|
msconfig, regedit, edit schließen sich automatisch, taskmgr nicht Hallo liebe Forumsmitglieder! Mir ist seit kurzem folgendes Verhalten meines PCs aufgefallen. msconfig, regedit, sowie edit in der Eingabeaufforderung lassen sich zwar noch öffnen, schließen sich aber kurz darauf wieder von selbst. "Gut", dachte ich mir, wird halt ein Virus sein. Also im Netz rumgeforscht, bei euch hier etwas rumgelesen, aber entfernen konnte ich den Schädling bislang noch nicht. Das komische ist auch, daß der Taskmanager davon nicht betroffen ist, wie in vielen anderen Threads dargestellt. Der bleibt offen, wenn ich ihn aufmache. Hier mal meine Vorgehensweise bislang. Norton AV 2005 mit neuersten Infos versorgt, Win XP Pro im Safe Mode gestartet, System scannen lassen. Prompt meldete der die Viren exite.def, HTTPBruteForcer.exe und pass.lst, die er auch entfernt, bzw. den HTTPBruteForcer nur in Quarantäne geschickt hat. Neustart durchgeführt, gleiche Symptome wie bisher bei msconfig etc. Dann habe ich mir Hijackthis runtergeladen, analysieren lassen und alles verdächtige entfernt. Resultat: msconfig und co finden es immer noch witzig sich selbst zu beenden. Deshalb jetzt meine Frage: Was kann das sein? Schlägt hier der HTTPBruteForcer noch zu oder stört mich ein anderer Plagegeist? Und v.a. wie bekomme ich den wieder los? Anbei mal ein hijackthis log. Wenn ihr sonst noch Infos braucht, sagt es einfach, denn ich will diesen Störenfried wieder loswerden. |
sorry, Doppelposting ;) |
Logfile of HijackThis v1.98.2 Scan saved at 9:15:30 AM, on 11/20/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: ... ... ... O4 - HKLM\..\Run: [Windows Login] winlog.exe O4 - HKLM\..\Run: [WinampAgent] d:\windows xp\Winamp\winampa.exe O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NetLimiter] D:\Windows XP\NetLimiter\NetLimiter.exe /s O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce O4 - HKLM\..\Run: [DU Meter] D:\windows xp\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Babylon Client] d:\windows xp\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [Agent] d:\windows xp\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [PPMemCheck] D:\WINDOW~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] D:\WINDOW~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\RunServices: [S3 Chip3] s3int.exe O4 - HKLM\..\RunServices: [Windows Login] winlog.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe ... ... ... Für Hilfen, Anregungen, Tips wäre ich wircklich sehr dankbar. Gruß, Chris [edit:] Habe das Logfile wg. der Übersichtlichkeit für andere Forenteilnehmer, die ähnliche Probleme haben gekürzt, nachdem Cidre den Störenfried prompt erkannt hat. Wenn das Problem erkannt ist, braucht ja jetzt da kein halber Roman dazustehen mit unnützen Infos, die nur dazu dienen das Mausrad enlos zu benutzen ;) [/edit] |
Lass mal Escan im abgesicherten Modus drüberlaufen und berichte uns, was er gefunden hat. http://www.trojaner-board.de/42731-escan-anleitung.html |
|
Zitat:
Daraus resultiert diese logische Konsequenz: http://www.trojaner-board.de/showpos...28&postcount=2 |
Hi cronos, Hi Cidre, das ging ja schnell mit den Antworten. Danke und Kompliment ;) Habe gerade mal escan drüberlaufen lassen. Gefunden hat er: --- File C:\WINDOWS\system32\s3int.exe infected by "Backdoor.Agobot.ge" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\s3int.exe infected by "Backdoor.Agobot.ge" Virus. Action Taken: No Action Taken. File C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\saveinstwm.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken. --- wie Du bereits vermutet hast. Gut, WinXP neu zu installieren wäre jetzt nicht so das Problem. Dennoch die Frage, haben die Antivirenhersteller kein Removal Tool dazu? Bzw. ist der Virus so schwer zu entfernen, oder noch so neu? Sorry, bin gerade in der 640er Auflösung bei 60Hz im abgesicherten Modus und werde erst nach einem Neustart mich mal im Netz über den Virus genauer informieren. |
Zum Thema Removal Tools folgender Link: http://www.mathematik.uni-marburg.de...c-removal.html Das Problem ist, das dein system kompromitiert ist.Unter anderem müssen alle Passwörter als bekannt angesehen werden. Du weisst nicht, ob und wie dein System verändert wurde und zu welchen Zwecken es jetzt evtl. von dritten genutzt wird . Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html |
So, jetzt bin ich wieder "normal", also in entspannenden 85Hz bei der 1200er Auflösung ;) Zitat:
Werde mir die Links mal zu Gemüte führen und für die Zukunft die entsprechenden Schritte dann einleiten. Ich gebe ja zu, daß ich die Sicherheitsupdates in letzter Zeit leider etwas vernachlässigt habe *schäm mich*. Gut. Cidre, cronos, danke nochmals für die sehr, sehr schnelle Hilfe ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:30 Uhr. |
Copyright ©2000-2024, Trojaner-Board