hoffe, ich kann abschicken, rechner stürzt ständig ab.

PS: Die xxx stehen für den Namen meines AG. Das will ich hier nicht so gerne veröffentichen. Hoffe, es it ok.
__________________

Alt 16.12.2004, 23:31   #4
cronos
 
Francette - Standard

Francette



Fixxe folgende Einträge:

C:\WINDOWS\system32\windrv.exe--> das ist der Übeltäter-ist wahrscheinlich dieser
O4 - HKLM\..\Run: [] windrv.exe
O4 - HKLM\..\RunServices: [] windrv.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de

Starte dann im abgesicherten Modus bei deaktivierter systemwiederherstellung und lösche fol.genden Eintrag:

C:\WINDOWS\system32\windrv.exe

Starte wieder neu , aktiviere die systzemwiederherstellung und poste einen neuen Log.

Geändert von cronos (16.12.2004 um 23:45 Uhr)

Alt 17.12.2004, 08:51   #5
Ellen_t
 
Francette - Standard

Francette



Vielen 1000 Dank , das mache ich, wenn ich wüsste, was fixen ist. Hast du mir bitte einen Link, wo ich das nachlesen kann?

Seitdem die Firewall vor ein paar Tagen anschlug und genau diese Datei anzeigte windrv habe ich Probleme. Sie steht wie folgt im System

windrv.exe-016DBD2E-pf

Seltsam finde ich nur, dass trotz Firewall der Virus/Trojaner jetzt auf dem Rechner ist. EInes ist sicher, ich habe ihn nicht von einer Mail oder einem Pseudopatch wie unter "hier" beschrieben


Alt 17.12.2004, 09:23   #6
cronos
 
Francette - Standard

Francette



Fixxen bedeutet:
Du startest HijackThis, drückst den Button "Scan", machst ein Häkchen bei den o.g. Dateien und klickst anschliesssend den Button "Fix Checked"

Alt 17.12.2004, 11:21   #7
MountainKing
 
Francette - Standard

Francette



Hole dir bitte E-Scan, update und scanne wie beschrieben, poste dann die gefundenen Schädlinge.

http://www.trojaner-board.de/42731-escan-anleitung.html

Falls es sich nämlich um eine Variante des von cronos geposteten Trojaners handelt (du kannst mal überprüfen, ob die anderen genannten Dateien bei dir vorhanden sind), ist es. fürchte ich, mit fixen allein nicht mehr getan.

Eine Firewall nützt dir gegen Infektionen dieser Art im Übrigen gar nichts, das ist eine der leiter weit verbreiteten Fehlinformationen über diese Software. Sie kann idR nicht verhindern, dass du die Schädlinge auf den Rechner bekommst und sie installierst, sondern eventuell eine Kontaktaufnahme nach Außen verhindern.

Du solltest dies mal durcharbeiten:

http://www.mathematik.uni-marburg.de...ompromise.html

Alt 17.12.2004, 12:08   #8
Ellen_t
 
Francette - Standard

Francette



Zitat:
Zitat von MountainKing
Falls es sich nämlich um eine Variante des von cronos geposteten Trojaners handelt (du kannst mal überprüfen, ob die anderen genannten Dateien bei dir vorhanden sind), ist es. fürchte ich, mit fixen allein nicht mehr getan.
welche anderen genannten Dateien meinst du?

Wenn es mit fixen alleine nicht mehr getan ist, was kommt auf mich zu? Rechner platt machen und neu installieren? Wenn ja, tolles Weihnachtsgeschenk

Alt 17.12.2004, 12:18   #9
MountainKing
 
Francette - Standard

Francette



Ich meinte die Dateien, die als weitere bestandteile dieses Schädlings im von cronos geposteten Link genannt sind.

http://www.sophos.de/virusinfo/analyses/w32dumarua.html


Falls es sich tatsächlich darum handelt, würde ich in der Tat eine Neuinstallation empfehlen, denn dein System wäre nicht mehr vertrauenswürdig. Aber überprüfe erst mal wie angesprochen alles mit E-Scan.

Alt 17.12.2004, 14:47   #10
Ellen_t
 
Francette - Standard

Francette



Danke, hab verstanden. Noch eine nicht dumme aber vielleicht naive Frage: Wenn ich eine Systemwiederherstellung durchführe vor dem windrv.exe Befall, ich weiß das Datum, dann habe ich nur den bisher nicht aktiven Francette drauf, den ich dann löschen könnte. Würde das denn mit der Systemwiederherstellung funktioneren?

