|
Wurm ist weg aber trotzdem Probleme! Hallo, ich hoffe ich bin hier richtig, ich hatte nen Wurm drauf der sich BDS Ciadoor13.B nannte AV scanner hat ihn letztendlich gelöscht... Mein Problem ist das ich nicht in die Registry komme da erscheint die Meldung "Bearbeitung der Registry wurde durch Administrator gesperrt" beim Versuch den Taskmanager das gleiche "Taskmanager wurde vom Admin deaktiviert"! Bei Windows Media Player kommt beim Öffnenwollen einer Datei 2-unendlich oft direkt hintereinander folgende Meldung "Prozedureinsprungpunkt "GetIUMS" wurde in der DLL "MSDART.DLL" nicht gefunden." Meine Fragen wie komm ich wieder an meine Registry und meinen Taskmanager und was hat die Meldung beim WinMediaPlayer zu bedeuten? Hoffentlich könnt ihr mir helfen bin in der Hinsicht nich der Hellste..:schmoll: Danke und Gruß Wip Dip. |
Guten Abend, du weißt schon, das Dein Rechner nicht mehr Vertrauenswürdig ist? Bei Backdoor befall ist die einzig sichere und Vernünftige Lösung ein Neuaufsetzen des Systems. Info zu Deinem Schädling Poste mal nen Hijacktis Log. Aber ich denke, das Neuaufsetzen die einfachste, sicherste und schnellste Lösung ist! Gruß Mellosun |
Also ich hatte nur Windows nochmal drüber installiert, ohne Formatierung... Hab jetzt mal n HJT scan gemacht: Logfile of HijackThis v1.99.1 Scan saved at 12:52:35, on 13.08.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe C:\Programme\AGFEO\ISDN Guard\agfguard.exe C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\ULTIMA~1\uzip.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Neuer Ordner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe" O4 - Global Startup: hp officejet 4100 series.lnk = ? O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F53F6D-91F1-4089-96AC-632A4EE685CC}: NameServer = 195.71.164.115 193.189.244.205 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Also ich musste da nix umbennen oder so und der BDS wurde vom Avira AV scanner schon vorm Systemneuinstallieren gelöscht. Hoffe ihr könnt mir mit der log weiterhelfen. Danke und Gruß Wip Dip. |
Zitat:
das war sehr sinnvoll, die Arbeit hättest du dir sparen können!!! Ein einfaches "drüberwegbügeln" hilft in solch einem Fall nicht immer, eigentlich garnicht. Kann sein das du bald wieder Probleme bekommst. Ein Mekrmal wäre zum Beispiel das hier: Zitat:
Start->Ausführen->regedit "ENTER" Oder hast du selber deine Registrierung gesperrt? Gruß Sunny EDIT: zu langsam Mellosun°! ;) |
Hallo, Zitat:
Warum ist kein SP2 Installiert? Kein Wunder, das du Probleme hast! Installiere SP2 und mache einen eScan nach Anleitung . Poste das Ergebnis mit hilfe der Find.zip! Also genau Lesen und dannach handeln! Gruß Mellosun EDIT: Werde alt [Gc] Sunny |
Zur Registry: genau das hab ich schon im ersten Post geschrieben, das ich nicht rein kann und ich hab sie nicht gesperrt...das Gleiche mitm Taskmanager der geht auch nich (war auch der administrator)... Das das "Drüberbügeln" nix gebracht hat hab ich selber schon feststellen können, da sich ja nix geändert hat. Kann ich den Eintrag in der log mit dem O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 dann einfach fixen? |
Zitat:
Eine andere Möglichkeit gibt es nicht.. Gruß Sunny |
Hab mir das schon durchgelesen, es gibt keine andere sichere Möglichkeit?? Ich muss alles formatieren und alles neu einrichten etc.? Kannst du mir wenigstens noch die Hintergründe dazu erklären, das ichs vielleicht nochn bissl besser versteh? |
Zitat:
Eine andere Möglichkeit gibt es leider in deinem Falle nicht!! Hier nochmal das, was der Schädling alles kann: Zitat:
Ich gebe dir nur den Rat, alle Passwörter (Ebay, Online-Banking, etc.) zu ändern, das System schnelsstmöglich vom Internet zu trennen, und eine komplette Neuinstallation durchzuführen. Hier nochmal dir genaue Bezeichnung, was der Trojaner alles kann, lies dir vor allem den unteren Teil durch: Sende Informationen über: Möglichkeiten der Fernkontrolle: http://www.avira.com/de/threats/sect...iadoor.bo.html |
Also die besagten Dateien hat er nicht erstellt das hab ich schonmal geschaut... in die Registry komm ich wieder genauso wie in den Taskmanager und die Eingabeaufforderung. Kann ich nicht auch die ganzen Registryeinträge überprüfen und löschen/ändern? Bei der wsock32.sys hat der AV scanner auch gleich erkannt was los is und die gelöscht.. Meine Frage wieso is die Bedrohung noch da wenn der AV Scanner nix mehr findet, also wie kann jetzt jemand auf den PC zugreifen? |
