|
Hallo Leude! Das is mein Problem: Wenn ich Anti-Trojaner öffne, den Scan starte (oder auch ned, das spielt wahrscheinlich keine Rolle), dann schließt sich das Programm in unregelmäßigen Zeitabständen ganz von allein. Den Reg Scan hab ich trotzdem einmal durchbekommen (nix gefunden), genauso den Port Scan (natürlich Port 5000 offen). Den Platten Scan kann ich allerdings vergessen. Auch der Antivir Guard (nicht das Hauptprogramm) schließt sich bei mir von allein. Da ist es mir allerdings egal, weil das Proggy trotzdem im Hintergrund weiterläuft. Das Anti Vir Hauptprogramm findet beim Komplettscan jedoch nix. F-Prot im DOS Modus auch ned. Ad Aware hat über 300 Sachen gefunden. Alle gelöscht. Meine Ausgangsproblemstellung (wegen der ich die ganzen Viren/Trojaner Scans mach): Seit nem Monat hab ich in einem Online Game (Diablo 2 wers wissen will) das Problem, dass das Spiel im Online Modus bis zu eine Minute einfriert, und dann die vergangene Minute (die ich nicht gesehen habe) in einer paar Sekunden vor mir abgespielt wird. In dieser Freeze Minute ist die Online Verbindung ständig in Action. Allerdings bezweifle ich, dass in der Minute von einem anderen Programm (Virus/Trojaner) Daten geladen werden, da das in einem normalen Lag enden würde. Im Single Player (offline) habe ich dieses Problem nicht, und da habe ich auch keine anderen Programme im Hintergrund laufen als im Online Mode. Das Problem besteht providerunabhängig. In einem Diablo2 Forum mit ein paar tausend Mitgliedern habe ich genau eine Person gefunden, die (bloß mit dem Spiel) vom gleichen Problem berichtet. Diese Person benutzt wie ich ISDN (Zufall?). Ich nutze ISDN/Win ME/DX 7.0/Riva TNT/P2 400Mhz/192MB RAM Kann das jemand mit einem Trojaner/Virus oder anderem Problem in Zusammenhang stellen? Ich rätsle jetzt schon eine ganze Weile dran rum, und finde einfach keine Lösung... PS.: Wenn das hier das falsche Forum ist, dann moved den Thread, und hinterlasst mir irgendwie einen Link zur neuen Location! Danke schon mal im Voraus! |
Also einen Virus in bezug auf Diablo2 kenne ich jetzt nicht. Aber dir sollte es nicht egal sein, wenn das Icon von AVPE verschwindet, denn das deutet auf einen Virus hin. Nimm mal KAV www.datsec.de und scann mal deinen PC. Björn [img]smile.gif[/img] |
Hallo! </font><blockquote>Zitat:</font><hr />Original erstellt von RAMsesist: Wenn ich Anti-Trojaner öffne, den Scan starte (oder auch ned, das spielt wahrscheinlich keine Rolle), dann schließt sich das Programm in unregelmäßigen Zeitabständen ganz von allein.</font>[/QUOTE]Du meinst Anti-Trojan? Das Schließen des Programmes ist verdächtig, v.a. in Verbindung mit dieser Beobachtung: </font><blockquote>Zitat:</font><hr />Auch der Antivir Guard (nicht das Hauptprogramm) schließt sich bei mir von allein. Da ist es mir allerdings egal, weil das Proggy trotzdem im Hintergrund weiterläuft.</font>[/QUOTE]Woher glaubst du zu wissen, dass der Guard, trotzdem er geschlossen wird, weiterhin läuft? Liste doch bitte mal _alle_ laufenden Prozesse auf. Daraus kann man ggf. mehr ersehen... Wenn der Prozess-Viewer von Anti-Trojan nicht funktioniert, bediene dich z.B. der Programme Trojancheck (trojancheck.de) oder Spybot (security.kolla.de) und nutze dann deren Prozessviewer. [ 16. Juni 2003, 22:43: Beitrag editiert von: mmk ] |
