|
Huhu! oki jetzt reichts hab ich mir gedacht...hoffe ich finde hier hilfe. mein problem: nach etlichen full scans mit f-prot, dann KAV, dann NAV (immer upgedatet) habe ich etliche male die datei syscfg32.exe gelöscht. aus der registry und über all auch... also in der registry ist nichts mehr, auf der platte scheinen auch keine files mehr zu sein die irgendwie infiziert sind, laut nav.(gerade eben gescannt) hatte den sdbot drauf (irc trojaner) hab in c:\programme\ nen file gesehen uninstall.log, wo all diese installierten trojanerdateien die ich gelöscht habe draufstehen.. (nur als info) gerade eben hab ich nen neuen ordner in c:\winnt\system32\ gefunden: test3 heißt er.darin sind 2 inis wo steht welchen port er connecten soll und username usw... zudem noch secure.bat und web.swf(was ich auch schonmal geelöscht hab (laut nac + kav ist die datei infiziert) alles was ein trojaner halt braucht ^^. sorry dass das ganze nen bissel wirr wirkt was ich hier aufschreib... ah sehr schön sehe grad auf c:\ eine datei winsys.exe ist 100% wieder ne trojaner datei also mein prob ist: egal was ich lösch, der scheiss trojaner installiert sich immer wieder selbst. bin am ende meiner kräfte ud nerven. hoffe ihr könnt mir helfen! ich kann euch alle möglichen registry einträge, systemprozesse die laufen, usw posten... trojancheck 6 report alles vorhanden. müsst nur schreiehn was ihr für infos braucht, ich geb sie euch! ich will das scheissteil unbedingt loswerden! das is so verdammt hartnäckig! ps.: wa mir grad noch einfällt: hatte TCMonitor (registrymonitor, vom cleaner mitgeliefert) laufen und ganz willkürlich hat der neue registry einträge alarmiert. zb der bekannte system configuration loader (sdbot). dass hab ich dann gelöscht, neugestartet. 1 tag ruhe gehabt, dann hat der monitor wieder alarmiert. gleicher registry eintrag. also falls ihr irgendwelche laufenden systemprozesse wissen müsst um dem problem auf die schliche zukommen, ich bin sofort zur stelle. hoffe das klappt, bin kurz davor format c: zu machen... cu und danke im voraus |
Für den Anfang poste mal aus dem Trojancheck-Report die Registry-Standardeinträge. Läuft vielleicht im Hintergrund noch der Trojanerprozess? Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Hallo. Wenn ich es richtig verstanden habe, handelt es sich hier um einen Trojaner. Siehe hier!! Schau Dir dort auch mal die Links an. Vielleicht hilft es Dir. Gruß |
nav verträgt sich nicht unbedingt mit anderen av's... deinstallier nav mal, und probier kav dann nochmal... btw: welcher trojaner/virus/worm wird von kav diagnostiziert? [edit]<--- ok, hab's überlesen :D [/edit] [img]graemlins/teufel3.gif[/img] [ 20. Januar 2003, 21:20: Beitrag editiert von: n_dot_force ] |
oki thx mal für die beiträge [img]smile.gif[/img] hier der report: hier meine virenscanner history ist ca so: the cleaner (installiert) kav (installiert) kav (deinstalliert) nav (installiert) oki nu deinstall ich den wieder und versuch kav nochma hier der report von trojanchecker 6 standarteinträge: internat.exe --> für tastatur deutsch englisch und so point32.exe --> microsoft maus. is auch ok soundman.exe is auch ok [img]smile.gif[/img] shell spawning: überall standartwert ausser: hky classes root htafile\shell\open\command\ c:\winnt\system32\mshta32.exe und standartwert omg active setup sind viele [img]smile.gif[/img] und hier kann ich ned einfach kopieren und einfügen machen... aber könnte natürlich schon troji's drin haben... weil vieles hab ich noch nie gehört und weiss nix über die proggis. ich stell gleich mal den report online dann können die cracks unter euch das mal ansehen... als ich mit meinem registry monitor das ganze durchsah sin in registry schlüssel auch zb notepad.exe und nen cscript.exe zb in HKCR\JSFile\Shell\Open2\Command der wert cscript.exe keine ahnung ob win nt das braucht drum hab ich s mal gelassen mit löschen ^^ bis denmnächst [img]smile.gif[/img] [ 20. Januar 2003, 22:31: Beitrag editiert von: Dichter ] |
