| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
05.08.2009, 23:44
| #1 |
 | ![WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] - Standard](images/icons/icon1.gif){kind=icon} WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] Hallo an die Erste-Hilfe-Gruppe... Folgendes Problem: Vor einer Woche, am 30.7., hatte ich von meinem Avira die Meldung: Virus or unwanted program 'WORM/Kido.IH.40 [worm]' detected in file 'G:\autorun.inf. Da ich zu dem Zeitpunkt grad aus der Küche kam, konnte ich gerade noch sehen wie der Countdown für eine Aktion „2...1...0“ sagte, dann verschwand die Meldung. Hab den Avira dann gleich geöffnet, und fand unter dem Eintrag noch das hier: Virus or unwanted program 'TR/Trash.Gen [trojan]' detected in file 'C:\System Volume Information\_restore{F044C542-2B91-4BD3-B373-06DB772150D3}\RP45\A0011753.exe. Und zwar eine halbe Std vor dem „aktuellen“ Ereignis, und noch eine Std davor genau dasselbe. Bei allen 3 stand als „Action performed“ „Deny Access“ darunter. Nachdem ich da grad am aufbrechen war und mir keine Sorgen machte hab ich das dann vergessen. Heute wollte ich meinen Bluetooth-Manager aus dem Autorun löschen, dabei habe ich festgestellt dass ich da eine „dumprep 0-k“ drinhab, die ich noch nie vorher gesehen hab, und dass die Einträge „ctfmon“ und „reader_s“ plötzlich doppelt drin hatte. Beide hab ich vor Wochen schon per Mausklick im Systemstart deaktiviert, und beide tauchen jetzt doppelt auf, einmal aktiv und einmal nicht aktiv.Bei der aktiven ist vor der Dateipfadangabe, die ansonsten die gleiche ist, ein HKML.Ist das normal? Die Dumprep scheint ja nach dem was ich gelesen hab harmlos zu sein. Dann hab ich mir weil ich unsicher war den Avira nochmal aufgemacht- und siehe da: Die TR/Trash.Gen [trojan] hatte ich seither noch weitere 8 mal.Ich lass den Rechner zur Zeit tagsüber viel laufen, aber in dieser Zeit liefen eig kaum p2p-Programme, ich bin da nicht mal aktiv gesurft, war ja bei sämlichen Meldungen nicht mal am Rechner.Übrigens kam jetzt grad während ich den Text schreibe die neunte, da bin ich dann mal auf „Delete“ gegangen. Ich hab mal versucht den Pfad „C:\System Volume Information“ zu suchen, aber da kam nur die Meldung „Zugriff verweigert“. Die Meldung vom Postanfang, das „WORM/Kido.IH.40 [worm]' detected in file 'G:\autorun.inf.“ deutet auf entweder einen meiner USB-Sticks hin oder auf meine externe Festplatte, aber ich kann nicht genau sagen welches von beiden, da ich grad in der letzten Woche die Laufwerke ein paarmal umgesteckt hatte und mir deswegen bei den Buchstabenzuordungen nicht sicher bin. Während dem Geschreibse hier hab ich „Anti-Malware“ upgedatet und drüberlaufen lassen, ohne Ergebnis...Hijack-This Log fange ich jetzt an, folgt demnächst... Ähm-Symptome wie langsam, Abstürze etc hatte ich keine. Danke schonmal für den langen Atem beim lesen... |
|
06.08.2009, 00:00
| #2 |
| | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] Logfile HJT:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:08:46, on 06.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINXP\system32\rundll32.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINXP\system32\svchost.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\WINXP\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [MSConfig] C:\WINXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- End of file - 5104 bytes Geändert von ReBlubb (06.08.2009 um 00:14 Uhr) |
|
06.08.2009, 00:01
| #3 |
| | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] Logfile Anti-Malware:
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2566
Windows 5.1.2600 Service Pack 3
06.08.2009 00:28:17
mbam-log-2009-08-06 (00-28-17).txt
Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 154959
Laufzeit: 34 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
06.08.2009, 07:00
| #4 | |
| /// Helfer-Team    | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] Hallo und Herzlich Willkommen!  In deinem HijackThis Log kann ich nicht falsches entdecken, aber das noch lange nicht bedeutet, dass dein System sauber ist - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Zitat:
Test - 1:
Test - 2: Honeynet-Conficker-Analyse Berichte über den `Staus`(Ergebnis) Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] 5. um uns noch eine zweite Meinung einzuholen: Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans gruß Coverflow |
|
08.08.2009, 04:20
| #5 |
| | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] So...also ersma danke schon mal für die präzisen Anweisungen zur Hilfestellung, mir als Anfänger tut das gut Dann- beim durchführen der ganze Aktion ist klargeworden woher das ganze kam-als ich einen meiner USB-Sticks reinhab kam sofort die oben erwähnte "Worm"-Meldung vom Avira.Ich bin dann auf Delete gegangen und hab danach den kompletten Stick nochmal eigens vom Avira überprüfen lassen, dabei hat der in einer Datei noch den "TR/Dropper.Gen' [trojan]" gefunden, die hab ich dann auch reparieren lassen.Der Stick bleibt, bis der Rechner selber wieder klar ist,weg.Sämtliche Auflistungen sind also OHNE diesen Stick erfolgt, ich habe den Rechner zwischen der Entnahme des Sticks und dem Erstellen der Listen nicht heruntergefahren, falls das was zu sagen hat. Ähm-by the way...was bewirkt das drücken der "Shift-Taste" beim anstöpseln? Logfile Filelist: Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D2-BCD0
Verzeichnis von C:\
08.08.2009 04:54 43 filelist.txt
08.08.2009 04:43 1.073.274.880 hiberfil.sys
08.08.2009 04:43 1.610.612.736 pagefile.sys
07.08.2009 06:42 207 boot.ini
12.05.2009 17:58 0 AUTOEXEC.BAT
12.05.2009 17:58 0 IO.SYS
12.05.2009 17:58 0 MSDOS.SYS
12.05.2009 17:58 0 CONFIG.SYS
11 Datei(en) 2.684.192.094 Bytes
0 Verzeichnis(se), 18.971.754.496 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D2-BCD0
Verzeichnis von C:\WINXP
08.08.2009 04:44 0 0.log
08.08.2009 04:44 159 wiadebug.log
08.08.2009 04:44 50 wiaservc.log
08.08.2009 04:43 2.048 bootstat.dat
08.08.2009 00:24 32.746 SchedLgU.Txt
08.08.2009 00:24 805 WindowsUpdate.log
07.08.2009 06:42 507 win.ini
07.08.2009 06:42 227 system.ini
01.08.2009 13:56 97 WirelessFTP.INI
24.07.2009 21:16 12.086 cddabase.ini
24.07.2009 17:18 13.204 WOC_CDDA.ini
27.05.2009 00:46 0 tosOBEX.INI
17.05.2009 01:39 0 Sti_Trace.log
13.05.2009 01:59 1.156 mozver.dat
13.05.2009 01:47 0 nsreg.dat
12.05.2009 18:57 25 mixerdef.ini
12.05.2009 18:04 8.192 REGLOCS.OLD
12.05.2009 17:58 0 control.ini
12.05.2009 17:58 316.640 WMSysPr9.prx
12.05.2009 17:58 4.073 ODBCINST.INI
12.05.2009 17:57 749 WindowsShell.Manifest
12.05.2009 17:54 37 vbaddin.ini
12.05.2009 17:54 36 vb.ini
07.05.2009 02:01 13.099 instwcli.inf
69 Datei(en) 7.364.275 Bytes
0 Verzeichnis(se), 18.971.750.400 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D2-BCD0
Verzeichnis von C:\WINXP\system
3 Datei(en) 830.651 Bytes
0 Verzeichnis(se), 18.971.750.400 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D2-BCD0
Verzeichnis von C:\WINXP\system32
08.08.2009 04:48 432.856 perfh009.dat
08.08.2009 04:48 67.560 perfc009.dat
08.08.2009 04:48 448.918 perfh007.dat
08.08.2009 04:48 80.464 perfc007.dat
08.08.2009 04:48 1.043.836 PerfStringBackup.INI
06.08.2009 15:20 4.122 jupdate-1.6.0_15-b03.log
28.07.2009 02:19 2.206 wpa.dbl
25.07.2009 05:23 149.280 javaws.exe
25.07.2009 05:23 145.184 javaw.exe
25.07.2009 05:23 145.184 java.exe
25.07.2009 05:23 411.368 deploytk.dll
25.07.2009 03:00 73.728 javacpl.cpl
13.05.2009 04:50 102.232 FNTCACHE.DAT
12.05.2009 18:51 0 h323log.txt
12.05.2009 18:44 4.444 pid.PNF
12.05.2009 18:03 442 $winnt$.inf
12.05.2009 17:59 138.668 TZLog.log
12.05.2009 17:58 16.832 amcompat.tlb
12.05.2009 17:58 23.392 nscompat.tlb
12.05.2009 17:57 488 WindowsLogon.manifest
12.05.2009 17:57 488 logonui.exe.manifest
12.05.2009 17:57 749 nwc.cpl.manifest
12.05.2009 17:57 749 ncpa.cpl.manifest
12.05.2009 17:57 749 cdplayer.exe.manifest
12.05.2009 17:57 749 wuaucpl.cpl.manifest
12.05.2009 17:57 749 sapi.cpl.manifest
12.05.2009 17:55 21.740 emptyregdb.dat
07.05.2009 02:01 69.120 avmadd32.dll
08.03.2009 14:29 1.302.528 ieframe.dll.mui
08.03.2009 14:29 57.344 msrating.dll.mui
08.03.2009 14:28 2.560 mshta.exe.mui
08.03.2009 14:27 4.096 ie4uinit.exe.mui
08.03.2009 14:27 12.288 advpack.dll.mui
08.03.2009 14:27 81.920 iedkcs32.dll.mui
08.03.2009 14:09 391.536 iedkcs32.dll
08.03.2009 04:41 5.937.152 mshtml.dll
08.03.2009 04:39 11.063.808 ieframe.dll
08.03.2009 04:35 385.024 html.iec
08.03.2009 04:34 914.944 wininet.dll
08.03.2009 04:34 1.206.784 urlmon.dll
08.03.2009 04:34 1.469.440 inetcpl.cpl
08.03.2009 04:34 236.544 webcheck.dll
08.03.2009 04:34 208.384 WinFXDocObj.exe
08.03.2009 04:34 43.008 licmgr10.dll
08.03.2009 04:34 105.984 url.dll
08.03.2009 04:34 193.536 msrating.dll
08.03.2009 04:34 109.568 occache.dll
08.03.2009 04:33 18.944 corpol.dll
08.03.2009 04:33 25.600 jsproxy.dll
08.03.2009 04:33 726.528 jscript.dll
08.03.2009 04:33 229.376 ieaksie.dll
08.03.2009 04:33 420.352 vbscript.dll
08.03.2009 04:33 125.952 ieakeng.dll
08.03.2009 04:32 72.704 admparse.dll
08.03.2009 04:32 173.056 ie4uinit.exe
08.03.2009 04:32 163.840 ieakui.dll
08.03.2009 04:32 36.864 ieudinit.exe
08.03.2009 04:32 71.680 iesetup.dll
08.03.2009 04:32 55.808 iernonce.dll
08.03.2009 04:32 128.512 advpack.dll
