|
Hi Jack zum 2. mal krank??? So ich hab alles gemacht wie mir empfohlen wurde... neu aufgesetzt alle EXP updates und nu gehts wieder von vorne los? Meine I-Net Verbindung lahmt und lahm schon wieder... BITTE BITTE HILFE!!!! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:05:56, on 26.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\WINDOWS\Explorer.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe D:\Programme\HP\HP Software Update\HPWuSchd2.exe D:\WINDOWS\vsnpstd2.exe D:\Programme\Java\jre1.6.0_03\bin\jusched.exe D:\WINDOWS\system32\ctfmon.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\DOKUME~1\Robbe\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SNPSTD2] D:\WINDOWS\vsnpstd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\RunServices: [Application Layer Gateway Service] aIg.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198498631422 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198499640969 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe -- End of file - 5291 bytes |
Halli hallo. Hast du nach Anleitung neuaufgesetzt? Alle Platten komplett formatiert oder auch Daten gesichert? Suche mal bitte unter Beachtung des Links in meiner Signatur nach einer " aIg.exe " auf deinem Computer und lade sie bei VT hoch. Poste das Ergebnis. Könnte ein Backdoor sein, muss aber nicht. |
Danke erstmal... Also ich hab auf der Platte 2 Partitionen. Eine habe ich neu installiert und formatiert, die andere hat auch weder netzzugang noch sonstwas und ist WIN 98 Partitioniert. Das mit der aIG.exe hatte mir bereits schon Sorgen gemacht deshalb habe ich die bereits bei msconfig ausgeschaltet? (falsch?). Die gesicherten Dateien hab ich zurückgeholt per ext. Platte. Hier der Log: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.26.10 2007.12.26 - AntiVir 7.6.0.46 2007.12.25 - Authentium 4.93.8 2007.12.26 - Avast 4.7.1098.0 2007.12.25 - AVG 7.5.0.516 2007.12.25 - BitDefender 7.2 2007.12.26 - CAT-QuickHeal 9.00 2007.12.25 - ClamAV 0.91.2 2007.12.26 - DrWeb 4.44.0.09170 2007.12.26 - eSafe 7.0.15.0 2007.12.25 - eTrust-Vet 31.3.5400 2007.12.24 - Ewido 4.0 2007.12.26 - FileAdvisor 1 2007.12.26 - Fortinet 3.14.0.0 2007.12.26 - F-Prot 4.4.2.54 2007.12.25 - F-Secure 6.70.13030.0 2007.12.26 - Ikarus T3.1.1.15 2007.12.26 - Kaspersky 7.0.0.125 2007.12.26 - McAfee 5192 2007.12.24 - Microsoft 1.3109 2007.12.26 - NOD32v2 2747 2007.12.25 - Norman 5.80.02 2007.12.26 - Panda 9.0.0.4 2007.12.25 - Prevx1 V2 2007.12.26 - Rising 20.24.21.00 2007.12.26 - Sophos 4.24.0 2007.12.26 - Sunbelt 2.2.907.0 2007.12.21 - Symantec 10 2007.12.26 - TheHacker 6.2.9.168 2007.12.22 - VBA32 3.12.2.5 2007.12.24 - VirusBuster 4.3.26:9 2007.12.26 - Webwasher-Gateway 6.6.2 2007.12.26 - |
und nu die "versteckte" aIg.exe und der Log von VT... mhhh muß ich den Mist jetzt nochmal neu machen??? Datei aIg.exe empfangen 2007.12.26 12:26:57 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.26.10 2007.12.26 - AntiVir 7.6.0.46 2007.12.25 - Authentium 4.93.8 2007.12.26 - Avast 4.7.1098.0 2007.12.25 - AVG 7.5.0.516 2007.12.25 - BitDefender 7.2 2007.12.26 DeepScan:Generic.HorstBased.F46D0875 CAT-QuickHeal 9.00 2007.12.25 - ClamAV 0.91.2 2007.12.26 PUA.Packed.TeLock DrWeb 4.44.0.09170 2007.12.26 - eSafe 7.0.15.0 2007.12.25 suspicious Trojan/Worm eTrust-Vet 31.3.5400 2007.12.24 - Ewido 4.0 2007.12.26 - FileAdvisor 1 2007.12.26 - Fortinet 3.14.0.0 2007.12.26 - F-Prot 4.4.2.54 