Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Help

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.04.2005, 19:29   #1
Sabo
 
Help - Standard

Help



Hi hab vor kurzem schon mal was hier gepostet,
wollte escan im abgesicherten modus starten, abgesicherter modus funktioniert bei mir mit f8 nicht, hab dann in windows auf abgesicherten modus umgestellt, hat auch einmal funktioniert, beim 2ten mal ist er beim hochfahren abgestürzt. Nun hatte ich ein problem, da windows nicht mehr normal hochfahren konnte und im abgesicherten modus über f8 ging auch nicht mehr. lange rede kurzer sinn, jetzt hab ich windows neu installiert, bin ins inet und wollte mir paar updates saugen, und hatte schwupp die wupp gleich nen neuen bot drauf.
den hab ich jetzt mir antivir gelöscht. trotzdem scheint sich trotz kerio firewall die ganze zeit jemand aulf meinen rechner zu hacken, da meine übertragungsrate irgendwann plötzlich voll ausgelastet ist. dann wird Ausgehende verbindung: trivial file transfer protocol app gestartet und dann stürtzt kurz darauf mein rechner ab.
zusätzlich hab ich angeblich im windows/system32 ordner eine datei msaol32.exe die angeblich der aol messenger ist (laut hijacker). sie ist die ganze zeit aktiv, jedoch befindet sich diese datei gar nicht dort und lässt sich mit suchen auch nicht ausfindig machen.
I need help. kann den ganzen scheiß nicht nochmal installieren.
Thx

John

Alt 10.04.2005, 19:47   #2
Sabo
 
Help - Standard

Help



hab mir mal das transfer protocoll aufgeschrieben.
transfer protocoll: p54A1318A.dip.t-dialin.net[84.161.49.138],port tftp [69]
hört sich nicht gut an oder?
Hier trotzdem noch zusätzlich das hijack protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 20:46:32, on 10.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Generic\USB Card Reader Driver v1.9\Disk_Monitor.exe
D:\Programme\Synaptics\SynTP\SynTPLpr.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\TraXEx\TraXEx.exe
D:\WINDOWS\System32\taskmgr.exe
D:\Programme\Opera\opera.exe
D:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] D:\Programme\Generic\USB Card Reader Driver v1.9\Disk_Monitor.exe
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Systemboot] msnsngr.exe
O4 - HKLM\..\RunServices: [Systemboot] msnsngr.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Systemboot] msnsngr.exe
O4 - Global Startup: TraXEx 3.0.lnk = D:\Programme\TraXEx\TraXEx.exe
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - D:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - D:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113073227390
O17 - HKLM\System\CCS\Services\Tcpip\..\{71EFDCC9-C591-4FD7-8EDA-4A0339CE9224}: NameServer = 217.237.151.161 217.237.151.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{71EFDCC9-C591-4FD7-8EDA-4A0339CE9224}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
__________________


Alt 10.04.2005, 19:59   #3
Cidre
Administrator, a.D.
 
Help - Standard

Help



Hallo,

der Link in meiner Signatur (Wie poste ich falsch!) dürfte dich zunächst einmal brennend interessieren!

Zitat:
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
Ist eine Rbot Variante, d.h. ein Wurm mit Backdoor Funktionalität, siehe http://www3.ca.com/securityadvisor/v....aspx?id=39437.

Zitat:
O4 - HKLM\..\Run: [Systemboot] msnsngr.exe
Wenn diese Datei noch vorhanden ist, dann überprüfe sie bei http://virusscan.jotti.org/de und poste das Ergebnis. Es dürfte sich aber auch um eine Bot Variante handeln.

Meine Empfehlung lautet zur deiner eigenen Sicherheit, dass dein System neu aufgesetzt werden sollte, siehe Signatur.
__________________
__________________

Alt 10.04.2005, 20:05   #4
Sabo
 
Help - Standard

Help



Damit magst du recht haben sorry, aber ich bin hier zeitlich wirklich kurz angebunden bis mein system wieder abstürtzt, deshalb hab ich keine zeit für große worte.
sorry

john

Alt 10.04.2005, 20:10   #5
Sabo
 
Help - Standard

Help



Datei ist nicht mehr da


Antwort

Themen zu Help
abgesicherten modus, aktiv, antivir, ausgelastet, bot, datei, escan, file, firewall, funktioniert, hacken, help, hijacker, messenger, neu, neue, nicht mehr, ordner, problem, rechner, starten, suche, updates, verbindung, voll, windows



Zum Thema Help - Hi hab vor kurzem schon mal was hier gepostet, wollte escan im abgesicherten modus starten, abgesicherter modus funktioniert bei mir mit f8 nicht, hab dann in windows auf abgesicherten modus - Help...
Archiv
Du betrachtest: Help auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.