08.03.2009 04:32 94.720 inseng.dll
08.03.2009 04:32 594.432 msfeeds.dll
08.03.2009 04:32 1.985.024 iertutil.dll
08.03.2009 04:32 611.840 mstime.dll
08.03.2009 04:31 183.808 iepeers.dll
08.03.2009 04:31 13.312 msfeedssync.exe
08.03.2009 04:31 59.904 icardie.dll
08.03.2009 04:31 55.296 msfeedsbs.dll
08.03.2009 04:31 348.160 dxtmsft.dll
08.03.2009 04:31 216.064 dxtrans.dll
08.03.2009 04:31 34.816 imgutil.dll
08.03.2009 04:31 46.592 pngfilt.dll
08.03.2009 04:31 66.560 mshtmled.dll
08.03.2009 04:31 48.128 mshtmler.dll
08.03.2009 04:31 1.638.912 mshtml.tlb
08.03.2009 04:31 45.568 mshta.exe
08.03.2009 04:30 66.560 tdc.ocx
08.03.2009 04:22 164.352 ieui.dll
08.03.2009 04:22 156.160 msls31.dll
08.03.2009 04:15 57.667 ieuinit.inf
08.03.2009 04:11 445.952 ieapfltr.dll
12.02.2009 22:20 6.873 IE8Eula.rtf
06.02.2009 21:07 3.698.584 ieapfltr.dat
2060 Datei(en) 417.528.554 Bytes
0 Verzeichnis(se), 18.971.561.984 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D2-BCD0
Verzeichnis von C:\WINXP\Prefetch
08.08.2009 04:54 10.898 FIND.EXE-306D7099.pf
08.08.2009 04:54 13.696 CMD.EXE-2AAB9DAB.pf
08.08.2009 04:54 16.220 NOTEPAD.EXE-0815DEA3.pf
08.08.2009 04:53 74.634 AVCENTER.EXE-1D2DB8A2.pf
08.08.2009 04:53 54.248 MBAM.EXE-11D8BBD8.pf
08.08.2009 04:53 47.436 AVSCAN.EXE-25724B6E.pf
08.08.2009 04:52 16.034 GUARDGUI.EXE-147E0160.pf
08.08.2009 04:51 11.856 RUNDLL32.EXE-3FAF52DE.pf
08.08.2009 04:48 30.872 WINZIP32.EXE-335422C1.pf
08.08.2009 04:48 34.972 WMIADAP.EXE-132905C9.pf
08.08.2009 04:45 77.374 THUNDERBIRD.EXE-031A6371.pf
08.08.2009 04:45 1.146.824 NTOSBOOT-B00DFAAD.pf
07.08.2009 23:00 7.086 JQSNOTIFY.EXE-1E60A522.pf
07.08.2009 17:13 15.142 CTFMON.EXE-00681DDA.pf
07.08.2009 17:12 47.728 AVNOTIFY.EXE-31D7686A.pf
07.08.2009 17:10 54.140 UPDATE.EXE-3398FCD6.pf
07.08.2009 16:55 99.236 FIREFOX.EXE-1D57670A.pf
06.08.2009 20:14 32.184 LOGONUI.EXE-308706F5.pf
06.08.2009 17:33 118.062 HELPSVC.EXE-09BE1947.pf
06.08.2009 17:33 67.860 WMIPRVSE.EXE-2F9046ED.pf
06.08.2009 16:10 467.634 Layout.ini
06.08.2009 15:44 49.376 VLC.EXE-29851A71.pf
06.08.2009 15:20 76.832 MSCONFIG.EXE-39BC506D.pf
06.08.2009 15:20 51.266 JQS.EXE-352796B1.pf
06.08.2009 15:20 17.868 WMIAPSRV.EXE-24BFB5E9.pf
06.08.2009 15:20 99.716 JAVAW.EXE-0159D575.pf
06.08.2009 15:20 26.846 WMIC.EXE-1F8E06AA.pf
06.08.2009 15:20 10.696 JAVAWS.EXE-1714DD62.pf
06.08.2009 15:19 34.268 PATCHJRE.EXE-32D75151.pf
06.08.2009 15:19 6.332 MSI31.TMP-0815A97E.pf
06.08.2009 15:19 48.440 MSIEXEC.EXE-0BEEA39E.pf
06.08.2009 15:19 12.526 MSI26.TMP-06031CC0.pf
06.08.2009 15:18 24.174 JRE-6U15-WINDOWS-I586-IFTW.EX-064A5328.pf
06.08.2009 14:03 35.220 JUCHECK.EXE-221FFD79.pf
06.08.2009 14:03 7.234 JAVA.EXE-2167859B.pf
06.08.2009 01:31 44.092 UNPACK200.EXE-2EC8AA61.pf
06.08.2009 01:31 10.814 ZIPPER.EXE-33428278.pf
06.08.2009 01:31 6.560 MSI7F.TMP-264E0014.pf
06.08.2009 01:30 13.074 MSI75.TMP-2E484895.pf
06.08.2009 01:30 26.238 JRE-6U14-WINDOWS-I586-IFTW.EX-37E9D872.pf
06.08.2009 01:08 25.374 HIJACKTHIS.EXE-39024128.pf
06.08.2009 01:06 45.628 CCLEANER.EXE-065E2F3F.pf
06.08.2009 00:09 80.714 SOFFICE.EXE-0278B3B6.pf
06.08.2009 00:09 96.004 SOFFICE.BIN-3623E896.pf
06.08.2009 00:09 9.796 SWRITER.EXE-3AF71A7C.pf
05.08.2009 23:50 19.484 MBAM-SETUP.EXE-2521B101.pf
05.08.2009 23:50 71.188 MBAM-SETUP.TMP-1F2E8E09.pf
05.08.2009 23:50 19.970 REGSVR32.EXE-2CB1139E.pf
05.08.2009 23:50 7.734 MBAMGUI.EXE-1E06AB95.pf
05.08.2009 23:37 44.890 MMC.EXE-540EB6BE.pf
05.08.2009 23:37 33.274 VERCLSID.EXE-1C385444.pf
05.08.2009 23:37 11.808 RUNDLL32.EXE-25F1F01E.pf
05.08.2009 23:37 18.472 RUNDLL32.EXE-13A9FB73.pf
05.08.2009 23:36 21.822 RUNDLL32.EXE-3BEF73C4.pf
05.08.2009 23:36 18.558 TOSBTMNG.EXE-3662B7E6.pf
05.08.2009 23:36 37.830 RUNDLL32.EXE-37CAA9B4.pf
05.08.2009 23:35 68.146 ACRORD32INFO.EXE-19D979CC.pf
05.08.2009 23:32 22.314 RUNDLL32.EXE-332CDCFD.pf
05.08.2009 23:22 28.042 I_VIEW32.EXE-0B6C3BA4.pf
05.08.2009 22:15 93.022 ICQ.EXE-15A4C655.pf
05.08.2009 17:11 47.280 AVGUARD.EXE-16DEE89A.pf
05.08.2009 17:10 54.528 UPDATE.EXE-3637A1A8.pf
05.08.2009 15:27 44.974 RUNDLL32.EXE-1E59FDBB.pf
05.08.2009 02:44 19.346 MSPAINT.EXE-3B858575.pf
05.08.2009 02:07 12.760 CALC.EXE-0B31AAFA.pf
05.08.2009 00:05 14.194 RSMSINK.EXE-030D91F0.pf
05.08.2009 00:04 18.336 DMADMIN.EXE-009B178B.pf
05.08.2009 00:04 9.178 DMREMOTE.EXE-231D463D.pf
05.08.2009 00:04 43.822 MMC.EXE-3887E02F.pf
05.08.2009 00:02 14.106 ODBCAD32.EXE-3772C821.pf
05.08.2009 00:01 16.368 RUNDLL32.EXE-29DC176B.pf
05.08.2009 00:01 19.706 MSDTC.EXE-1E81C37F.pf
05.08.2009 00:01 31.072 DLLHOST.EXE-3C1F87F6.pf
05.08.2009 00:01 55.812 MMC.EXE-3ACC1BED.pf
03.08.2009 21:18 58.650 DFRGNTFS.EXE-2C06A9EE.pf
