|
PC Neuling braucht Hilfe HI, bin heute zum ersten mal hier! Hab irgendeinen Dreck auf dem Rechner und weiß mir keinen Rat! Habe escan laufen lassen und es hat 5 Vieren gefunden 2 gelöscht und 3 umbenannt. Was heißt das? Warum umbenannt und nicht gelöscht wie die anderen beiden? Was soll ich jetzt machen? Bin für jeden Tipp dankbar. |
Hallo juniemond, hattest Du den eScan wie beschrieben erst online geupdatet und dann offline im abgesicherten Modus ausgeführt? Wie heissen die Viren, die gefunden worden sind? Dateien werden umbenannt, wenn sie nicht gelöscht werden können. Erstelle ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste hier ins Forum. SD |
|
Hallo Ich habe escan wie beschrieben in C:\bases runtergeladen. Durch einen Doppelklick entpackt es sich automatisch..(startet)... Wie kann ich jetzt ein update machen? Die Datei kavupd.exe existiert bei mir nirgends. Im Abgesicherten Modus hat escan ohne update folgendes gefunden: 1. Sun Sep 19 13:56:19 2004 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.SdBot.oy" Virus. Action Taken: File Renamed. 2. Sun Sep 19 13:56:03 2004 => *** Killing Infected Process C:\WINDOWS\System32\wupdate.exe... 3. Sun Sep 19 13:56:45 2004 => File C:\WINDOWS\System32\msimn.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. 4. Sep 19 13:56:59 2004 => File C:\WINDOWS\System32\scrgrd.exe infected by "Trojan.Win32.Pakes" Virus. Action Taken: File Deleted. Was jetzt ? |
Zitat:
Zitat:
|
Danke für deine Hilfe!! Mein Problem ist aber noch nicht gelöst!!! Deine Antwort: Du sollst auch nicht doppelklicken! Rechtklick auf das Archiv -> Dateien entpacken -> Unter Zielverzeichnis folgendes eingeben: C:\bases -> OK Meinst Du mit "Rechtsklick auf das Archiv", den rechtsklickauf die runtergeladene Datei? Wenn ja, dort finde ich kein Archiv?????? Ich großes schwarzes Loch!!!! Sorry |
Rechtklick auf die mwav.exe und danach die weitere Vorgehensweise ausführen. ;) |
Mein PC ist anders bei dem geht das nicht!!!!!!!! Wenn ich einen rechtsklick mache...... kann ich leider nicht die beschriebene Vorgehensweise tätigen, weil ich nicht die Option habe "Dateien entpacken" sonst würde ich das schon hinbekommen! :party: Prost, jetzt brauch ich ein Bier. Weist Du Dir jetzt noch einen Rat? |
@juniemond du must Winrar oder Winzip benutzen zum entpacken, danach findest du die gesuchte dateien. chaosman |
Entweder du installierst einen Entpacker, wie chaosman bereits postete, oder du doppelklickst auf die mwav.exe (Signaturen müssten eigentlich aktuell sein) und scannst. Ansonsten Prost. ;) |
Danke Hat alles funktioniert!!!! Habe WinZip runtergeladen und dann hat alles geklappt. Echt geil! Ihr seit spitze. Escan hat 4 Fehler gefunden vermudlich die vier Vieren die es ohne das update schon gefunden hatte. Muss ich jetzt noch aktiv werden wenn escan die Vieren gelöscht bzw. umbenannt hat? |
ich nochmal: Hier noch mein HiJackThis Logs. Würde mich über eine Auswertung freuen! Logfile of HijackThis v1.98.2 Scan saved at 23:18:37, on 23.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\System32\Prismsta.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\mHotkey.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Lavasoft\Trojancheck 6\tcguard.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\frn_inss\frn_inss.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://diraba.teledata.de/dab_neu/mu...nh=0&dp=depot1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Lavasoft\Trojancheck 6\tcguard.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095604666859 O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 62.104.191.241 62.104.196.134 Danke p.s.: Was ist mit meiner vorrangegangenen Frage? |
Hallo juniemond, - scanne bitte mit dem online-scan von Kaspersky folgende Datei: C:\Programme\frn_inss\frn_inss.exe - teile uns bitte das Ergenis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. Solltest Du diese beiden Seiten nicht kennen, kannst Du sie im abgesicherten Modus mit Hijack This fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://diraba.teledata.de/dab_neu/m...&nh=0&dp=depot1 - besuche dann www.windowsupdate.com und lade das SP2 runter. Zitat:
Gruss Shadowdance |
Hi Shadowdance Die Datei: C:\Programme\frn_inss\frn_inss.exe ist sauber. Escan hat im abgesicherten Modus folgende Vieren gefunden: Backdoor.SdBot.oy wupdate.exe Backdoor.Rbot.gen Trojan.Win32.Pakes Gruß juniemond |
Sorry wenn ich mich jetzt nochmal melde, aber meine Frage, ob ich mit dem Ergebniss von escan jetzt ruhig schlafen kann oder nicht, habt Ihr noch nicht beantwortet! Die Datei: C:\Programme\frn_inss\frn_inss.exe ist sauber. Escan hat im abgesicherten Modus folgende Vieren gefunden: Backdoor.SdBot.oy wupdate.exe Backdoor.Rbot.gen Trojan.Win32.Pakes und hat sie umbenannt. Ist jetzt alles OK? MFG juniemond |
@juniemond kuckst du hier http://www.sophos.de/virusinfo/analyses/w32sdbotoy.html und hier http://spotlight.de/zforen/sec/m/sec...385-18369.html und lese doch mal hier http://www.mathematik.uni-marburg.de...ompromise.html du kannst nicht ruhig schlafen gehen. dein system ist kompromittiert. gehe am besten sofort aus dem netz und setze neu auf. ändere deine passwörter. chaosman |
Du machst Spass oder? Sag mir bitte, dass das Spass war! Gibt es keine andere Möglichkeit? |
1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board