| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: in geschütztem Windows Ordner ein TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.02.2005, 16:08
| #1 |
| |  in geschütztem Windows Ordner ein Trojaner Hallo, habe in c:\System Volume Information\8472DE72- (lange lange Nummer)\RRP159\Aoo50494.EXE einen Trojaner (wahrscheinlich von Subseven) da ich dummerweise damit mal rumgespielt habe weil ich wissen wolte wie sowas funktioniert. Antivir is machtlos, in den Ordner selber komme ich ja nicht rein. Habe schon eine Knoppix Boot CD und dort kann ich dann auch auf den Ordner zugreifen und mir die Datei anschauen, allerdings bringt mir das auch nichts. Denn die Datei kann nicht umbenannt/gelöscht/gezippt werden etc. Hat hier jemand ne Idee was ich machen kann ohne alles neu zu formatieren? Wozu ist der Ordner eigentlich gut? Wieso wird der mir unter Eigenschaften als leer angezeigt wenn er unter Linux fast 10 GB anzeigt? Danke euer Fanto |
|
19.02.2005, 16:17
| #2 |
 | in geschütztem Windows Ordner ein Trojaner Du solltest die Systemwiederherstellung deaktivieren ->
__________________Start/Systemsteuerung/System/Systemwiederherstellung/Systemwiederherstellung deaktivieren (Systemwiederherstellungspunkte gehen dabei verloren) Neustart Dann Systemwiederherstellung wieder aktivieren. Ach ja, Du solltest noch ein HijackThis-Log hier posten, damit man sieht, ob Dein System ansonsten sauber ist! |
|
19.02.2005, 16:29
| #3 |
| | in geschütztem Windows Ordner ein Trojaner hab Syst Wiederherst. deaktiviert und neugestartet und HijackThis laufen lassen:
__________________Logfile of HijackThis v1.99.1 Scan saved at 17:29:14, on 20.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\MSI\SearchKey\StartKBHook.exe C:\Programme\Elantech\ktp3.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe C:\Programme\Trillian\trillian.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\JOE\JOE\Joe.exe C:\Programme\NetBeans3.6\bin\runide.exe C:\Programme\NetBeans3.6\bin\runide.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Scheidgen\Desktop\useful progs\HijackThis.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SearchKey] C:\Programme\MSI\SearchKey\StartKBHook.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - Startup: MERKEN.lnk = C:\Dokumente und Einstellungen\Scheidgen\Desktop\MERKEN.txt O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{402ABAAB-D74F-4F11-86F8-4117B9702316}: Domain = vpn.rwth-aachen.de O17 - HKLM\System\CCS\Services\Tcpip\..\{402ABAAB-D74F-4F11-86F8-4117B9702316}: NameServer = 134.130.4.1,134.130.5.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.rwth-aachen.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.rwth-aachen.de O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe O23 - Service: Gene6 FTP Server (G6FTPServer) - Unknown owner - C:\Programme\Gene6 FTP Server\G6FTPSERVER.EXE (file missing) O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe P.S.: Alles was mit vpn oder rwth zu tun hat ist mein dialer für mein inet von meiner uni und StartHook oder Hotkey sind die zusätzlichen schnellstartknöpfe an meinem laptop für inet,outlook etc also wie siehts aus?:P bin ich sauber?? Danke schonmal euer Fanto Geändert von Fantomaster (20.02.2005 um 17:31 Uhr) |
|
| Themen zu in geschütztem Windows Ordner ein Trojaner |
| angezeigt, anschauen, boot, boot cd, datei, eigenschaften, formatieren, formatieren?, formation, information, knoppix, lange, leer, linux, neu, nummer, ordner, subseven, system, system volume information, trojane, trojaner, volume, wahrscheinlich, windows, wissen, zugreifen |
Linear-Darstellung