03.08.2009 21:18 18.276 DEFRAG.EXE-18BF5EA9.pf
03.08.2009 16:44 103.420 IEXPLORE.EXE-2CA9778D.pf
03.08.2009 01:32 16.816 RUNDLL32.EXE-2E1ABC6D.pf
03.08.2009 01:29 70.388 ACRORD32.EXE-153330F0.pf
01.08.2009 14:04 18.370 SNDVOL32.EXE-020A2692.pf
01.08.2009 13:54 22.690 WIRELESSFTP.EXE-12311F7C.pf
01.08.2009 13:54 29.412 WIRELESSFTP1.EXE-09B0AC57.pf
01.08.2009 13:53 15.670 TOSBTPROC.EXE-1DBB706E.pf
01.08.2009 13:53 41.822 TOSOBEX.EXE-29489701.pf
01.08.2009 13:53 41.712 TOSAVRC.EXE-1B3C4769.pf
01.08.2009 13:53 15.320 TOSSKYPEAPL.EXE-2A46F814.pf
01.08.2009 13:30 101.586 EMULE.EXE-184A63F1.pf
29.07.2009 21:13 9.702 SCALC.EXE-0030EB0C.pf
29.07.2009 02:03 46.154 WINZIP32.EXE-12EBBCE9.pf
29.07.2009 02:00 15.220 UNINSTALL.EXE-15278D8E.pf
29.07.2009 02:00 23.150 RUNDLL32.EXE-10D647C2.pf
29.07.2009 01:59 62.746 RUNDLL32.EXE-25247A45.pf
29.07.2009 00:10 23.516 ICQUPDATER.EXE-04F9A5CB.pf
28.07.2009 02:18 10.846 MBAM-DOR.EXE-05145661.pf
28.07.2009 02:12 94.338 FIREFOX.EXE-17EE503B.pf
28.07.2009 02:05 59.038 AVCONFIG.EXE-18FA6095.pf
28.07.2009 01:17 70.964 MBAM-SETUP.TMP-181D3A00.pf
24.07.2009 21:16 92.734 WINONCD.EXE-05D123F3.pf
24.07.2009 16:39 15.308 RUNDLL32.EXE-22E930B1.pf
24.07.2009 16:24 24.562 RUNDLL32.EXE-1260C0CB.pf
22.07.2009 02:39 17.668 RUNDLL32.EXE-3DECBFD1.pf
21.07.2009 21:36 49.116 ADOBEUPDATER.EXE-370FC314.pf
16.07.2009 19:34 16.992 RUNDLL32.EXE-0CF833DE.pf
15.07.2009 16:02 24.406 WAB.EXE-3B1FC393.pf
15.07.2009 15:03 73.162 TASKMGR.EXE-2D2BCF51.pf
15.07.2009 14:31 94.414 LIGHTJOCKEY.EXE-14E89922.pf
15.07.2009 14:31 41.604 RESTART.EXE-35EE83FA.pf
10.07.2009 20:14 17.162 RUNDLL32.EXE-179426A1.pf
06.07.2009 17:58 64.262 WMPLAYER.EXE-09969332.pf
06.07.2009 16:21 12.284 PR1.EXE-095B1F7D.pf
01.07.2009 23:57 11.868 RUNDLL32.EXE-211B8FB4.pf
30.06.2009 01:00 13.824 RUNDLL32.EXE-232E8402.pf
30.06.2009 01:00 13.886 RUNDLL32.EXE-34B52C2C.pf
28.06.2009 07:14 53.838 RUNDLL32.EXE-14172D35.pf
27.06.2009 20:04 37.372 DRWTSN32.EXE-30BBC28E.pf
27.06.2009 19:40 24.316 XMEDIARECODE2103_SETUP.EXE-1BC7B08D.pf
27.06.2009 18:48 18.212 HELPER.EXE-04F5B6A7.pf
27.06.2009 18:48 82.732 UPDATER.EXE-073A32A3.pf
25.06.2009 19:26 54.652 IMAPI.EXE-20F8CDD2.pf
119 Datei(en) 6.045.440 Bytes
0 Verzeichnis(se), 18.971.635.712 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D2-BCD0
Verzeichnis von C:\WINXP\tasks
08.08.2009 04:44 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 18.971.643.904 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D2-BCD0
Verzeichnis von C:\WINXP\Temp
08.08.2009 04:44 16.384 Perflib_Perfdata_7e8.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 18.971.643.904 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D2-BCD0
Verzeichnis von C:\DOKUME~1\Olli\LOKALE~1\Temp
08.08.2009 04:48 549 filelist.zip
06.08.2009 15:20 8.274 jusched.log
06.08.2009 15:20 5.690 java_install_reg.log
06.08.2009 15:19 2.473 java_install_sp.log
06.08.2009 15:19 1.852.928 4b05ff.mst
06.08.2009 15:18 934 jinstall.cfg
06.08.2009 01:31 26.904 java_install.log
06.08.2009 01:30 1.089.024 2616f81.mst
06.08.2009 01:29 714.528 tmp-1.xpi
06.08.2009 01:29 714.528 tmp.xpi
05.08.2009 23:50 311.296 ~DF3D5F.tmp
05.08.2009 22:53 0 r9g4A.tmp
05.08.2009 22:52 0 8h149.tmp
05.08.2009 22:52 0 uow48.tmp
05.08.2009 22:52 0 gxn47.tmp
05.08.2009 22:51 0 b6f46.tmp
05.08.2009 22:51 0 bka45.tmp
05.08.2009 22:51 0 01v44.tmp
05.08.2009 00:03 0 mmc13F3479C.xml
03.08.2009 23:00 8.192.000 mp9qbg81.rar
01.08.2009 19:29 714.528 jre-6u15-windows-i586-iftw.exe
28.07.2009 01:16 311.296 ~DF332F.tmp
24.07.2009 21:16 1.042 COPY.GIF
24.07.2009 21:16 1.008 VIDEO.GIF
24.07.2009 21:16 1.065 IMAGE.GIF
24.07.2009 21:16 1.014 AUDIO.GIF
24.07.2009 21:16 1.081 ALBUM.GIF
24.07.2009 21:16 1.052 DATA.GIF
24.07.2009 17:18 150.864 3360.waf
24.07.2009 16:42 166.844 3359.waf
24.07.2009 16:41 133.180 3358.waf
22.07.2009 00:13 630 {AC76BA86-7AD7-1031-7B44-A81300000003}.ini
25.06.2009 19:20 174.764 2836.waf
25.06.2009 19:18 184.688 2835.waf
25.06.2009 19:18 272.792 2834.waf
25.06.2009 19:17 143.084 2833.waf
25.06.2009 19:16 146.448 2832.waf
25.06.2009 19:16 184.680 2831.waf
25.06.2009 19:16 182.180 2830.waf
25.06.2009 19:16 147.296 2829.waf
25.06.2009 19:14 12.024 2828.waf
25.06.2009 19:14 148.808 2827.waf
25.06.2009 19:14 181.404 2826.waf
25.06.2009 19:14 160.112 2825.waf
25.06.2009 19:13 169.308 2824.waf
25.06.2009 19:13 222.032 2823.waf
25.06.2009 12:44 312.696 3930.waf
25.06.2009 12:44 216.416 3929.waf
25.06.2009 12:43 156.188 3928.waf
25.06.2009 12:43 224.856 3927.waf
25.06.2009 12:42 226.296 3926.waf
25.06.2009 12:42 223.020 3925.waf
25.06.2009 12:42 253.136 3924.waf
25.06.2009 12:42 264.636 3923.waf
25.06.2009 12:41 243.452 3922.waf
