Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wurm läuft als Thread unter explorer.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.11.2004, 12:00   #1
spheRe
 
Wurm läuft als Thread unter explorer.exe - Standard

Wurm läuft als Thread unter explorer.exe



Ich habe mir irgendeinen Wurm eingefangen, der als Thread unter dem Prozess explorer.exe läuft. Er versucht Verbindung zu anderen Rechnern auf Port 445 aufzubauen. Weiss jemand was das für ein Wurm ist und wie ich ihn wieder los werde?

Logfile of HijackThis v1.97.7
Scan saved at 11:56:52, on 24.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\m??t.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\taskmgr.exe
C:\programme\steam\steam.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Markus\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://more-pages.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\thitv.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.102/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.102/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.102/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\thitv.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://69.31.79.102/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://more-pages.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.102/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.102/search.html
F1 - win.ini: run=C:\WINDOWS\inetsrv\services.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {145E2E36-9557-E8ED-B3E6-8C523800B7CE} - C:\WINDOWS\d3fs.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\pfveu.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSSVC] "C:\WINDOWS\System32\svcsys.exe" 8192
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Stte] C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\m??t.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Richfind (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix:
O15 - Trusted Zone: www.google.de
O16 - DPF: v2cab - http://11889.searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098637674947
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/SexDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Alt 17.11.2004, 13:18   #2
Shadowdance
 
Wurm läuft als Thread unter explorer.exe - Standard

Wurm läuft als Thread unter explorer.exe



@ spheRe,

HijackThis v1.97.7 ist veraltet, die neue Version ist v1.98.2: http://www.trojaner-board.de/51130-a...ijackthis.html.

Du hast eine Menge Probleme auf dem Rechner und wirst sehr wahrscheinlich Dein System formatieren und neu installieren müssen. Aber führe bitte zunächst den eScan - laut Anweisung (bitte gut durchlesen) auf Deinem Rechner durch und teile uns das Ergebnis mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

SD
__________________


Alt 17.11.2004, 14:00   #3
spheRe
 
Wurm läuft als Thread unter explorer.exe - Standard

Wurm läuft als Thread unter explorer.exe



Hmm ja das sieht in der Tat nicht gut aus. Ich hab mal Antivir laufen lassen und er hat ca. 80 Viren, Trojaner, etc. gefunden, die ich dann alle gelöscht hab. Trotzdem hat auch der anschließende eScan noch einiges geliefert:


Wed Nov 24 13:47:05 2004 => File C:\WINDOWS\cstart.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:09 2004 => File C:\WINDOWS\simple1.exe infected by "TrojanDownloader.Win32.Delf.dh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:09 2004 => File C:\WINDOWS\szchost.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:09 2004 => File C:\WINDOWS\szchost.exe.bak infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:11 2004 => File C:\WINDOWS\win.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:17 2004 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:19 2004 => File C:\WINDOWS\System32\Cbklhm32.exe infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:22 2004 => File C:\WINDOWS\System32\CNJHGSHD.exe infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:42 2004 => File C:\WINDOWS\System32\FLMJRSBC.exe infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:45 2004 => File C:\WINDOWS\System32\HEABTBOC.exe infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:48 2004 => File C:\WINDOWS\System32\ibho2.dll infected by "TrojanClicker.Win32.Agent.h" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:53 2004 => File C:\WINDOWS\System32\isearch2.dll infected by "TrojanClicker.Win32.Agent.h" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:59 2004 => File C:\WINDOWS\System32\KEEQOIHO.exe infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:48:48 2004 => File C:\WINDOWS\System32\Q184925.dll infected by "TrojanDownloader.Win32.Agent.do" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:48:48 2004 => File C:\WINDOWS\System32\Q215059.dll infected by "TrojanDownloader.Win32.Agent.do" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:48:48 2004 => File C:\WINDOWS\System32\Q338206.dll infected by "TrojanDownloader.Win32.Agent.do" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:48:50 2004 => File C:\WINDOWS\System32\QQEJFOED.exe infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:48:51 2004 => File C:\WINDOWS\System32\r.exe infected by "Trojan.Win32.Small.j" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:48:52 2004 => File C:\WINDOWS\System32\RCFBKTDJ.exe infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:49:07 2004 => File C:\WINDOWS\System32\svcsys.exe infected by "Trojan.Win32.Fatoos.b" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:49:25 2004 => C:\WINDOWS\System32\vbiewer.ocx possibly infected and removed by background antivirus package!
Wed Nov 24 13:49:25 2004 => File C:\WINDOWS\System32\vbiewer.ocx infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:49:38 2004 => File C:\WINDOWS\System32\xqmwx.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.


