Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.01.2004, 19:20   #1
panikserver
 
Virus?? - Beitrag

Virus??



Application has changed since the last time you opened it, process id: 8
Filename: C:\WINNT\system32\ntoskrnl.exe
The change was denied by user.

---- Modules changed: 1 ----
C:\WINNT\system32\ntoskrnl.exe
---- New modules: 0 ----

das teil blockt meine firewall immer was ist das?? iss das teil gefährlich

Alt 04.01.2004, 19:34   #2
Summerwind1980
Gast
 
Virus?? - Beitrag

Virus??



Also ich habe bei Google mal nachgesehen scheint eine Systemdatei für NT und W2K zu sein.

Kann es sein dass Du nen wurm auf deiner festplatte hast?

es gibt welche die löschen z.B. systemdateien..

W32/Fakerr.A@mm,...

WORM_AVPATCH.A ist ein Wurm, der als angebliches Update des Virenscanners Norton Antivirus via Outlook und populäre Peer-to-Peer Netzwerke verschickt wird.

[ 04. Januar 2004, 20:40: Beitrag editiert von: Summerwind1980 ]
__________________


Alt 04.01.2004, 21:15   #3
Rene-gad
 
Virus?? - Beitrag

Virus??



@panikserver
</font><blockquote>Zitat:</font><hr /> Application has changed since the last time you opened it, process id: 8
Filename: C:\WINNT\system32\ntoskrnl.exe
The change was denied by user.
---- Modules changed: 1 ----
C:\WINNT\system32\ntoskrnl.exe
---- New modules: 0 ----
das teil blockt meine firewall immer was ist das?? iss das teil gefährlich
</font>[/QUOTE]"das teil" ist eine Win-Systemdatei
...was heißt "blockt deine FW"? Was für eine FW hast du? Wird das Programm geschloßen? Wie merkst du das? Was sagt dein Virenscanner dazu? Die Datei dürfte infolge der Installation eines Programms geändert werden. Ohne eines AV-Scan- oder Hijackthis-Protokoll ist ganz schwer etwas zu sagen.
__________________

Alt 05.01.2004, 22:58   #4
panikserver
 
Virus?? - Beitrag

Virus??



benuze firewall sygate und die blockt halt mal, kommt immer ein fenster und da fragt der ob ich ihn reinlasse oder nicht lass nartürlich keinen rein ausser gates gg
und wenn das nun eine Win-Systemdatei ist, wieso will da dann immer connecten bei mir, oder wird das teil verschikt mit dem selben namen und die überschreibt dann meine alte Win-Systemdatei???

Alt 06.01.2004, 08:32   #5
Lutz
 

Virus?? - Beitrag

Virus??



Moin panikserver,

ich habe jetzt in verschiedenen Beiträgen gelesen, dass Du die 'Firewall' von Sygate benutzt, aber ich kann mich nicht erinnern, das Du irgendwo geschrieben hast, ob und wenn ja, welches Antivirenprogramm du einsetzt. Die Log-Datei lässt allerdings darauf schließen, dass Du keinen Virenscanner einsetzt!

Bei einem Blick auf dein Log fällt mir folgendes als erstes auf:
</font><blockquote>Zitat:</font><hr />C:\WINNT\system32\internat.exe</font>[/QUOTE]Diese Datei solltest Du als erstes mal hier überprüfen: http://www.kaspersky.com/remoteviruschk.html

Ansonsten würde wohl auch ein Online-Scan mit RAV und/oder TrendMicro ganz hilfreich sein. Links dazu findest Du beispielsweise hier: http://www.bul-online.de/av/onlinescan.shtml

Melde Dich anschließend noch mal, ob und was gefunden wurde, ggf. mit einem neuen HijackThis-Log.

tschööö, DerBilk

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 06.01.2004, 11:18   #6
panikserver
 
Virus?? - Beitrag

Virus??



das teil wollte gard wieder rein schon zweimal heute iss aber immer ne andere ip nr

Alt 06.01.2004, 11:56   #7
panikserver
 
Virus?? - Beitrag

Virus??



klar alles gescannt aber nix mit avk hier die log :
Logfile of HijackThis v1.97.7
Scan saved at 00:53:50, on 06.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\betrieb\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\Creative\SBLive2k\Program\CTAvTray.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\YSERVER.EXE
C:\Betrieb\Firebird\MozillaFirebird.exe
C:\Betrieb\WinRAR\WinRAR.exe
C:\DOKUME~1\SUPERJ~1\LOKALE~1\Temp\Rar$EX00.001\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/slv/ycheck/as.../info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/slv/ycheck/as.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as...om/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir...=ie&ar=msnhome
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SmcService] C:\betrieb\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive2k\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive2k\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...985.5903240741
O16 - DPF:nr XXXXXXXXXXXXXXX(Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{nrXXXXXXXXXXXXXXX

Alt 12.01.2004, 15:50   #8
brundsfodds
 
Virus?? - Icon22

Virus??



ahjo, unn geb am besten gleich noch deine ip an...
die kiddies brauchen ja nicht immer extra auf den cs-server gehen oder dich im irc suchen, ist doch viel einfache so lÄÄÄÄÄÄÖÖÖÖÖÄÄÄÄÄÄÄl

Antwort

Themen zu Virus??
application, block, blockt, denied, firewall, gefährlich, process, system, system32, win, winnt




Zum Thema Virus?? - Application has changed since the last time you opened it, process id: 8 Filename: C:\WINNT\system32\ntoskrnl.exe The change was denied by user. ---- Modules changed: 1 ---- C:\WINNT\system32\ntoskrnl.exe ---- New modules: - Virus??...
Archiv
Du betrachtest: Virus?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.