Hi ramsesist, Du hast AntiVir PE, nicht war ;) . Dann melde dich im AVPE-Forum. 1. </font><blockquote>Zitat:</font><hr /> ... Wenn ich Anti-Trojaner öffne, den Scan starte (oder auch ned, das spielt wahrscheinlich keine Rolle), dann schließt sich das Programm in unregelmäßigen Zeitabständen ganz von allein. </font>[/QUOTE]...dies ist kein gutes Zeichen. De- und neuinstallation hast du schon gemacht? 2. </font><blockquote>Zitat:</font><hr /> ..natürlich Port 5000 offen... </font>[/QUOTE]...wenn's um Port 5000 geht und du keine PC-gesteuerte Waschmaschine uder Staubsauger in deinem Haushalt hast, mach den einfach dicht GRC.com macht's möglich ;) . 3. </font><blockquote>Zitat:</font><hr /> Den Platten Scan kann ich allerdings vergessen. </font>[/QUOTE]...warum? Was hast du versucht, mit welchen Ergebnissen/Fehlermeldungen? 4. </font><blockquote>Zitat:</font><hr /> ....Auch der Antivir Guard (nicht das Hauptprogramm) schließt sich bei mir von allein. </font>[/QUOTE]..gar nicht gut. Gerade heute wurde das Thema besprochen. 5. </font><blockquote>Zitat:</font><hr /> Da ist es mir allerdings egal, weil das Proggy trotzdem im Hintergrund weiterläuft. </font>[/QUOTE]..woher möchtest du das wissen? 6. </font><blockquote>Zitat:</font><hr /> ...Das Anti Vir Hauptprogramm findet beim Komplettscan jedoch nix. </font>[/QUOTE]..welche Programm-/VDF-Version läuft bei dir? Und das passt mit dem P.5 gar nicht zusammen :confused: vorerst empfehle ich : a. Rechner sauber machen (TIF, TEMP, Papierkorb...) b. Anivir-Proggi deinstallieren c. Trendmicro Housecall Onlinescan oder Bitdefender (dito). d. Ergebnisse posten mit Dateiname(n), Pfad, ggf, Virenname(n) OHNE ABKÜRZUNGEN . Suche in dem BB oder AntiVir-Forum nach Schlüsselwörtern: Du bist nicht der Erste (vermute ich ;) ) |
Offline Prozesse: kernel32.dll msgsrv32.exe mmtask.tsk mprexe.exe mstask.exe explorer.exe taskmon.exe systray.exe starter.exe upd.exe ndetect.ece em_exec.exe icqpager.exe bnetupdate.exe wmiexe.exe iwatch.exe spool32.exe ebaytbar.exe atwatch.exe Online Prozesse kommen gleich! |
Hinzu kommen Online: rnaapp.exe tapisrv.exe smartsurfer.exe icq.exe AT Guard schließt sich übrigens auch selber... |
</font><blockquote>Zitat:</font><hr /> icqpager.exe </font>[/QUOTE]...Backdoor.NetDevil.Dr... </font><blockquote>Zitat:</font><hr /> atwatch.exe </font>[/QUOTE]...ProcKill-AE... </font><blockquote>Zitat:</font><hr /> Online Prozesse kommen gleich! </font>[/QUOTE]...kann auch interessant sein. PS: habe ich vermutet: </font><blockquote>Zitat:</font><hr /> icq.exe </font>[/QUOTE]...W32.HLLW.Knon@mm.. [ 17. Juni 2003, 11:44: Beitrag editiert von: Rene-gad ] |
Bis auf den ProcKill Kram glaub ich nicht, dass irgendwas drauf is. Ich kontrollier aber mal alles. |
Nenne doch bitte auch noch jeweils die genauen Pfade. Darum empfahl ich ja, eines der Zusatztools zu nutzen, um diese ersehen zu können! |