Und hier nochmal ein HijackThis Log mit einer aktuellen Version:


Logfile of HijackThis v1.98.2
Scan saved at 13:40:46, on 24.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Anwendungen\Sicherheit\Antivir\AVGNT.EXE
C:\Anwendungen\Sicherheit\Antivir\AVGUARD.EXE
C:\Anwendungen\Sicherheit\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Anwendungen\Sicherheit\Antivir\AVWIN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Markus\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.102/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://more-pages.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.102/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.102/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.102/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\thitv.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.102/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\thitv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://69.31.79.102/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://more-pages.com/search/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {145E2E36-9557-E8ED-B3E6-8C523800B7CE} - C:\WINDOWS\d3fs.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Anwendungen\Sicherheit\Antivir\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Richfind - {438E2D7A-B422-4889-BAFE-AB86E54BA70C} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix:
O15 - Trusted Zone: www.google.de
O16 - DPF: v2cab - http://11889.searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098637674947
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/SexDownloader.cab
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Mkedgoek.dll (file missing)


Was soll ich jetzt tun, die ganzen Files die der eScan als infiziert identifiziert hat löschen? Ist dann das System wieder sauber oder muss ich noch mehr tun?
__________________

Alt 17.11.2004, 16:46   #4
*Christian*
Gast
 
Wurm läuft als Thread unter explorer.exe - Standard

Wurm läuft als Thread unter explorer.exe



1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Alt 17.11.2004, 21:11   #5
spheRe
 
Wurm läuft als Thread unter explorer.exe - Standard

Wurm läuft als Thread unter explorer.exe



Ja ok formatieren ist natürlich immer die Notlösung und die Tipps sind ja auch vernünftig, aber wenn s geht würd ich eine Neuinstallation doch gerne vermeiden. Reichts denn nicht die ganzen Teile zu löschen? Wieso meinst du ist es unbedingt notwendig zu formatieren? Hab ich irgendeinen Virus der sich nicht auch anders entfernen lässt?


Alt 17.11.2004, 21:23   #6
Cidre
Administrator, a.D.
 
Wurm läuft als Thread unter explorer.exe - Standard

Wurm läuft als Thread unter explorer.exe



Aufgrund dessen, dass dein System nicht ausreichend gepatcht und sicher konfiguriert wurde, zu allem Überfluss aktive TrojanDownloader und Würmer mit Backdoor Funktionalität ihren Dienst tun, solltest du in deinem eigenen Interesse dein System neu aufsetzen, da eine Bereinigung mittels AV Scanner unzureichend wäre.

Siehe
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
__________________
--> Wurm läuft als Thread unter explorer.exe

Alt 22.11.2004, 13:33   #7
spheRe
 
Wurm läuft als Thread unter explorer.exe - Standard

Wurm läuft als Thread unter explorer.exe



Ok wenn s denn sein muss setz ich das System halt neu auf. Also danke für eure Hilfe! Vollständig überzeugt bin ich jedoch immer noch nicht, denn im Prinzip würde dann die Antwort auf jeden Thread hier formatieren und neu aufsetzen lauten. Sicher kann man ein einmal komprpmitiertes System in der Theorie nicht mehr als sicher betrachten, aber jegliche Daten die auf einem kompromitierten System sind und von denen keine Prüfsummen vorliegen, als einen "Fall für die Mülltonne" zu erachten, erscheint mir doch übertrieben. Solche Sicherheitsrichtlinien sind vielleicht für hochsensible Daten von Firmen oder Behörden angebracht, beim normalen Heimnutzer meiner Meinung nach jedoch stark übertrieben. Trotzdem danke für eure Hilfe!