C:\WINNT\system32\STDE9.exe/web.swf Infiziert Backdoor.IRC.Zcrew gestern gelöscht heute wieder da... und gleich wieder gelöscht... mir bleibt die frage offen: woher kommt der müll? ich führ die datei nicht aus... ich führe nur dateien aus, die gescannt worden sind. hoffe weiterhin auf besserung [img]smile.gif[/img] |
Schau mal in die berühmten ini-Dateien des Systems...Wahrscheinlich ist noch eine Datei vorhanden, die da irgendwo aufgerufen wird und dann alles neu installiert. |
Du musst definitiv etwas übersehen haben in deinem Autostart. Ich kann dich nur bitten, alles, aber auch ALLES, was dir mittels Start->Ausführen->MSCONFIG (Enter) Register Auto-bzw. Systemstart angezeigt wird, nochmals hier aufzulisten. Selbst bei einem abgespecktem System wie meinem sind das so um die 10-12 Einträge, woraus dann mit einem ProzessViewer angezeigt, locker um die 20 laufende Hintergrundprozesse resultieren. |
oki hab mal n bissel gegoogelt und gefunden bei trendmicro: ich hab in der registry rumgeschnüffelt n paar einträge mit irc und adp gelöscht hört sich jetzt halbpatzig an aber alles genau nach vorschrift lauft trnedmicro. dann hab ich nochmal mein system durchgescannt, nix gefunden, also clean. [img]smile.gif[/img] @someboy hab den report des trojanchecker 6 hochgeladen irgendwo weiter oben, da sind die inis schon gechekct, hab ich auch manuell schon gemacht. @iron hab win2000 und den befehl msconfig findet er irgendwie ned, hab aber schonmal gehört... sorry ich steh aufm schlauch [img]graemlins/crazy.gif[/img] @all in der systemsteuerung in sofware finde ich immer wieder mirc auf... hab das weder downgeloadet noch installiert [img]smile.gif[/img] wenn ichs deinstallieren will kommt ne meldung dass es gar nimmer vorhanden ist und deshalb aus der "software" herausgenommen wird. ich löschs jetzt nochma und starte dann neu sehen ob noch was da ist dann... aber lansgam glaube ich, ich bin clean :cool: |
oki nichts mehr gefunden der kasperhimmel sieht auch nix mehr... aber wer weiß wie das wetter morgen wird gud nacht [img]smile.gif[/img] [img]graemlins/party.gif[/img] |
halli hallo ich bins wieder vorgestern hats wieder rumgemotzt. KAV hat was gefunden... ich bin höchstwahrscheinlich mit diesem teil infiziert: http://www.trendmicro.com/vinfo/viru...OJ_FLOOD.BI.DR ich bin mir nu ernsthaft am überlegen ob ich das system plattmachen soll. trojanhunter 3.0 hab ich ge dl't und upgedatet hat davor nichts gefunden. jetzt mach ich grad den hauscall von trendmicro. die dateien scvhost32.exe und stde9.exe und so sind alle wieder da... :( mein problem immernoch: ich weiss ned woher der kommt! von alleine kann sich der ja nicht installen oda? ich arbeite eigentlich nur mit den progs emule, trillian, meine mudder schiesst ab und zu nochn paar moorhühner runter, aber die files sind ja alle gescannt und clean! weitere vorschläge was ich nu machen soll? plattmachen? weiter bekämpfen? (sorry dass ich so rumnerv) |
Hm, musst halt wissen, ob du die Dateien, die im Moment drauf sind, unbedingt nocht brauchst bzw. musst sie vorher sichern. Dann ist das Plattmachen die simpelste Methode. Musst du selbst entscheiden ;) CC |
@all: Gibts die automatische Systemwiederherstellung schon bei Win2k? Das würde für Dichters Fall so Einiges erklären... ciao, Cyber [ 26. Januar 2003, 09:50: Beitrag editiert von: CyberFred ] |
Nope, die gibt es zum Glück nur für Me! |
hiho [img]smile.gif[/img] oki neuer stand der dinge: man glaubt es kaum: finde ich doch im ordner fonts ein paar unterordner bis es dann mal heißt hacked by nostradamus... appz, mp3z, gamez usw... ich bin ein public ftp :D jetzt wird er eigestampft... und dann werden als allererstes die gesamten dienste entbunden usw... noch ne kleine frage: kann ein proggi, das gescannt wurde und demnach clean ist, wenn es ausgeführt wurde, nach ein paar minuten: (das eigentliche prgramm läuft ohne probs) nen trojaner oder sonstwas instalieren? also obwohl es als clean gescannt wurde? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board