25.06.2009 12:41 249.336 3921.waf
25.06.2009 12:40 248.076 3920.waf
25.06.2009 12:19 262.028 3919.waf
25.06.2009 12:19 213.916 3918.waf
25.06.2009 12:18 230.256 3917.waf
25.06.2009 12:18 243.236 3916.waf
25.06.2009 12:18 278.732 3915.waf
25.06.2009 12:17 230.288 3914.waf
25.06.2009 12:17 255.096 3913.waf
25.06.2009 12:16 223.020 3912.waf
25.06.2009 12:16 270.848 3911.waf
25.06.2009 12:15 285.644 3910.waf
25.06.2009 12:15 215.012 3909.waf
25.06.2009 12:12 261.884 3908.waf
25.06.2009 11:43 272.684 3907.waf
25.06.2009 11:43 269.820 3906.waf
25.06.2009 11:42 224.856 3905.waf
25.06.2009 11:42 164.972 3904.waf
25.06.2009 11:41 274.140 3903.waf
25.06.2009 11:41 224.588 3902.waf
25.06.2009 11:40 284.744 3901.waf
25.06.2009 11:40 250.076 3900.waf
25.06.2009 11:39 249.336 3899.waf
25.06.2009 11:38 264.044 3898.waf
25.06.2009 11:38 210.476 3897.waf
25.06.2009 11:37 215.012 3896.waf
25.06.2009 11:36 254.360 3895.waf
24.06.2009 02:54 311.296 ~DF61CF.tmp
17.06.2009 11:39 4.644 9bcb_appcompat.txt
16.06.2009 17:49 4.644 c25d_appcompat.txt
16.06.2009 08:09 3.247.736 6p6o0vdg.exe
16.06.2009 00:39 214 5431_appcompat.txt
10.06.2009 13:46 73.460 Anregungen.pdf
10.06.2009 13:46 78.515 Action a la Karo.pdf
03.06.2009 23:01 695 {AC76BA86-7AD7-1031-7B44-A81000000003}.ini
28.05.2009 08:15 14.624 1961_appcompat.txt
28.05.2009 05:23 311.296 ~DF5CA.tmp
26.05.2009 05:41 214 1e44_appcompat.txt
25.05.2009 16:26 10.885.317 h64f6s6d.rar
25.05.2009 16:12 912 2rzs1msu.ccf
25.05.2009 16:01 214 f97b_appcompat.txt
25.05.2009 15:42 624 5lvwx72s.ccf
23.05.2009 09:20 538.238 caevents.log
23.05.2009 08:08 7.775 kl-setup-2009-05-23-08-06-02.log
23.05.2009 08:08 4.847.300 kl-install-2009-05-23-08-06-02.log
23.05.2009 08:06 4.092 kleaner (pid 2180) 2009-05-23 08-06-47.log
23.05.2009 08:06 18.717 kleaner (pid 2224) 2009-05-23 08-06-38.log
23.05.2009 08:06 8.442 kleaner (pid 2224) 2009-05-23 08-06-33.log
23.05.2009 08:06 12.700 tmpC0.tmp
21.05.2009 13:22 4.644 b88e_appcompat.txt
18.05.2009 04:24 8.866 8a94_appcompat.txt
18.05.2009 04:19 214 36eb_appcompat.txt
13.05.2009 23:27 1.424 4fe3_appcompat.txt
13.05.2009 04:03 3.143 QTInstallCode.log
13.05.2009 04:01 3.886 qtplugin.log
13.05.2009 01:12 11.422 dd_vcredistUI51F7.txt
13.05.2009 01:12 517.536 dd_vcredistMSI51F7.txt
12.05.2009 18:53 337.766 dd_dotnetfx35install.txt
12.05.2009 18:53 3.276 uxeventlog.txt
12.05.2009 18:52 240.986 dd_depcheck_NETFX_EXP_35.txt
12.05.2009 18:52 109.770 dd_dotnetfx35install_lp.txt
12.05.2009 18:52 3.443 dd_XPS_LP.txt
12.05.2009 18:52 379.406 dd_NET_Framework35_LangPack_MSI2EC5.txt
12.05.2009 18:52 1.334.984 dd_NET_Framework_30LP_Agile_Setup2EA1.txt
12.05.2009 18:52 1.740.892 dd_NET_Framework_20LP_Agile_Setup2E52.txt
12.05.2009 18:51 1.135.702 dd_NET_Framework35_MSI2DD6.txt
12.05.2009 18:51 30.052 WSFDF.tmp
12.05.2009 18:51 25.277 WSFDE.tmp
12.05.2009 18:51 3.418.164 dd_NET_Framework30_Setup2D0F.txt
12.05.2009 18:50 5.114 dd_wcf_retCA6BFF.txt
12.05.2009 18:50 4.012 dd_XPS.txt
12.05.2009 18:49 8.204.046 dd_NET_Framework20_Setup2B0E.txt
12.05.2009 18:49 4.706 ASPNETSetup_00000.log
12.05.2009 18:47 135.550 dd_RGB9RAST_x86.msi2B05.txt
12.05.2009 18:24 110.950 MSI92.tmp
133 Datei(en) 76.854.236 Bytes
0 Verzeichnis(se), 18.971.627.520 Bytes frei
Code:
ATTFilter Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.4 - Deutsch
Apple Software Update
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!WLAN
Bluetooth Stack for Windows by Toshiba
Canon MP510
CCleaner (remove only)
eMule
HijackThis 2.0.2
ICQ6.5
IrfanView (remove only)
Java(TM) 6 Update 15
Malwarebytes' Anti-Malware
Martin LightJockey version 2.8 build 1
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Language Pack - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (2.0)
Mozilla Thunderbird (2.0.0.22)
OpenOffice.org 2.3
PCI Audio Driver
Roxio WinOnCD 6 Power Edition
VLC media player 0.9.9
Winamp
Windows Internet Explorer 8
Windows-Treiberpaket - MobileTop (sshpmdm) Modem (02/23/2007 2.5.0.0)
Windows-Treiberpaket - MobileTop (sshpusb) USB (02/23/2007 2.5.0.0)
WinZip 11.1
XMedia Recode 2.1.0.3
|
|
08.08.2009, 05:15
| #6 |
| | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] Conficker Test 1: erste Spalte--> Test negativ Conficker Test 2: Auch negativ angegeben. Beim Kaspersky kommt eine Fehlermeldung, Dass das update failed und ich das nur machen kann wenn ich online bin...am Schluss der Fehlermeldung steht [Error:Key is Expired], kann das an der ActiveX-Geschichte liegen? Wie aktivier ich das?Mein Browser ist der FF...geht das? |
|
10.08.2009, 10:16
| #7 | |||
| /// Helfer-Team | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] hi Zitat:
Zitat:
gehe bitte wie folgt vor: Zitat:
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! |
|
10.08.2009, 18:36
| #8 |
| | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] So, nächste Runde... Kaspersky funzt immer noch nicht, obwohl ich bei den Active-X-Geschichten so ziemlich alles erlaubt hab was ich gefunden hab. Dann hab ich GMER runtergeladen, den WLAn-Stick rausgerupft, Avira deaktiviert, Win Firewall deaktiviert, Gmer durchlaufen lassen.Da ich beim ersten Versuch das ganze aus Versehen wieder weggeklickt hab anstatt das Logfile zu kopieren ab ich das Ganze 2 mal gemacht :-) Ich hoffe es gibt kein Schadprogramm das das erkennt und sich beim 2. Versuch versteckt hat Beim Bildschirm vom GMER war rechts alles angehakt, in dem kleinen Fenster hab ich sowohl C als auch F (meine ext Festplatte) angehakt, die ist aber glaub nicht durchsucht worden...beschränkt sich GMER auf die Systemplatte?Na-vielleicht hab ich´s auch nur nicht mitbekommen. Meine angeschlossenen USB-Sticks wurden da gar nicht aufgeführt. Darunter war noch ein Kästchen "ADS", das war auch aktiviert. Logfile Gmer: Code:
ATTFilter GMER 1.0.15.15020 [m5gd08ln.exe] - http://www.gmer.net
Rootkit scan 2009-08-10 19:23:55
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT F7EF2366 ZwCreateKey
SSDT F7EF235C ZwCreateThread
SSDT F7EF236B ZwDeleteKey
SSDT F7EF2375 ZwDeleteValueKey
SSDT F7EF237A ZwLoadKey
SSDT F7EF2348 ZwOpenProcess
SSDT F7EF234D ZwOpenThread
SSDT F7EF2384 ZwReplaceKey
SSDT F7EF237F ZwRestoreKey
SSDT F7EF2370 ZwSetValueKey
SSDT F7EF2357 ZwTerminateProcess
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1296] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd502a95
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd502a95 (not active ControlSet)
---- EOF - GMER 1.0.15 ----
Bin ja gespannt was die Auswertung sagt. |
|
11.08.2009, 12:19
| #9 | ||
| /// Helfer-Team | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] hi wegen Kaspersky: Zitat:
 - Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen, halte dabei die Shift-Taste gedrückt! - Lade das Combofix von einem der folgenden Download Spiegel herunter: BleepingComputer - ForoSpyware - Wichtig!: installiere auf den Desktop - Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren - Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten! - Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen - Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren - bestätige mit "ja", damit den Suchlauf automatisch beginnen kann Zitat:
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung |
|
11.08.2009, 12:42
| #10 |
| | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] Also...ich deaktiviere Avira und die Win-Firewall. Schliesse sämtliche Programme. Stöpsel alles ein was geht-auch den Stick von dem ich weiss dass er infiziert war/ist (siehe oben)? Ähm-WLan-Stick auch weg? Combo vorher auf den Desktop, starten, ich weiss grad gar nicht ob die Systemwiederherstellung aktiv ist... Dass wir Combofix laufen lassen, heisst das dass da was grösseres ist oder ist das ne weitere Vorsichtsmassnahme?Glaub den nutzt ihr sonst nur wenn eigentlich schon fast alles zu spät ist. Dachte das wär ne Art Tool mit dem man vorhandene bösartige Infektionen vielleicht noch retten kann. Ähm...Combofix als Combofix laufen lassen oder sicherheitshalber umbenennen? Und...beim lesen der Combofix-Anleitung ist mir aufgefallen dass er ja zum installieren derWiederherstellung Internet braucht, geht das dass ich Combo anfange, mit Internet bis zu diesem Punkt, und nach dieser Installation das Internet kappe und mit dem eigentlichen Scan fortfahre? Und, als letztes...anfangs hattest du mich sämtliche versteckten und Systemdateien sichtbar machen lassen, das braucht man für solche Programme wie Combofix nicht, oder? Geändert von ReBlubb (11.08.2009 um 13:00 Uhr) |
|
11.08.2009, 13:29
| #11 |
| /// Helfer-Team | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] - Stöpsel alles ein was geht-auch den Stick von dem ich weiss dass er infiziert war/ist (siehe oben)? ** richtig - Combo vorher auf den Desktop, starten, ich weiss grad gar nicht ob die Systemwiederherstellung aktiv ist... ** das ist prinzipiell egal, wird ein Systempunkt erstellt - Dass wir Combofix laufen lassen, heisst das dass da was grösseres ist oder ist das ne weitere Vorsichtsmassnahme?Glaub den nutzt ihr sonst nur wenn eigentlich schon fast alles zu spät ist. Dachte das wär ne Art Tool mit dem man vorhandene bösartige Infektionen vielleicht noch retten kann. **besonders Infektion mit Worm.Win32.AutoRun sehr nützlich bzw den möglichen