NetDevil: Hab ich anscheinend tatsächlich. ProKill: Auch. Knon: Ich hatte zwar vor ein paar Wochen Probleme mit ICQ (das Ding hat das System zugeschaufelt), aber das war nach ein paar Tagen weg. Und die weiteren Angabe auf der Info Site stimmen nicht zu (keine der Reg Einträge sind zu finden, keine der Dateien, Nachrichten hab ich auch keine bekommen) Wieso findet der Av Scanner den Mist nicht? Wie bekomm ichs runter? Ach übrigens: Der Bezug zu Diablo besteht inzwischen auch. Ich habe mir das Erstellungsdatum von "Icqpager.exe" angeschaut, und alle anderen Dateien, die am selben Tag editiert/erstellt wurden herausgesucht. Siehe da: Bnetupdate (<= Diablo) war auch darunter. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Lucky: Also einen Virus in bezug auf Diablo2 kenne ich jetzt nicht. Aber dir sollte es nicht egal sein, wenn das Icon von AVPE verschwindet, denn das deutet auf einen Virus hin. Nimm mal KAV www.datsec.de und scann mal deinen PC. Björn [img]smile.gif[/img] </font>[/QUOTE]KAV werd ich frühestens am DO. runterladen (I Net kostenlos). Mal schaun obs was bringt. </font><blockquote>Zitat:</font><hr />Original erstellt von mmk Woher glaubst du zu wissen, dass der Guard, trotzdem er geschlossen wird, weiterhin läuft? </font>[/QUOTE]Ich öffne das Programm, schau mir die Datei Zahl an, => es schließt sich Ich öffne das Programm nachdem ich irgendwas mit dem PC gemacht hab => Zahl dementsprechend angestiegen. Außerdem hat das Ding einmal nen frischen Hantaner erkannt und sofort Alarm geschlagen, nachdem er auf der Platte war. Wo finde ich in WinME alle laufenden Prozesse aufgelistet? Strg+Alt+Entf oder was meinst du? @Rene: zu 1. Bringt rein gar nix. zu 2. Sowas mach ich von Hand. zu 3. Lesen bildet: Programm Shutdown nach unbestimmter Zeit. zu 4. Dass das nicht gut ist weiß ich selber. Hielts aber bisher für nen simplen Programfehler. Außerdem bin ich jetz zu faul und zu müde um den ganzen Kram zu lesen ;). Morgen vielleicht. Oder sag mir einfach, was dabei rausgekommen ist. zu 5. siehe oben. zu 6. immer die aktuellste Version. zu ONLINESCAN: Der funzt bei mir ned, weil es (angeblich) nicht meine IP ist. Witzbolde. Ich hab keine FW und keine Proxies dazwischen, also wessen IP solls denn sein? |
</font><blockquote>Zitat:</font><hr />Original erstellt von RAMsesist: Wo finde ich in WinME alle laufenden Prozesse aufgelistet? Strg+Alt+Entf oder was meinst du?</font>[/QUOTE]Ja, das wäre die einfachste Lösung. Übersichtlicher wäre jedoch die Auflistung mit Hilfe eines Prozess-Viewers, wie er z.B. in Trojancheck und Spybot, aber auch in deinem Anti-Trojan enthalten ist. Somit ist gleich die Angabe dabei, wo jeweils die für den Prozess verantwortliche Datei liegt. Mit Hilfe dieser Angaben kann man schon deutlich weiter kommen... |
</font><blockquote>Zitat:</font><hr />..Nenne doch bitte auch noch jeweils die genauen Pfade. Darum empfahl ich ja, eines der Zusatztools zu nutzen, um diese ersehen zu können...</font>[/QUOTE]...und dann auch wahrscheinlich einfach löschen, aber noch brauchen wir... LESEN BILDET ;) </font><blockquote>Zitat:</font><hr />.. Ergebnisse ... mit Dateiname(n), Pfad, ggf, Virenname(n) OHNE ABKÜRZUNGEN ... </font>[/QUOTE] |
Ich schau mal ob ich das Find. Ich geh jetz schlafen. Morgen mehr! |
</font><blockquote>Zitat:</font><hr />Original erstellt von RAMsesist: Wieso findet der Av Scanner den Mist nicht?</font>[/QUOTE]Weil du _vor_ der Infektion den / die falschen (sprich in der Trojanererkennung schwachen) Scanner genutzt hast. Und nachdem die Malware nun aktiv ist, beendet sie weitere, neu installierte Scanner. </font><blockquote>Zitat:</font><hr />Original erstellt von RAMsesist: Wie bekomm ichs runter?</font>[/QUOTE]1.) Die entsprechenden Dateien löschen. 2.) Dazugehörige Registry-Einträge löschen. 3.) Systemwiederherstellung deaktivieren. 4.) System neu starten. 5.) Vernünftigen Virenscanner installieren (Kaspersky) 6.) System damit durchscannen & auf weitere Malware prüfen. |
