|
Windows XP Fehler ich habe ein ähnliches problem, wie hier schon beschrieben: http://www.trojaner-board.de/showthread.php?t=17274 zuerst hatte ich auch genau die fehlermeldung auf dem desktop, die konnte ich mit antivir beheben. die datei popuper.exe und noch diverse weitere auffällige habe ich im abgesicherten modus bereits beseitigt, weiterhin hab ich auch gleich noch einen viruscheck im abges. modus gemacht. mein problem ist, dass mein desktop jetzt schwarz ist und das lässt sich auch nicht ändern. beim starten von windows xp (home edition) sind die wartebaöken neuerdings blau und nicht grün, außerdem steht dort nicht mehr home edition, sondern nur noch windows xp. was kann das sein? bis vorhin hab ich unten rechts noch warnmeldungen in einem gelben fenster bekommen, aber die sind jetzt auch weg. e-scan, adaware, spybot und antivir hab ich schon durch, was soll ich noch probieren? ich hab hier noch ein logfile, aber ich denke das es clean ist: (sp2 ist erst seit vorhin drauf!) Logfile of HijackThis v1.99.1 Scan saved at 18:03:41, on 02.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\SSK\SSK.EXE C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\dcfssvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Flo\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\SSK\SSK.EXE O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\RealDownload.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\System32\DRIVERS\dcfssvc.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Lass mal diese Datei C:\WINDOWS\System32\msmsgs.exe bei Jotti überprüfen tippe auf einen Backdoor. |
Ich sag, die ist in Ordnung. |
Hallo cronos! Wie kommst du zu dieser Annahme? Weil sich die msmsgs.exe im System32 Ordner befindet wo sich auch hingehört. |
Zitat:
Zitat:
Zitat:
Die Datei ist Malware. |
Habt ja Recht. Wäre es der "normale" Messenger wäre der Startup Name wohl der hier [MSMSGS]. Der richtige ist ist ja auch vohanden |
msmsgs habe ich mittlerweile gefixt. hat aber nichts geholfen. die datei ist weg (auch nach neustart) aber die probleme sind noch da. komisch ist, dass ich meinen desktophintergrund auch nicht ändern kann. im menü start-systemsteuerung-anzeige gibt es nur noch die kateikarten "bildschirmschoner" und "einstellungen". die restlichen (z.b. Darsterllung, desktop...) fehlen komplett?! die komischen spyware meldungen sind mittlerweile weg, hab mir bis eben auch noch alle sicherheitsupdates besorgt, hat aber im prinzip nix geholfen. antivir hat auch im 3. suchlauf (davon einmal abgesichert) nix gefunden. verdammt nochmal! Florian edit: soll ich vielleicht mal eine systemwiederherstellung machen? |
@ Flo86 Die Systemwiederherstellung wird dein Problem nicht lösen, arbeite stattdessen diese Empfehlung ab -> http://www.trojaner-board.de/showpos...9&postcount=51 |
@Flo86! Zitat:
Was hat der Jotti Scan ergeben? Bei einem Backdoor hilft dir auch keine Systemwiederherstellung sondern nur Neuaufsetzen des Systems da kompromittiert. Ein Backdoor Trojaner könnte deine System Dateien verändert haben und andere Zugriff auf dein System gewähren. |
die datei war möglicherweise befallen. da ich eh keinen messenger benutze hab ich sie gefixt. ich meine die ganzen fehlermeldungen und warnmeldungen sind ja jetzt weg, jedoch stört mich der schwarze hintergrund und das etwas veränderte startverhalten (mit den blauen anstatt den grünen balken und der "home edition" -zusatz fehlt). neuaufsetzen des systems wäre extrem schlecht, was anderes geht nicht? Florian |
Poste uns doch einfach mal die genaue Meldung, die dir zu dieser Datei ausgegeben wurde. BTW :Fixen alleine tuts nicht. |
Um etwas Licht ins Dunkel zu bringen, solltest du uns mal die Virus Log Information von eScan posten: Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt [1] der automatisch erstellten C:\eScan_neu.txt hier posten. [1] Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen). |
dein link geht nicht. soll ich e-scan nochmal durchlaufen lassen und gleich das log posten? Florian |
Ich bin überzeugt, dass der Link funktioniert.;) Zuerst die Find.bat ausführen, dann die mwav.log löschen und danach erst mit eScan scannen, wenn du möchtest. |
jetzt geht der download, frag mich bitte nicht warum ;) ich mach das jetzt erstmal. Florian die datei läuft nicht! ich lass grad e-scan nochmal laufen und poste dann das logfile so ich hab hier im forum ein jotti log gefunden, welches den gleichen inhalt besitzt wie das meiner msmsgs datei. meine konnte ich ja nich nochmal checken, die ist ja weg: AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante) Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden ja, ich glaub so war das. |
erste erfolgszeichen: während des e-scan durchlaufs hab ich probiert das desktop zu ändern und es klappt, der hintergrund ist wieder normal. bis jetzt hat e-scan 2 viren gefunden, einer davon ist ein "not-a-virus" und eines ist ne uralt-datei. sobald alles durch ist poste ich das log um sicher zu gehen das alles runter ist. wenn dann noch das starten wieder normal abläuft, ist hoffentlich wieder alles ganz. Florian |
Du weisst sicherlich, dass eScan im abgesicherten Modus ausgeführt werden sollte! Zitat:
