|
Virus vermutung Hi! Ich habe eine vermutung, das ich nen virus o.ä. hab. windows defender hat eine änderung der hosts-datei auf xp(sp3) gezeigt. dies hab ich erst ignoriert, damich ich gucken konnte, was geändert wurde. und siehe da, viele antivirus-seiten wurden auf 127.0.0.1 geleitet (z.b. trend micro symantec sophos kaspersky...) die einträge habe ich deshlab auch wieder entfernt. bis jetzt ist kein neuer eintrag dazugekommen. allerdings sind die automatischen updates im "sicherheitscenter" auf inaktiv, obwohl sie in der einstellungen an sind. sonst habe ich nichts gemerkt. hier mein hijackthis logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Aloa, warum hab ich diese Vermutung, das das Ganze mit deinem Nicknamen zusammenhaengt? :aufsmaul: BTT: Da scheint was Boeses aktiv zu sein: Zitat:
Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\sdphost.exe
|
erstmal, mein nickname ist AUSGEDACHT!!! ok, hab den check gemacht: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.5.1 2008.09.05 - AntiVir 7.8.1.28 2008.09.05 - Authentium 5.1.0.4 2008.09.05 - Avast 4.8.1195.0 2008.09.04 - AVG 8.0.0.161 2008.09.05 BackDoor.RBot.AS BitDefender 7.2 2008.09.05 Backdoor.SDBot.DFVV CAT-QuickHeal 9.50 2008.09.02 Backdoor.SdBot.fwc ClamAV 0.93.1 2008.09.05 - DrWeb 4.44.0.09170 2008.09.05 - eSafe 7.0.17.0 2008.09.03 - eTrust-Vet 31.6.6069 2008.09.04 - Ewido 4.0 2008.09.04 - F-Prot 4.4.4.56 2008.09.04 - F-Secure 8.0.14332.0 2008.09.05 Suspicious:W32/Malware!Gemini Fortinet 3.14.0.0 2008.09.03 - GData 19 2008.09.05 - Ikarus T3.1.1.34.0 2008.09.05 Backdoor.SdBot.DFVV K7AntiVirus 7.10.441 2008.09.04 Backdoor.Win32.SdBot.fwc Kaspersky 7.0.0.125 2008.09.05 - McAfee 5377 2008.09.04 - Microsoft 1.3903 2008.09.05 Backdoor:Win32/Rbot.JE NOD32v2 3418 2008.09.05 - Norman 5.80.02 2008.09.05 - Panda 9.0.0.4 2008.09.04 Suspicious file PCTools 4.4.2.0 2008.09.04 - Prevx1 V2 2008.09.05 Suspicious Rising 20.60.42.00 2008.09.05 - Sophos 4.33.0 2008.09.04 - Sunbelt 3.1.1606.1 2008.09.04 - Symantec 10 2008.09.05 W32.IRCbot TheHacker 6.3.0.8.072 2008.09.04 - TrendMicro 8.700.0.1004 2008.09.05 - VBA32 3.12.8.5 2008.09.04 - ViRobot 2008.9.5.1365 2008.09.05 - VirusBuster 4.5.11.0 2008.09.04 - Webwasher-Gateway 6.6.2 2008.09.05 Virus.Win32.FileInfector.gen (suspicious) wie kriege ich den weg? dnake im voraus serials(ausgedacht!!!) EDIT: ach ja, hab i-wo gelesen, das dieses rbot ein irc backdoor ist. ich hab garkein irc! EDIT2: Noch ein Sympthom: Antivir versucht grad update zu machen, wird aber immer langsamer und hört schließlich auf runterzuladen??? ok. jetzt hats doch geklappt, aber am ende stand da bei verbleibend: 5301:56 minuten !!!! |
SDFix * Lade das SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting. ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) |
SDFix report: Code: SDFix: Version 1.221 Code: Logfile of Trend Micro HijackThis v2.0.2 |
Combofix report: Code: ComboFix 08-09-04.09 - Dennis 2008-09-05 14:32:03.1 - NTFSx86ach ja, sdphost.exe is immernoch da! |
Wenn du folgende Ordner kennen solltest, dann erwähne dieses bitte im nächsten Beitrag -> Blender Foundation Scripten mit Combofix
Code: DIRLOOK::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann außerdem: Deinstalliere folgende Software: Code: Messenger Plus! LiveCombofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U http://img247.imageshack.us/img247/7...ombofixvs6.jpg Damit ist Combofix und alle weiteren Programme entfernt wurden. |
ähm, du weißt schon das blender ein 3d modellierungsprogramm ist, das ich mal installiert und wieder deinstalliert hab. und messenger plus! live ist ne erweiterung von windows live messenger |
Zitat:
Zitat:
Messenger!Plus lädt nämlich schädliche Dateien nach.. |
die sind noch als denstallationsmüll übriggeblieben hab se gelöscht. in dem einen waren noch modelle drinne, in dem anderen ne deinstaller log. zu messenger...: http://www.msgpluslive.de/ |
Ok, das mit dem Messenger war mir neu...aber scheinbar hast du Recht! :balla: Es gab mal vor einiger Zeit ein Programm (Toolbar) was Messenger!Plus3 hieß, war aber ein Fake.. |
So, BTT: ist die sdphost.exe noch da? Aber egal, Neuaufsetzen waere bei einem IRC-Bot angebracht, falls du Wert auf ein sicheres und sauberes System legst. Denn gerade die neueren Bots (wie "deiner") haben RAT (Remote Administration Tool)-Funktionen. solong.. |
Zitat:
Ja sie ist noch da... ;) Jedoch fehlt mir noch die Auswertung aus dem letzten Script von CF. Blacklight scannen lassen * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. OTMoveIt by OldTimer Folgendes Tool herunterladen -> OTMoveIt2.exe --> Starte nun die OTMoveIt.exe --> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren: Zitat:
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein! Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen |
hat sich erledigt! :dankeschoen: nach nem neustart war sie weg! hab nochmal mit hijackthis getestet usw. nichts auffälliges! alles waren programme die ich kenne und die ICH installiert habe, bei sachen wo ich nicht so genau wusste habsch geggogelt. <erledigt> |
sry für doppelpost, aber combofix hat mein dvd-laufwerk "lahmgelegt" (also autostart) wass soll ich jetzt machen damit das wieder funkt? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board