</font><blockquote>Zitat:</font><hr /> ...NetDevil: Hab ich anscheinend tatsächlich. ProKill: Auch... </font>[/QUOTE]sorry, aber ich möchte noch 'ne blöde Frage stellen: wo hast du diese Infos her? Hast du doch ein funktionierendes AV-Proggi? |
hi der netdevil sollte von avpe in sechs varianten gefunden werden. falls es der prockill ist: This trojan does not add itself to any autostart keys or copy itself to the Windows directory, so simply rebooting the computer will clear the trojan from memory. was soll denn da ein scanner finden? ;) gruß schlibo |
hi schlibo, </font><blockquote>Zitat:</font><hr /> ..der netdevil sollte von avpe in sechs varianten gefunden werden...</font>[/QUOTE]...das Prob dabei ist, dass IMHO genau Prockill hat AVPE lahmgelegt...Schau mal den Beitrag von RAMseist von 16.06.03 22:00 (Anfang des Threads). @RAMseist ...du hattest gestern keine Lust, dem Link im Punkt 4 in meinem Beitag von gestern um 22:30 zu folgen... |
Ich lösch dann die Dateien mal, und lad Kapersky (Do.). Greetz @ Schlibo :D |
</font><blockquote>Zitat:</font><hr />Original erstellt von RAMsesist: Ich lösch dann die Dateien mal, und lad Kapersky (Do.).</font>[/QUOTE]Achtung! Donnerstag (Fronleichnam) ist _kein_ bundeseinheitlicher Feiertag und somit auch _kein_ ISDN-XXL-Tag für kostenfreies Surfen im Internet. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad: ...das Prob dabei ist, dass IMHO genau Prockill hat AVPE lahmgelegt...Schau mal den Beitrag von RAMseist von 16.06.03 22:00 (Anfang des Threads).</font>[/QUOTE]hi rene-gad schon klar soweit. </font><blockquote>Zitat:</font><hr />Original erstellt von RAMsesist: Das Anti Vir Hauptprogramm findet beim Komplettscan jedoch nix.</font>[/QUOTE]da aber die avwin.exe vom prockill nicht betroffen ist, müsste der luke den netdevil finden - wenner denn da ist. @ ramsesist wenn es wirklich der prockill ist, dann findet kav auch nix. ich würde die dateien umbenennen und/oder verschieben - löschen kannst du ja immernoch. gruß schlibo [ 17. Juni 2003, 16:39: Beitrag editiert von: Schlibo ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: </font><blockquote>Zitat:</font><hr />Original erstellt von RAMsesist: Ich lösch dann die Dateien mal, und lad Kapersky (Do.).</font>[/QUOTE]Achtung! Donnerstag (Fronleichnam) ist _kein_ bundeseinheitlicher Feiertag und somit auch _kein_ ISDN-XXL-Tag für kostenfreies Surfen im Internet. </font>[/QUOTE]Danke für die Info. Ich hätt aber sonst selber nochmal nachgeschaut, das bleibt mir jetz halt erspart. Unglaubliche News: Ich habe jetzt die Dateien "bnetupdate.exe" (war im Ordner "Windows/System" und "icqpager.exe" (war im Windows Ordner) im DOS Modus gelöscht. Siehe da. DIE SCANNER SCHLIEßEN SICH NICHT MEHR! Was folgern wir daraus?: Doch kein ProcKill. An NetDevil glaube ich auch nicht, da in der Beschreibung nix von Scanner lahmlegen steht. Also war das irgendwas anderes? Ich schau jetz mal ob meine Spiel Probleme auch weg sind... |
