|
Ist dieser Log gefährlich Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Steam\Steam.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\iexplore.exe C:\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098440044212 O17 - HKLM\System\CCS\Services\Tcpip\..\{A7C7BFFD-D637-45F7-A75C-F44B95591C86}: NameServer = 217.237.151.225 217.237.150.225 Zitat:
Ich frage, da mein Antivir den Rbot gefunden hatte,dieser aber angeblich auch gelöscht wurde. Das wäre sehr ergerlich schonwieder F:C zumachen, zumal ich das heute schon gemacht habe. |
Poste bitte das komplette Logfile, bei dir fehlt der Anfang. |
Logfile of HijackThis v1.98.2 Scan saved at 17:59:41, on 22.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Steam\Steam.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098440044212 O17 - HKLM\System\CCS\Services\Tcpip\..\{A7C7BFFD-D637-45F7-A75C-F44B95591C86}: NameServer = 217.237.151.225 217.237.150.225 Nochmal das ganze, ich hab eben noch Spybot durchlaufen lassen. |
Hallo Marc-R lass bitte einmal eScan im abgesicherten Modus durchlaufen, da die von dir genannte Datei der Wurm SDbot sein könnte. |
Logfile of HijackThis v1.98.2 Scan saved at 17:59:41, on 22.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Kein wunder das du dir nach dem Formatieren gleich wieder neue Malware eingefangen hast. Dein System ist in keinster weise gepatched Da du sowieso grade foramtiert hast empfehle ich dir dein System nach dieser anleitung nochmals neu zu machen: http://board.protecus.de/showtopic.php?threadid=13020 |
Hab vorhin überlesen, dass antivir einen Vertreter der Rbot Familie gefunden hat. Wenn dass der Fall ist kann ich mich der Meinung von von Lidius nur anschließen, da dein System wahrscheinlich schon kompromittiert d.h. nicht mehr vertrauenswürdig ist. Du solltest beim erneuten Aufsetzen die von Lidius verlinkte Anleitung befolgen |
Am Wochenede macht mir ein Kollege Windows 98 drauf, dann müsste das Problem weg sein. Außerdem hab ich mein system bei www.microsoft.com upgedatet... |
Du hast aber keinerlei Service Packs auf deinem Rechner gehabt, du musst alle zur verfügung stehenden wichtigen updates herunterladen und nachdem du diese heruntergeladen hast nochmals über windowsupdate nachsehen ob es wieder updates gibt. Das liegt daran das manche Updates aufeinander aufbauen. Soll heißen du brauchst Update A um Update B herunterzuladen. |
Ich bin nur auf microsoft.com gegangen als ich im Netz war, alle anderen Seiten habe ich nur mit AntiVir nach semtlich anderen mir bekannten updates besucht. Bei mir laufen Spybot SD Resident sowie die XP Firewall im hintergrund. Mein Ping von Counter Strike (was ich selber immer als beweis für einen Virus nehme) ist ebenfalls normal. Also wenn ich einen Virus drauf habe ist der nicht aktiv. |
Alle Schutzsoftware (Spybot, AntiVir usw.) bringt nichts wenn du nicht alle Sicherheitsupdates für WinXP und den Internet Explorer installierst. |
Was könnte den hacker denn an meinem System interessieren? Ich habe nix drauf was dem irgendwie was bringen könnte. keine Bankdaten... |
Es kann sein das die Datei tatsächlich ein bot war, nachdem ich die reg einträge gelöscht habe und die exe hab ich den Fehler nichtmehr das die Startpage von microsoft beim neustart 2 mal da ist ... Wo bekomme ich win updates her? Oder könnt ihr mir die reihenfolge schonmal geben? |
|
Zitat:
In diesem Sinne.... |
Tips zur Neuinstallation stehen in dem Link, den Lidius gepostet hat, du solltest sie so umsetzen, wie sie dastehen. Du willst wirklich von WinXP auf Win98 zurückgehen? Es geht bei solchen Schädlingen auch nicht nur darum, was jemand von dir an Daten klauen kann, denn dein Rechner kann u.a. zur Weiterverbreitung von Schädlingen verwendet werden oder als Host für diverse illegale Programme, stellt also auch eine Gefahr für andere dar. Wichtig ist, entweder offline das Service Pack 2 zu installieren oder mit aktivierter Firewall die Updates herunterzuladen (siehe Link). |
Ja ich will von 98 auf XP umsteigen. 1) Ich hab nur 256MBRam 2) Ich mag XP ned 3) Hab kein bock immer Viren zu haben, die sowas anrichten 4) 98 ist sicherer (ich hatte vorher 98 und nie probleme die anähernt so schlimm waren) Mit XP hab ich nur schlechte erfahrungen gemacht und alles was schneller gehen sollte dauerte nur noch länger. Fazit: XP ist genau das gegenteil von dem was microsoft verspricht. Ja es ist kompforabler und bootet schneller. Ansonsten ist aber nichts was ich daran wirklich vermissen würde. /früher musste ich nur 1mal im Monat formatieren. |
Zitat:
Ich hab auf meinem 2. pc win 98 (+ ie) seit es erschienen ist und habe noch nie formatieren müssen (und bin täglich einige stunden im net unterwegs). |
Mein System war sehr alt und hatte unötige reg einträge von alten Treibern ;) |
Nochmal ein update der logs: http://www.vmaster.de/Logs/mwavlog1.txt (ist sehr lang) eScan und Logfile of HijackThis v1.98.2 Scan saved at 12:50:24, on 24.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Neuer Ordner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098464557701 hjackthis log Ich hab nun alle updates drauf und wollte vorsichtssalber nochmal fragen, ob mein PC "clean" ist... (alles im Abgesichterten Modus gemacht) |
Das kannst du noch fixen: R3 - Default URLSearchHook is missing Ob dein PC clean ist, kann aus oben erwähnten Gründen niemand sagen, das Log ist es zumindest auf den ersten Blick. Hat E-Scan denn etwas gefunden? Steht im Abschlussbericht bzw. kannst du das Loh ja mal nach "infected" oder "Action" durchsuchen und die Einträge posten. |
Ich hatte sogar den ganzen Log gepostet ;). (@vmaster.de) aber hier der abschluss: Sun Oct 24 12:52:39 2004 => Total Number of Files Scanned: 2230 Sun Oct 24 12:52:39 2004 => Total Number of Virus(es) Found: 0 Sun Oct 24 12:52:39 2004 => Total Number of Disinfected Files: 0 Sun Oct 24 12:52:39 2004 => Total Number of Files Renamed: 0 Sun Oct 24 12:52:39 2004 => Total Number of Deleted Files: 0 Sun Oct 24 12:52:39 2004 => Total Number of Errors: 0 Scheint so als wäre alles inordnung. Hab mich halt nur gewundert weil mein Ping auf 229 war... liegt dann wohl an T-Offline |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board