Ellen

Alt 17.12.2004, 15:28   #11
MountainKing
 
Francette - Standard

Francette



Auch mit der Systemwiederherstellung gibt es keine absolute Sicherheit mehr. Die besondere Gefährlichkeit dieser Art von Schädlingen liegt darin, dass jemand von Außen Zugriff auf deinen Rechner haben und dort alles manipulieren konnte. Was genau, ist nur sehr schwer nachzuvollziehen und zumindest für einen Laien zu umständlich. Deswegen ist eine Neuinstallation anhand bestimmter Regeln die einfachste Möglichkeit ein definitiv sauberes System wiederzubekommen. auf dem aufbauend man dann auch seine Surfgewohnheiten ändern kann. Aber bevor wir diese letzte Möglichkeit in Betracht ziehen, solltest du nun wirklich erst mal E-Scan verwenden und überprüfen, ob der Verdachte berechtig ist.

Alt 18.12.2004, 23:52   #12
Ellen_t
 
Francette - Standard

Francette



1. Das wird nach eScan angezeigt

File C:\Programme\AVPersonal\INFECTED\LOL.DLL.VIR infected by "TrojanSpy.Win32.Xpyout.a" Virus. Action Taken: No Action Taken.

Wollt ihr das gesamte Protokoll sehen, was alles gescannt wurde?

2. Im abgesicherten Modus starten. Mein Login Ellen + PW ging nicht (AdminStatus). Ich wurde mit diesem Login ständig nach dem DomainName gefragt, konnte aber nichts eingeben. Es war nur die Möglichkeit den Loginnamen und das PW einzugeben gegeben. Erst als ich das AdminPasswort änderte (es ist auch ein Admin Account mit adminStatus angelegt) und dann nochmals einloggte, ging's nach einigen Versuchen.

3. windrv.exe war im abgesicherten Modus nach dem fixen mit Highjackthis nicht mehr unter windows/system32 auffindbar. Aber nach einem gezielten Suchen über den Exporer fand ich die Datei im Pfad c:/windows/prefetch mit der Bezeichnung windrv.exe-016DBD3E.pf. Löschen im abgesicherten Modus? Ohne Systemwiederherstellung?

4. Folgende Dateien fand ich nicht:
dllreg.exe
load32.exe
vxdmgr32.exe

5. Anbei das letzte Highjackthis Protokoll nach eScan.
Logfile of HijackThis v1.99.0
Scan saved at 23:40:20, on 18.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Freeware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.xxx.de/xx;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


6. Danke, danke, danke. Wie kann ich mich erkenntlich zeigen für eure Hilfe und die, die noch folgen wird?


7. Bitte um weitere Anweisungen. Vielen Dank.

Alt 19.12.2004, 00:18   #13
*Christian*
Gast
 
Francette - Standard

Francette



Leere den AntiVir-Infected-Ordner.

Aktivieren "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen".
Suche die Dateien nochmals.

Alt 19.12.2004, 01:27   #14
Ellen_t
 
Francette - Standard

Francette



Äh, und wie mache ich das? "Leere den AntiVir-Infected-Ordner." Ich kenne mich zwar gut mit Word, Excel, PPT und Outlook aus, aber hier versagen meine spärliche Kenntnissse.

Der Rest: Aktivieren "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen". Suche die Dateien nochmals." ist klar.

Danke.

Und, hurray, ich kann wieder normal online gehen, ohne dass nach 6 Min. die Onlineverbindung abstürzt. Welch ein vorweihnachtlicher Segen.

Alt 19.12.2004, 01:30   #15
Cidre
Administrator, a.D.
 
Francette - Standard

Francette



Zitat:
Äh, und wie mache ich das? "Leere den AntiVir-Infected-Ordner."
Navigiere zu diesem Ordner C:\Programme\AVPersonal\INFECTED und leere den selbigen.
__________________
Gruß, Cidre


Antwort

Themen zu Francette
brauche, firewall, france, herunterfahren, hilfe, hilfreiche, installiert, internet, laptop, neu, neu starten, nicht mehr, problemlos, professional, rechner, runter, scan, seite, seiten, server, starten, system, trojaner, web.de, window xp, woche, wurm



Ähnliche Themen: Francette


  1. Francette.N.2 / svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 06.01.2005 (2)
  2. AntiVir meldet Francette.l
    Log-Analyse und Auswertung - 29.11.2004 (8)
  3. Worm francette.N
    Plagegeister aller Art und deren Bekämpfung - 19.11.2004 (9)
  4. Worm francette - Hijackthis-LogFile
    Log-Analyse und Auswertung - 18.11.2004 (2)
  5. Wurm Francette.L
    Plagegeister aller Art und deren Bekämpfung - 27.10.2004 (43)
  6. francette u.a
    Plagegeister aller Art und deren Bekämpfung - 05.10.2004 (3)
  7. francette
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (3)

Zum Thema Francette - Mein System: Laptop mit Window XP Professional, SP 2 Antivir vor einer Woche installiert, Wurm vorher nicht bemerkt. Brower: IE und Mordzilla SmartSufer von Web.de Bekam den Rechner vom Büro - Francette...
Archiv
Du betrachtest: Francette auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.