</font><blockquote>Zitat:</font><hr />Original erstellt von RAMsesist: Unglaubliche News: Ich habe jetzt die Dateien "bnetupdate.exe" (war im Ordner "Windows/System" und "icqpager.exe" (war im Windows Ordner) im DOS Modus gelöscht. Siehe da. DIE SCANNER SCHLIEßEN SICH NICHT MEHR!</font>[/QUOTE]Ich finde das gar nicht "unglaublich", sondern einfach nur plausibel. Dass Malware Schutzprogramme beendet, ist nichts Außergewöhnliches, sondern im Alltag eher die Regel. Es war also ganz sicher eine Malware, die nicht auf den PC gehört. Du hättest die Dateien z.B. hier prüfen können: http://www.kaspersky.com/de/remoteviruschk.html |
Hättest mir das ned vorher sagen können? Das Spiel Problem ist übrigens immer noch da...ich befürchte fast, da hilft echt bloß noch FORMAT C: |
hi ramsesist schau mal ob du eine fwkill.exe und/oder eine winmoniter.exe im windowsordner hast. siehe auch hier: http://securityresponse.symantec.com...tdevil.dr.html gruß schlibo |
Hab ich nicht. Was ich allerdings hatte: Diskerazer auf meiner 2.t Partition. Hab grad das erste mal den Anti Trojan Scan komplett durchlaufen lassen, und das war das einzige was er finden und löschen konnte. Ich schau jetz mal was der Trojaner gemacht hat/hätte. |
Ich find keine Infos zu dem Ding! Kann mir mal jemand helfen? Link plz! |
Kann es sein, das der Diskerazer mit s geschrieben wird? Dann hätte ich einen gefunden: http://vil.nai.com/vil/content/v_99935.htm Björn [img]smile.gif[/img] |
hi ramsesist </font><blockquote>Zitat:</font><hr /> Ich habe jetzt die Dateien "bnetupdate.exe" (war im Ordner "Windows/System" und "icqpager.exe" (war im Windows Ordner) im DOS Modus gelöscht... </font>[/QUOTE]Von sich selbe isses kein Grund zur Freude ;) - wenn die *.exe-Dateien sich in Windoofs-Modus nicht löschen lassen, heißt es nur, dass die von System betrieben werden. Autostart und auch Registry-Einträge zu checken ist in dem Fall notwendig und höchst empfohlen. JV16-Power Tool (der Link s.u.)-damit kannst du beides tun. [ 17. Juni 2003, 18:17: Beitrag editiert von: Rene-gad ] |
Wie man in meiner Prozessauflistung deutlich sehen kann, wurden die beiden Dateien wirklich von Windoof benutzt. Darüber bin ich mir völlig im Klaren. Nu is es zu spät, hab beides gelöscht. Die Menschheit wird wohl nie erfahren, welcher Virus das nu wirklich war. |
</font><blockquote>Zitat:</font><hr /> ....Die Menschheit wird wohl nie erfahren, welcher Virus das nu wirklich war... </font>[/QUOTE]...schade, schade, schade :D . Aber Autostart + Registry sollst du doch checken: könnte es sein, dass die Dateien mit Nicht-Mehr-Zu-Erkennbaren Viren ein anderes Prozess gestartet haben? Deswegen die Autostart-Liste zu überwachen ist äußerst wichtig. Wenn du in der Liste einen Eintrag bemerkst, der für dich verdächtigt erscheint, sofort, am besten mit dem Google.de, prüfen, um was es sich handelt. Die anderen Tools, die ich allen Surfers emfehlen möchte, kannst du von den Links (s.u.) DL, (falls du es noch nicht gemacht hast ;) ) |
JV16 hab ich heruntergeladen und benutzt, ad-aware hab ich schon länger, die andern beiden Sachen kenn ich ned. Im Autostart war nix. Aber: Meine Gameprobleme sind weg, seit dieser Eras(z)er von der Platte ist. [img]graemlins/daumenhoch.gif[/img] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board