[1] C:\bases oder C:\bases_x |
soll heißen, ich soll einen ordner in c: namens bases(_x) erstellen. ok hab ich gemacht und ich glaub das programm hat mir zwei textdateien erstell. jetzt muss ich nur noch wissen, was das ganze bringt ;) ja, ich lass e-scan auch gleich nochmal abgesichert laufen. Florian |
Der Ordner heisst: c:\bases_x 1.Lösche den Inhalt der mwav.log 2.Wechsle in den abgesicherten Modus http://www.systemwiederherstellung-deaktivieren.de 3.Scanne dein System erneut mit Escan Einstellungen wie folgt: http://www.trojaner-info.de/hijacker/bilder/escan2.jpg 4.Teile uns die Ergebnis des Scans wie von Cidre beschrieben mit |
ich hab die escan version 1.6.2., dort befindet sich die log datei als .txt dokument im ordner c:\mwav (je nach dem wo man es rein entpackt hat). ich hab probiert das find.bat abzuändern aber er meldet immer, dass der befehl c:\mwav\mwav.txt ungültig oder falsch geschrieben ist. muss da vielleicht noch irgendein zusatz dazu? so gut kenn ich mich beim erstellen von dateien nicht aus. schonmal vorweg: escan hat im abgesichertem modus 13 viren gefunden. danke schonmal. Florian |
so ich hatte eben eine zündende idee: ich hab die mwav.txt einfach in mwav.log umbenannt und in den zuvor erstellten ordner c:\bases_x gepackt und schon hat dein kleines programm wieder funktioniert. ich schätze mal im dos modus weiß der pc nix mit .txt dateien anzufangen. hier das logfile: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue May 03 12:17:39 2005 => File C:\Dokumente und Einstellungen\Flo\Eigene Dateien\Freegames\RollerCoasterTycoon2-dm.exe infected by "not-a-virus:AdWare.Trymedia.a" Virus. Action Taken: No Action Taken. Tue May 03 12:38:03 2005 => File C:\LOAD_R~1.EXE.1 infected by "Trojan-Downloader.Win32.Agent.dk" Virus. Action Taken: No Action Taken. Tue May 03 12:48:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue May 03 12:48:01 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CUSTOMERINDEX_5[1].HTML.001 Tue May 03 12:48:01 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CUSTOMERINDEX_5[1].HTML.VIR Tue May 03 12:48:01 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CUSTOMERINDEX_5[2].HTML.001 Tue May 03 12:48:01 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CUSTOMERINDEX_5[2].HTML.VIR Tue May 03 13:29:29 2005 => File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "Trojan-Downloader.Win32.Zdesnado.t" Virus. Action Taken: No Action Taken. Tue May 03 13:30:06 2005 => File C:\q747863.exe infected by "Trojan-Downloader.Win32.Agent.kg" Virus. Action Taken: No Action Taken. Tue May 03 13:40:10 2005 => File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP636\A0135109.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Tue May 03 13:57:49 2005 => File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP698\A0158879.exe infected by "Trojan-Downloader.Win32.Small.air" Virus. Action Taken: No Action Taken. Tue May 03 13:57:49 2005 => File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP698\A0158880.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Tue May 03 13:57:49 2005 => File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP698\A0158881.dll infected by "Trojan.Win32.StartPage.iv" Virus. Action Taken: No Action Taken. Tue May 03 13:57:49 2005 => File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP698\A0158882.exe infected by "not-a-virus:AdWare.FindSpy.d" Virus. Action Taken: No Action Taken. Tue May 03 14:03:54 2005 => File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP702\A0160969.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Tue May 03 14:17:34 2005 => File C:\WINDOWS\$NtServicePackUninstall$\tip.htm infected by "not-a-virus:AdWare.FindSpy.d" Virus. Action Taken: No Action Taken. Tue May 03 14:54:49 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue May 03 13:29:47 2005 => File C:\Programme\you_games\KartenspieleVolume_2\Patiencen\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue May 03 13:57:50 2005 => File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP698\A0158884.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue May 03 14:54:49 2005 => Total Virus(es) Found: 13 Tue May 03 14:54:49 2005 => Total Errors: 149 Tue May 03 14:54:49 2005 => Time Elapsed: 03:35:29 Tue May 03 14:54:49 2005 => Total Objects Scanned: 107654 Tue May 03 11:18:18 2005 => Virus Database Date: 2005/04/29 Tue May 03 14:54:49 2005 => Virus Database Date: 2005/04/29 Tue May 03 15:47:10 2005 => Virus Database Date: 2005/04/29 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Zitat:
Zitat:
# Schaltet Antiviren-Anwendungen aus # Ermöglicht Dritten den Zugriff auf den Computer # Verändert Daten auf dem Computer # Speichert Tastenfolgen # Installiert sich in der Registrierung Aufgrund der erheblichen Schadroutine lautet mein Rat: "System neu aufsetzen und vor der ersten Internetverbindung absichern". |
beide dateien die vom trojan downloader agent betroffen waren, sind von mitte oktober 2004 (letzter zugriff). es muss doch irgendeine möglichkeit geben, sowas zu beheben?! ausserdem wäre ein neuafsetzen des systems bei mir frühestens in zwei wochen möglich! Florian |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board