Speichermedien durchzuchecken - Ähm...Combofix als Combofix laufen lassen oder sicherheitshalber umbenennen? ** ist nicht nötig, aber kannst ja vorsichtshalber machen - Und...beim lesen der Combofix-Anleitung ist mir aufgefallen dass er ja zum installieren derWiederherstellung Internet braucht, geht das dass ich Combo anfange, mit Internet bis zu diesem Punkt, und nach dieser Installation das Internet kappe und mit dem eigentlichen Scan fortfahre? ** meinst die `Wiederherstellungskonsole`? Falls noch nicht vorhanden, Combo erledigt die Installation ** lass alles sowie ist, die Verbindung nicht trennen! Anweisungen folgen, dann nicht mehr am Pc etwas machen!! - Und, als letztes...anfangs hattest du mich sämtliche versteckten und Systemdateien sichtbar machen lassen, das braucht man für solche Programme wie Combofix nicht, oder? **Combo braucht nicht, aber ich |
|
11.08.2009, 13:51
| #12 |
| | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] Allllsoooooo...Der erste Versuch schlug fehl, hab das Programm aktiviert, aber als ich dann die Tastatur weglegen wollte hab ich sie blöd wie ich bin an der Standby-Taste festgehalten :-) beim nächsten Versuch hat´s hingehauen. Dann wird mein Windows in den Eigenschaften als "Professional" angegeben, deswegen hab ich die Combofix-Frage ob das ne home-ed ist mit "nein" beantwortet-funktioniert hat´s zumindest. Nach dem Combofix-Durchlauf hat mein Rechner etwas gesponnen... 1.Zeigt er mir in der Taskecke meinen WLAn-Stick nicht mehr an, und 2.Haben Maus u. Tastatur etwas rumgezickt...wenn ich irgendwo geklickt hab, dann wurde alles bis dahin markiert, und zum einloggen hab ich 4 Versuche gebraucht weil die "Shift"-Taste nicht funktioniert hat, gleichzeitig hat er alles was ich im Inet angeklickt hab in nem neuen Fenster aufgemacht...aber jetzt läuft´s soweit wieder. Hier das Log: Code:
ATTFilter ComboFix 09-08-10.06 - Olli 11.08.2009 14:24.2.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Olli\Desktop\ComboFix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2009-07-11 bis 2009-08-11 ))))))))))))))))))))))))))))))
.
2009-08-06 13:19 . 2009-08-06 13:19 152576 ----a-w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-05 23:32 . 2009-08-05 23:32 -------- d-----w- c:\winxp\Sun
2009-08-05 23:31 . 2009-07-25 03:23 411368 ----a-w- c:\winxp\system32\deploytk.dll
2009-08-05 23:31 . 2009-08-06 13:20 -------- d-----w- c:\programme\Java
2009-08-05 23:30 . 2009-08-05 23:30 152576 ----a-w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-08-04 22:05 . 2009-08-04 22:06 -------- d-----w- c:\winxp\system32\NtmsData
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-11 12:20 . 2008-04-14 12:00 80464 ----a-w- c:\winxp\system32\perfc007.dat
2009-08-11 12:20 . 2008-04-14 12:00 448918 ----a-w- c:\winxp\system32\perfh007.dat
2009-08-11 11:59 . 2009-06-05 07:26 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-08-10 19:30 . 2009-05-13 01:53 1 ----a-w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-08-10 19:30 . 2009-05-13 01:52 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\OpenOffice.org2
2009-08-05 21:50 . 2009-05-16 04:40 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-05 21:50 . 2009-05-28 03:23 3942048 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-05 15:11 . 2009-05-12 23:13 55656 ----a-w- c:\winxp\system32\drivers\avgntflt.sys
2009-08-03 11:36 . 2009-05-16 04:40 38160 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2009-05-16 04:40 19096 ----a-w- c:\winxp\system32\drivers\mbam.sys
2009-08-01 12:45 . 2009-05-13 00:18 -------- d-----w- c:\programme\eMule
2009-07-29 00:02 . 2009-05-13 01:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-07-28 14:18 . 2009-05-13 16:47 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\dvdcss
2009-07-06 13:57 . 2009-05-13 01:06 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\ICQ
2009-06-27 17:45 . 2009-06-27 17:40 -------- d-----w- c:\programme\XMedia Recode
2009-06-16 15:17 . 2009-06-16 15:17 -------- d-----w- c:\programme\Toshiba
2009-05-26 23:26 . 2009-05-26 23:17 5632 ----a-w- c:\winxp\system32\drivers\StarOpen.sys
2006-10-11 08:04 . 2009-05-12 23:47 61036 ----a-w- c:\programme\mozilla firefox\components\jar50.dll
2006-10-11 08:04 . 2009-05-12 23:47 48742 ----a-w- c:\programme\mozilla firefox\components\jsd3250.dll
2006-10-11 08:05 . 2009-05-12 23:47 29313 ----a-w- c:\programme\mozilla firefox\components\myspell.dll
2006-10-11 08:05 . 2009-05-12 23:47 41082 ----a-w- c:\programme\mozilla firefox\components\spellchk.dll
2006-10-11 08:04 . 2009-05-12 23:47 166510 ----a-w- c:\programme\mozilla firefox\components\xpinstal.dll
.
