gerade als Tipp bekommen - würde mich dies eventuell vor Neuformatierung retten ?

Über Start }} ausführen }} msconfig }} Systemstart und dort bei dem Eintrag
msnservice.exe den Haken wegmachen.
Computer neustarten
Nach dem Neustart in den Ordern c:\Recycler wechseln und dort die Datei
msnservice.exe löschen
Über Start }} ausführen }} regedit eingeben
In der registry nach msnservice.exe suchen und alle Einträge dazu löschen,
danach ist das System wieder sauber.

Zitat:

Zitat von drstoffel

gerade als Tipp bekommen - würde mich dies eventuell vor Neuformatierung retten ?

Frage bei dem, von wem du den Tipp bekommen hast . Ich sage ein klares Nein.

also wenn ich den erwische der diesen Dreck ins Netz stellt aber dann - habe hier eine weiter evetl Lsg gefunden.

Das eigentliche Problem ist dass ich knapp 40 GB Daten auf meinen Platten habe, ich aber sicher nicht riskieren möchte dass irgendjemand Zugriff auf meine Daten aht also werde ich wohl oder über Neuformatieren müssen ???!!!


1.
MSN entfernen via Start -> Sytemsteuerung-> Software
Entferne auch:
C:\Programme\MSN Messenger oder
C:\Programme\Messenger\msmsgs.exe

2.
Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

3.
Download CCleaner und scanne und entferne was gefunden wird

4.
Scanne mit Ewido Micro
Klicke “Save report” und kopiere den Inhalt des Berichts “ewido-report.log ” in diesen Thread
Danach wähle “remove infections”

5.
Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts “SophosReport.txt” der jetzt auf dein Desktop steht in diesen Thread

6.
Scanne mit DrWeb CureIt! http://board.protecus.de/t29350.htm
Kopiere den Inhalt des Berichts von cureit.log in dein folgender Bericht

7.
Download ComboFix zum Desktop
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
Kopiere den Inhalt des Berichts C:/Combofix/combofix.txt in dein folgender Bericht

8.
Hijack This version 2
Download: HijackThis.v.2
in einen eigenen Ordner (wichtig für eventl. Backups etc)z.b C:\HijackThis

Installiere Hijackthissetupv2beta.exe in C:\HijackThis Folge den Hinweisen
Jetzt steht auf deinen Desktop eine verknuepfung zu Hijack This
Doppelklick diese verknuepfung und klicke “Scan” nach ablauf klicke “save log” zum Desktop
Notepad oeffnet sich kopiere dessen Inhalt und poste ihn in diesem Thread

9.
Starte diese Batchdatei datFind.bat danach öffnet sich ein Notepad/Editor Fenster.
Kopiere diese erstellte Textdatei ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie ist nach Datum geordnet.
(kürze die Textdatei je Verzeichnis auf die letzten 30 Tage !)
Alternative Anleitung mit alter Datfindbat unter: http://virus-protect.org/datfindbat.html

@drstoffel
Noch mal: Es gibt kein Mittel, das die Entfernung eines Backdoors zuverlässig belegen kann. Was du weiter tust - ist deine Sache. Du musst aber dich nirgends beschweren, dass beim scheinbar sauberen PC nach ein paar Tagen deine Online-Accounts geknackt werden.

Zitat:

also wenn ich den erwische der diesen Dreck ins Netz stellt

dann hättest du , ich schätze mal, mit ca. 1.250.000 Leuten aus der ganzen Welt zu tun . Am besten überdenkst du deine Surfangewohnheiten.

ok ... Du bist der Pro also neu aufsetzten da ich keine Lust habe dass meine Acc geknackt werden. Ich habe mir diese reizende Mistding aber über MSN und nicht beim Surfen eingetreten. Nun ja wie schon gesagt Du bist der Profi - also Win CD heraussuchen und frisch ans Werk.

Zitat:

Zitat von drstoffel

Du bist der Pro

Keinesfalls.

Zitat:

Ich habe mir diese reizende Mistding aber über MSN und nicht beim Surfen eingetreten.

Denke mal über einen sichereren Ersatz von MSN Messenger nach (Miranda z.B.)

Zitat:

Du bist der Profi

Noch mal: nein

http://www.sophos.com/security/analyses/trojagentfzk.html


This section is for technical experts who want to know more.

Troj/Agent-FZK is a Trojan for the Windows platform.

When first run Troj/Agent-FZK copies itself to <System>\intlprinters.exe and creates the file <System>\libcintles3.dll.

The following registry entry is created to run code exported by {0BE81954-6A74-4D3F-ABCA-2068B92A04AC} on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
printers
{0BE81954-6A74-4D3F-ABCA-2068B92A04AC}

The file libcintles3.dll is registered as a COM object, creating registry entries under:

HKCR\CLSID\{0BE81954-6A74-4D3F-ABCA-2068B92A04AC
RSS|Atom
Get reports on the latest virus threats delivered to your computer