|
Plagegeister aller Art und deren Bekämpfung: trojaner oder irgendwasWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.09.2004, 10:49 | #1 |
| trojaner oder irgendwas hallo miteinander! in unserem netzwerk trat am dienstag eine meldung des nachrichtendienstes auf, dass mcafee eine datei namens ntsvc.exe mit dem virus W32.gaobot.worm.gen.f nicht säubern konnte. die firewall brachte ein paar zugansversucher, die ich ablehnte. die datei ntsvc.exe hat 0 KB. alle anzeichen auf diesen wurm sind ausgeblieben (dateien in der regedit, sperren der Antivirenseiten ...). das removal tool von symantec hat auch nichts gefunden, und das programm spybot 1.3 hat etwas namens alexa und main pean gefunden. jetzt hab ich auf unserem letzten rechner eine geänderte hosts datei mit gesperrten webseiten gefunden (ein programm hat dort einen trojaner entdeckt) und ntsvc.exe gefunden - was macht die? ist sie wichtig? kann ich sie löschen? hier das log: Logfile of HijackThis v1.98.2 Scan saved at 11:17:41, on 10.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\W2K\System32\smss.exe C:\W2K\system32\winlogon.exe C:\W2K\system32\services.exe C:\W2K\system32\lsass.exe C:\W2K\System32\termsrv.exe C:\W2K\system32\svchost.exe C:\W2K\system32\spoolsv.exe C:\W2K\System32\msdtc.exe C:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe E:\Von_C\ComputerAssociates\ARCserve\DBENG.exe E:\Von_C\ComputerAssociates\ARCserve\jobeng.exe E:\Von_C\ComputerAssociates\ARCserve\RDS.EXE E:\Von_C\ComputerAssociates\ARCserve\msgeng.exe E:\Von_C\ComputerAssociates\ARCserve\tapeeng.exe E:\Von_C\ComputerAssociates\ARCserve\casmrtbk.exe C:\Programme\Symantec\pcAnywhere\awhost32.exe C:\W2K\System32\tcpsvcs.exe C:\W2K\System32\svchost.exe E:\Von_C\ComputerAssociates\InocuLAN\INOJOBSV.EXE C:\W2K\System32\llssrv.exe C:\W2K\LogWatNT.exe C:\W2K\System32\sfmprint.exe C:\Programme\Network Associates\NetShield 2000\Mcshield.exe C:\Programme\Network Associates\NetShield 2000\VsTskMgr.exe C:\W2K\system32\ntsvc.exe C:\W2K\system32\regsvc.exe C:\W2K\system32\MSTask.exe C:\W2K\System32\snmp.exe C:\W2K\system32\stisvc.exe C:\W2K\System32\WBEM\WinMgmt.exe C:\W2K\System32\wins.exe C:\W2K\system32\svchost.exe C:\W2K\system32\Dfssvc.exe C:\W2K\System32\dns.exe C:\W2K\System32\inetsrv\inetinfo.exe C:\W2K\System32\mqsvc.exe C:\Programme\ComputerAssociates\ARCserveITDS\asdscsvc.exe C:\Programme\ComputerAssociates\ARCserveITDS\Liccheck.exe C:\W2K\System32\svchost.exe C:\W2K\System32\locator.exe C:\W2K\Explorer.EXE C:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE C:\W2K\system32\internat.exe E:\Von_C\Adobe\Acrobat 5.0\Distillr\AcroTray.exe E:\Von_C\ComputerAssociates\InocuLAN\realmon.exe E:\Von_C\FRITZ!\IWatch.exe C:\W2K\explorer.exe G:\Wartung\virenentfernung\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 190.100.100.1:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\von_c\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Von_C\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\W2K\System32\msdxm.ocx O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [NT Services] ntsvc.exe O4 - HKLM\..\RunServices: [NT Services] ntsvc.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Acrobat Assistant.lnk = E:\Von_C\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InoculateIT Realtime Monitor.LNK = E:\Von_C\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: ISDNWatch.lnk = E:\Von_C\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = E:\Von_C\MS Office 2000 Premium\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W2K\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W2K\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{66C951BD-8CE7-489D-84CA-0BFA2E39B1A1}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A6B96BC9-66C4-4FE2-A081-62516429088C}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{CC5D4A50-BAEF-4295-B509-813C3E6276FD}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{EB78CE71-E943-4CCE-9093-C7E45F90274A}: NameServer = 194.25.2.129,195.20.224.234 kann mir jemand weiterhelfen? danke im voraus. |
Themen zu trojaner oder irgendwas |
adobe, alert, bho, dateien, explorer, firewall, fritz!, hijack, hijackthis, internet, internet explorer, log, logfile, löschen, microsoft, netzwerk, programm, programme, seiten, software, symantec, system, tcpip, trojaner, virus, windows, wurm |