Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein Antivir spinnt und will immer trkwksvc.exe löschen (https://www.trojaner-board.de/68567-antivir-spinnt-will-immer-trkwksvc-exe-loeschen.html)

john.doe 15.01.2009 18:00
Hab ich. Was soll damit sein?

ciao, andreas

Eminemstyle 15.01.2009 18:01
Bei mir ist er tot:confused:

john.doe 15.01.2009 18:05
Ist eine https Seite. Welchen Browser benutzt du?

ciao, andreas

Eminemstyle 15.01.2009 18:08
Ich habs mit Mozilla und dem IE ausprobiert

john.doe 15.01.2009 18:12
Ich benutze Opera. :)

Irgendetwas mit deinen Sicherheitseinstellungen passt nicht. Kopiere den Link und füge ihn in ein neues Fenster/Tab ein.

ciao, andreas

Eminemstyle 15.01.2009 18:13
Hab ich gemacht... oh nein du benutzt Opera ... Tut mir Leid ich bin kein Freund von Opera^^

madakuoni 16.01.2009 16:34
muss ich mir jetzt extra opera herunterladen um zu wissen was mit meinem pc los ist?bzw wie ich das weg bekomme

john.doe 16.01.2009 16:40
Nein, das Zertifikat ist abgelaufen. Die wichtigen Textstellen kopiere ich:

Zitat:
  • Name W32/IRCBot-YZ
  • Typ Wurm
  • Verbreitungsweise Netzwerkfreigaben
  • Anfällige Betriebssysteme Windows
  • Nebeneffekte Ermöglicht Dritten den Zugriff auf den Computer
  • Lädt Code aus dem Internet herunter
  • Reduziert die Systemsicherheit
  • Installiert sich in der Registrierung
  • Nutzt bekannte Schwachstellen aus

W32/IRCBot-YZ ist ein Wurm für die Windows-Plattform.

W32/IRCBot-YZ verbreitet sich auf andere Netzwerkcomputer, indem er häufige Pufferüberlauf-Schwachstellen ausnutzt, darunter: LSASS (MS04-011), SRVSVC (MS06-040), RPC-DCOM (MS04-012), WKS (MS03-049) (CAN-2003-0812) und RealVNC (CVE-2006-2369) und indem er sich auf Netzwerkfreigaben kopiert, die durch einfache Kennwörter geschützt sind.

W32/IRCBot-YZ wird im Hintergrund als Backdoorserver ausgeführt, der externen Zugriff und die Kontrolle über den Computer über IRC-Kanäle ermöglicht.

Wenn er erstmals gestartet wird, kopiert sich W32/IRCBot-YZ nach <Windows>\trkwksvc.exe.

Die Datei "trkwksvc.exe" wird als neuer Systemtreiberdienst namens "NET Service" mit dem Anzeigenamen "NET Service" und dem Starttyp "Automatisch" registriert, damit sie beim Systemstart automatisch ausgeführt wird.
ciao, andreas

madakuoni 16.01.2009 16:44
tut mir ja echt leid aber ich verstehe nur bahnhof ,soll ich jetzt den automatischen dienst beenden ,die exe löschen alle freigaben entfernen und gut ist?

Eminemstyle 16.01.2009 16:47
Zitat:
Zitat von john.doe (Beitrag 405947)

Hast du das gelesen?

madakuoni 16.01.2009 16:54
hab ich gerade noch einmal gründlich getan.muss ich meinen pc denn neu aufsetzen und kann das mitteil nicht anders löschen hab den pc erst letzte woche neu aufgesetz ,nach 10 min war jemand bei mir zu hause hat seinen pc angemacht und der mist hat begonnen

madakuoni 16.01.2009 17:53
kann es vieleicht sein das ich gar nichts mehr auf dem pc hab und das teil aufgehört hat mich zu ärgern?ich finde weeder die trkwksvc.exe auf meinem pc weder spinnt mein antivir wenn ich meine firewall aus mache die die ganze zeit lief seit ich mich hier gemeldet hab hier mal wieder mein hijackthis file vieleicht hat es sich ja gelegt oder antivir war erfolgreich

hier :
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:47, on 16.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA2DF6A2-FD23-403E-A78F-81D1EC3958D9}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NET Service - Unknown owner - C:\WINDOWS\trkwksvc.exe (file missing)
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE (file missing)
O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4807 bytes


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:38 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131