|
Datei: 034105.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: PE_PATCH Hab bei antivir die Dateien die mir als infiziert angezeigt wurden löschen lassen!Sonst hab ich nichts gemacht...außer gestern halt die meisten Virenprogramme gelöscht! Ich folge dir aufs Wort:P |
yeah noch son tolles teil sagt antivir... C:\WINDOWS\SYSTEM32\DRIVERS\I386P.SYS Ist das Trojanische Pferd TR/Cheuko.A.2 was soll ich damit machen?Löschen durch Antivir? |
Hallo, kannst du mal wie bei der wmedia32.exe posten was jeweils alle Scanner dazu sagen, auch wenn alle sagen "Keine Viren gefunden". Und mache mal noch das mit dem Programm. Suche (unter Rechtsklick auf Start>>suchen) außerdem mal nach "*.vir" (ohne Anführungsstriche). Edit Nein, nicht löschen, ebenfalls wie die anderen Dateien überprüfen und Ergebnis posten. Falls dich AntiVir nervt stelle es ab. Grüße Wildone |
die scanner haben gesagt: Datei: wmedia32.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet W32/Locksky.M-mm gefunden Kaspersky Anti-Virus Trojan-Spy.Win32.Banker.ane gefunden NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante) Norman Virus Control Keine Viren gefunden UNA I-Worm.Locksky gefunden VBA32 Keine Viren gefunden die dateien die antivir findet gibts bei mir im ordner gar nich....komische sache Edit: sind versteckte dateien seh ich grad durch das andere programm |
Hallo, mache mal bitte jetzt als erstes das mit F-Secure Blacklight, mir schwant langsam das sich da was ganz übles auf deinem System eingenistet hat. Grüße Wildone |
hier der Log: 01/31/06 21:16:32 [Info]: BlackLight Engine 1.0.30 initialized 01/31/06 21:16:32 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/31/06 21:16:33 [Note]: 7019 4 01/31/06 21:16:33 [Note]: 7005 0 01/31/06 21:18:01 [Note]: 7006 0 01/31/06 21:18:01 [Note]: 7011 1448 01/31/06 21:18:03 [Note]: FSRAW library version 1.7.1014 01/31/06 21:19:15 [Info]: Hidden file: C:\WINDOWS\system32\drivers\i386p.sys 01/31/06 21:27:52 [Note]: 7002 0 01/31/06 21:27:52 [Note]: 7003 1 01/31/06 21:27:52 [Note]: 10002 1 01/31/06 21:28:02 [Info]: Hidden file: C:\WINDOWS\system32\msctl32.dll 01/31/06 21:28:57 [Note]: 7002 0 01/31/06 21:28:57 [Note]: 7003 1 01/31/06 21:28:57 [Note]: 10002 1 01/31/06 21:34:00 [Note]: 7007 0 |
Hallo, ja das hatte ich befürchtet, du hast ein Rootkit auf deinem System und das kann man nicht so ohne weiteres entfernen. Soetwas greift zu tief in das System ein (Veränderungen des Systems auf einer Ebene bevor z.B. der Explorer darauf zugreift). Also lange Rede kurzer Sinn, du solltest das System neu aufsetzen und keine ausführbaren Dateien(exe, com, scr, pif..) von dem neuen auf das alte System übernehmen. Das einzig positive daran ist das wir jetzt mit Sicherheit sehen können ob die Probleme an der Hardware oder an dem System liegen. Eine sehr gute Anleitung wie du beim Neuaufsetzen und anschließenden absichern vorgehen solltest findest du hier. Sorry für die schlechten Nachrichten. http://durth.de/forum/forensmilies/taetschel.gif Grüße Wildone |
*schnüf* naja hab ich mir fast gedacht :( Aber hey mein Rechner ist jetzt erstmal nicht abgestürzt..wow....lieb dass du mich so lang unterstützt hast :) aber das sowas krasses allein durch nen anklicken einer Seite passieren kann...sowas find ich krass.... beim neu aufsetzen hab ich meistens das problem meiner ganzen programme...die wichtigen die ich auch nicht mehr hier hab...spielstände etc. und meine 2. festplatte fasst nich so viel wie ich retten wollen würde.....ach ich hasse es :( aber muss man durch ne? MfG Tequila |
Hallo, ja führt kein Weg daran vorbei. Ob das allein durch das anklicken einer Webseite passiert ist weiß ich nicht, wenn dann nutzt die aber eine Lücke im Browser höchst effizient aus. Ach, und vergiß auch nicht alle deine Passwörter zu ändern, einer der Trojaner hat unter anderem auch das Ziel deine Onlinebanking Aktivitäten abzufangen. Wenn du alles neu gemacht hast kannst du dich ja noch mal melden, dann kann ich es mir zur Kontrolle noch mal anschauen. Grüße Wildone |
hm ja :( programme kann ich ja einfach auf meine andere festplatte rüberziehn oder?gibts keine probleme ne? kann schon sein dass vorher solch zeug drauf war aber da hab ichs noch nich gemerkt! onlinebanking mach ich gottseidank nicht! vielen lieben dank für die hilfe und wenn du mal in potsdam bist meld dich dann gehn wir mal aufn bierchen :P MfG Tequila |
Hallo, also gerade bei einer sochen Infektion solltest du eigentlich selbst die Programme nicht übernehmen (bzw. rüberschieben) sondern alle neu installieren, da es durchaus möglich ist das die Dateien so manipuliert wurden das ein ausführen eine Neuinfektion zur Konsequenz hätte. Wie gesagt keine exe Dateien übernehmen, und damit werden quasi alle Programme darunter fallen. P.S. Wenn ich mal in Potsdam vorbeikomme, komme ich darauf zurück. Grüße Wildone |
gute nacht :P so hab das system neu aufgesetzt...jetz kommn erstma tolle updates und so...freude!nunja hier erstmal aktueller Log! Hoffe da is nix drin! Logfile of HijackThis v1.99.1 Scan saved at 23:45:47, on 31.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\CTFMON.EXE \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Opera\Opera.exe D:\HijackThis.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) |
Schaut gut aus. Zur Sicherheit kannst Du ja nochmal Blacklight laufen lassen. |
so hab Blacklight drüber geschickt wurde nix gefundn! Damit ist mein Problem wohl behoben :) Danke nochmal für die liebe Hilfe! Gute Nacht :) MfG Tequila |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board