Alt 22.11.2004, 14:46   #8
Shadowdance
 
Wurm läuft als Thread unter explorer.exe - Standard

Wurm läuft als Thread unter explorer.exe



@ spheRe

Zitat:
Zitat von spheRe
Hmm ja das sieht in der Tat nicht gut aus. Ich hab mal Antivir laufen lassen und er hat ca. 80 Viren, Trojaner, etc. gefunden, die ich dann alle gelöscht hab. Trotzdem hat auch der anschließende eScan noch einiges geliefert:

Wed Nov 24 13:47:09 2004 => File C:\WINDOWS\simple1.exe infected by "TrojanDownloader.Win32.Delf.dh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:09 2004 => File C:\WINDOWS\szchost.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:17 2004 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:22 2004 => File C:\WINDOWS\System32\CNJHGSHD.exe infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:47:42 2004 => File C:\WINDOWS\System32\FLMJRSBC.exe infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
Wed Nov 24 13:49:38 2004 => File C:\WINDOWS\System32\xqmwx.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Du hast u.a. Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten - auf dem System. Die anderen Viren kannst Du selbst in der Sophos Viren-Enzyklopädie aufsuchen. Das Vorhandensein des "Backdoor.Win32.Rbot.gen" auf einem System reicht, um das System formatieren zu müssen. Dein System ist kompromittiert. Dieser Wurm mit Backdoor-Funktionalität erlaubt Dritten den Fernzugriff auf Deinen Rechner. Alles, was Du auf Deinem Rechner tust, muss als bekannt angenommen werden, incl. Deiner Passworte. Du hast einen Spion auf dem eigenen System, der voll über Deinen Rechner verfügen kann.

Lies hierzu auch: Lutz' Datensicherung sowie: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD

Antwort

Themen zu Wurm läuft als Thread unter explorer.exe
adobe, avg, bho, dateien, desktop, dll, einstellungen, explorer.exe, hijack, hijackthis, icq, internet, internet explorer, messenger, microsoft, nvcpl.dll, object, port, port 445, programme, prozess, rundll, shockwave, software, sun java, system, unter, windows, windows xp, wurm



Ähnliche Themen: Wurm läuft als Thread unter explorer.exe


  1. WIN10 installiert, Rechner läuft sehr langsam und unter manchen Userkonten kein Mozilla möglich
    Log-Analyse und Auswertung - 21.02.2016 (2)
  2. Log Auswertung: HijackThis und MBAM unter Windows 10, welches träge läuft.
    Log-Analyse und Auswertung - 23.08.2015 (8)
  3. Lüfter läuft ständig auf hochtouren obwohl CPU normal läuft unter w7 home premium 32bit serv.pck 1 DANKE!
    Log-Analyse und Auswertung - 09.09.2014 (12)
  4. Mehrere unbekannte Prozesse im Taskmanager - unter anderem Wurm
    Log-Analyse und Auswertung - 28.06.2014 (5)
  5. Optimizer Pro unter Windows 7: Laptop läuft nicht mehr richtig
    Log-Analyse und Auswertung - 12.11.2013 (18)
  6. CPU Kern 1 läuft unter Dauerlast
    Log-Analyse und Auswertung - 08.04.2013 (5)
  7. InternetStick läuft unter Win7 nicht
    Netzwerk und Hardware - 22.10.2012 (2)
  8. Windowsanmeldung dauert sehr lang; im Leerlauf läuft Lüfter unter Volllast
    Alles rund um Windows - 31.05.2012 (10)
  9. Log analyse - internet explorer läuft langsam
    Log-Analyse und Auswertung - 06.11.2011 (2)
  10. Internet explorer läuft mehrfach im hintergrund
    Log-Analyse und Auswertung - 12.05.2011 (36)
  11. Internet Explorer läuft im Hintergrund mit
    Log-Analyse und Auswertung - 27.07.2010 (33)
  12. call of duty 2 1.3 unter Vista läuft nicht
    Alles rund um Windows - 20.06.2009 (1)
  13. Wie fixe ich den Lovgate (Lovegate)-Wurm unter Vista?
    Log-Analyse und Auswertung - 22.02.2009 (10)
  14. Inet Explorer läuft im Hintergrund und Pop ups poppen auf.
    Log-Analyse und Auswertung - 01.11.2008 (1)
  15. Internet Explorer läuft im Hintergrund
    Log-Analyse und Auswertung - 03.04.2007 (4)
  16. internet explorer läuft die ganze zeit
    Plagegeister aller Art und deren Bekämpfung - 27.06.2006 (6)
  17. Welchen CD-Brenner kaufen der auch unter Mandrake 9.2 läuft?
    Netzwerk und Hardware - 24.11.2003 (6)

Zum Thema Wurm läuft als Thread unter explorer.exe - Ich habe mir irgendeinen Wurm eingefangen, der als Thread unter dem Prozess explorer.exe läuft. Er versucht Verbindung zu anderen Rechnern auf Port 445 aufzubauen. Weiss jemand was das für ein - Wurm läuft als Thread unter explorer.exe...
Archiv
Du betrachtest: Wurm läuft als Thread unter explorer.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.