2007.12.25 - F-Secure 6.70.13030.0 2007.12.26 - Ikarus T3.1.1.15 2007.12.26 - Kaspersky 7.0.0.125 2007.12.26 - McAfee 5192 2007.12.24 - Microsoft 1.3109 2007.12.26 - NOD32v2 2747 2007.12.25 - Norman 5.80.02 2007.12.26 - Panda 9.0.0.4 2007.12.25 - Prevx1 V2 2007.12.26 - Rising 20.24.21.00 2007.12.26 - Sophos 4.24.0 2007.12.26 - Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious Symantec 10 2007.12.26 W32.Spybot.Worm TheHacker 6.2.9.168 2007.12.22 W32/Behav-Heuristic-066 VBA32 3.12.2.5 2007.12.24 - VirusBuster 4.3.26:9 2007.12.26 - Webwasher-Gateway 6.6.2 2007.12.26 Packer.Telock weitere Informationen File size: 1439744 bytes MD5: e476b1ccc6f0ec96e21dbc17a6fb7711 SHA1: fd78936dfc168d068e8283aea2d0241ea0e79b36 PEiD: tElock 0.98 -> tE! packers: TeLock packers: PE_Patch, TeLock Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
Von welcher Datei kommt denn das erste VT log? (Das ohne Befunde) Du hast leider den Jackpot gewonnen. Bei dir sitzt ein Backdoor im System. Setzte das System neu auf. Anleitung aus meiner Sigantur beachten!! Du darfst nur Daten sichern die nicht ausführbar sind. Also alle die keine der hier genannten Dateiendungen haben. .dll Dateien sollten ebenfalls nicht gesichert werden. Ändere nach dem Neuaufsetzten alles Passwörter. |
Och neeee echt? *heeeuuul* ich müßte ja erstmal wissen wo das Ding sitzt? Bei mir sind 2 aIg.exe versteckt... Daher der 1. Log gibt es keine Möglichkeit den zu finden???? Habe mir gerade mal die verbotenen Endungen angesehen... Das ist nahezu UNMÖGLICH ich habe beruflich zig PDF usw.... |
Eine Bereinigung ist nahezu unmöglich und wird die in keinem Fall ein vertrauenswürdiges System wiederherstellen. Du musst dann ALLE deine Daten und ich meine wirklich ALLE (auch die die du nach der ""Bereinigung"" erstellst) als ausspioniert und kompromitiert ansehen. Das heisst keine Zugangsdaten (e-Bay, Pay-Pal, icq, E-Mail) sind mehr sicher und der Autor des guten kann höchst wahrscheinlich nach Belieben auf deinem Rechner herumspazieren.. Ohne Prüfsumme kann die Hintertür (die er jeder Zeit aktivieren kann) nicht gefunden werden. Du machst dich im Übrigen strafbar wenn du, auf Grund des Backdoors als Spam-Schleuder. Kinderporno-Verteiler oder Angreifer auf einen MS-Server fungiers. Unwissenheit schützt auch hier vor Strafe NICHT! Du bist für die Sicherheit deines Systems verantwortlich. In meiner Signatur findet sich Cidre's Systemsicherheit. Arbeite dich doch auch bitte dort gründlich ein damit du verstehst wovon ich rede. Wenn du das wirklich in Kauf nehmen möchtest dann melde dich nochmal. Die Pdfs kannst du entweder per Copy and Paste sichern oder vor einem Neuaufspielen bei virustotal auswerten lassen. PS: Zitat:
|
PN Vorgeschichte.. Wenn du alles neu gemacht hast dann ist die aig.exe auch weg. Also was meinst du mit finden? Was für Dateien hast du denn gesichert? |
Gesichert? also Word doc, PDF, outlook dateien, Bilder was man halt so behalten muß... |
Zitat:
Hast du die Sicherung mit Verstand und meiner Liste an Endungen erstellt? Zweiteres wohl nicht :/ Und hast du wenigstens jede Datei bei Virustotal hochgeladen oder wenigstens mit MWAVE checken lassen? Auch nicht...? Na dann, viel Spaß. |
Mhhh bei rund 15 Gig PDF und word und exel Files usw wirds wohl schwer die alle einzeln bei VT hochzuladen... Und verzichten darf ich auch nicht darauf.... :eek: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board