------- Sigcheck -------
[-] 2008-05-09 22:35 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2009-05-07 1904640]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\winxp\system32\bthprops.cpl [2008-04-14 110592]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=c:\winxp\pss\Bluetooth Manager.lnkCommon Startup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\WINXP\\system32\\mmc.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:eMule-TCP
"4672:UDP"= 4672:UDP:eMule-UDP
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [13.05.2009 01:13 108289]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [07.05.2009 02:01 265088]
S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [07.05.2009 02:01 4352]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\winxp\system32\rundll32.exe" "c:\winxp\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.Google.de
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
FF - component: c:\programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-11 14:27
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(628)
c:\winxp\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3408)
c:\winxp\system32\ieframe.dll
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2009-08-11 14:29
ComboFix-quarantined-files.txt 2009-08-11 12:29
Vor Suchlauf: 8 Verzeichnis(se), 19.241.033.728 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 19.381.448.704 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
|
|
11.08.2009, 14:03
| #13 | |
| /// Helfer-Team | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] hi 1. Gmer kannst entfernen das Malwarebytes deinstallieren 2. Adobe Reader: sehe nach, ob neuere Versionen vorhanden sind 3. Code:
ATTFilter eMule Zitat:
am besten deinstallieren: unter "Start→ Systemsteureung→ Software→ Ändern/Entfernen..." 4. mache einen Neustart und berichte ob alles in Ordnung ist? Geändert von kira (11.08.2009 um 14:09 Uhr) |
|
11.08.2009, 14:21
| #14 |
| | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] So...Gmer ist weg, Combo hab ich auch gleich weg.Adobe ist upgedatet. Ich weiss, dass der Esel gern von euch kritisiert wird, und bestimmt zurecht...aber ich würd ihn nur sehr ungern deinstallieren, brauch ihn halt schon ab und zu, bin aber vorsichtig.Sofern man das bei dem sein kann. Malwarebyts hab ich deinstalliert, aber warum? Funktionieren tut jetzt alles-aber das war vorher auch schon der Fall, hatte ja keine Ausfälle sondern bin nur auf ein paar Sachen aufmerksam geworden. War mein Rechner jetzt unter´m Strich richtig infiziert oder hat mein Avira zwar viel gemeldet aber alles unter Kontrolle gehalten? Ich kann mit den Logfiles wenig anfangen. Die Sticks sind auch wieder sauber? Soll ich in den Windows-Einstellungen die automatischen upsdates aktivieren oder nicht?Betrifft dass Progs wie Adobe, firefox auch oder muss ich das bei denen eigens aktivieren?Wie wichtig sind die? Ich dachte sowas sei besser etwas einzuschränken, dass der Rechner nicht ganz soviel auf eigene Faust in der Gegend rumagiert. |
|
11.08.2009, 18:31
| #15 |
| /// Helfer-Team | WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] hi **Ich weiss, dass der Esel gern von euch kritisiert wird, und bestimmt zurecht...aber ich würd ihn nur sehr ungern deinstallieren, brauch ihn halt schon ab und zu, bin aber vorsichtig.Sofern man das bei dem sein kann. - es geht um Dein Rechner nicht meins **Malwarebyts hab ich deinstalliert, aber warum? - Technische Manipulation: Die Praxis zeigt, es gibt sehr viele verschiedene Arten der Malware, die installierte Schutzprogramme auf dem PC deaktivieren, bzw. löschen können. Als Surfer sollte Dir deshalb immer bewusst sein, dass auch Schutz und Spyprogramme etc. keinen 100%igen Schutz bieten! - Allgemein gilt: Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen **Die Sticks sind auch wieder sauber? - sieht gut aus **Soll ich in den Windows-Einstellungen die automatischen upsdates aktivieren oder nicht?Betrifft dass Progs wie Adobe, firefox auch oder muss ich das bei denen eigens aktivieren?Wie wichtig sind die? Ich dachte sowas sei besser etwas einzuschränken, dass der Rechner nicht ganz soviel auf eigene Faust in der Gegend rumagiert. - Genauso wichtig sind natürlich regelmäßige Updates der Software (nicht nur Windows), da immer wieder neue Gefahren in Form von Viren auftreten können. Kritische Sicherheitslücken in Browsern wie IE, Firefox, aber alle Anwendungen sollte man immer auf dem neuesten Stand halten Wenn du nicht so vergesslich bist...Du kannst das Update manuell durchführen - eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen: - Speichermedien bitte anschließen! - Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - nach jedem Scanvorgang starte dein system neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern Code:
ATTFilter bitdefender emsisoft f-secure Geändert von kira (11.08.2009 um 18:36 Uhr) |
|
| Themen zu WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] |
| abstürze, anfang, avira, blue, deaktiviert, doppelt, down, externe festplatte, festgestellt, festplatte, langsam, laufwerke, löschen, mausklick, meldung, nicht sicher, plötzlich, problem, rechner, suche, system, system volume information, systemstart, tr/trash.gen, trojan, worm/kido.ih.40 |
![WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]](iconimages/plagegeister-aller-art-deren-bekaempfung/worm-kido-ih-40-worm-tr-trash-gen-trojan_ltr.gif)
Hybrid-Darstellung