Zitat:
Die Schädllinge werden ja nacheinander "modifiziert", d.h. sie werden wieder verändert, sodass sie nicht so schnell vom AV_Scanner erkannt werden.# Daher gibt es auch eine riesige Zahl an Schädlingen.. Also, nicht lange fackeln, und formatieren :teufel2: |
Hab mit XoftspySE nen Scan gemacht und da die gefährlichen Sachen gelöscht. 1 Find ich aber nicht: der is mit s3d_auto_file angegeben! wie kann ich den auch löschen? Das Teil macht irgendwas im IE und zeichnet alles auf! |
@Wip Dip es ist leider wirklich so, wie Sunny schreibt. Wenn du dein System neu aufsetzt, denke gleich an das Servicepack 2 für Windows XP, falls du es nicht inzwischen heruntergeladen hast. Ein kompromittiertes System ist nicht mehr dein Eigentum! Du kannst dir die Zeit nehmen um an deinem PC zu üben, hier löschen, da neu installieren. Glück wirst du mit dem System nicht mehr. warte ich suche dir die Geschichte vom NetBOT (Schade ich finde sie nicht, hat irgendeiner hier in der Signatur). In diesem Zustand jedenfalls wird dein PC von anderen aus dem Internet zum kräftigen Geldverdienen benutzt! Gönne ihnen nicht deine Nerven, deine Zeit und deinen Strom. PP |
Ok ich glaub euch jetzt, denn ich hab grad mit eScan nen Scna gemacht ja ich glaub auch das ich so nimmer glücklich werde.... |
Um was gings in der Geschichte so grob zusammengefasst? |
@Wip Dip ich will es nicht zerreden. Ich suche sie dir! Es ist haarsträubend, wie das Internet mißbraucht wird. Das größte Geschenk für kriminelles Handeln ist die Unwissenheit und Naivität der User, abgesehen von aller unfertigen Software die auf den Markt geschmissen wird! PP |
Hab jetzt formatiert und Windows neu installiert, SP2 wird grad installiert, firewall und AV Scanner sind drauf und aktualisiert. Hab meine e-mail passwörter geändert, was sollte ich jetzt noch alles machen?? Und eine Freage noch woran liegts das das System manchmal voll hängt, sprich einfach mal stehen bleibt, der IE mal abstürzt...? PS: Was is mit der Story vom NetBOT? Gruß Wip. |
Hallo, du Installierst grad SP2 und bist Online? Hast du nach der Anleitung (siehe meine SIG) das System Neuaufgesetzt? Dann hättest du gesehen, das nach der Installation von XP erst das SP2, und dann das AV Installiert und geuppdatet werden sollte. Du warst sicherlich Online, als du noch kein SP2 drauf hattest, weil du ja Dein AV Programm auf den neusten Stand gebracht hast. Allein 1 Minute Online sein, reicht aus um sich die Plagegeister wieder einzufangen ohne das du was dafür tun musst! Gruß Mellosun |
Stimmt leider! Ich glaube, nein ich wünsche es ihm, er ist mit dem Laptop hier. Die Geschichte zu dem netbot läuft mir wieder über den Weg, deinen Nick merke ich nir... du bekommst eine PN, ok? Irgendwie bin ich heute ausgelaugt :( PP |
Ja ich konnt mir das schlecht merken und ausdrucken ging vorher nicht mehr... Also hab erst Firewall dann AV von Cd installiert und dann paar patches von cd für sp1 und dann ins internet updaten und sp2 installieren.. Wie find ich jetz raus ob schon wieder was drauf ist? |
Wenn du fertig bist, Scanne Dein System und erstelle ein neues Hijacktis LOG! Poste es bitte! Gruß Mellosun |
@Wip Dip Das SP2 kannst du auch von CD installieren! Du mußt es Dir aus dem Inet nicht online installieren, sondern speichern! Nimm dein verschmutztes System, speichere das SP2 auf CD. Nach dem Neuaufsetzen mach einen sauberen Virentest über die Datei, dann installiere SP2 von CD. Übung macht den Meister :) PP |
Neue log is fertig... Logfile of HijackThis v1.99.1 Scan saved at 23:12:50, on 13.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AGFEO\ISDN Guard\agfguard.exe C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.328\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://smartsurfer.web.de/Update O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe" O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8C055631-6CEF-4764-B9C2-8232CFD204F4}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Also ich hab nix gefunden=> das heißt gar nix :lach: |
LOG sieht sauber aus. Hoffen wir mal, das du nun keine probleme mehr haben wirst. Immer schön Updaten und net alles anklicken was blinkt! Gruß und Gute Nacht Mellosun |
Falls die netbot Geschichte auftaucht, bin immer noch interessiert... Hab alle neuen Updates drauf und das langsame ist auch wieder weg. |
@ Wip Dip Netbot - ich denke dran. Die Mühe muß doch belohnt werden. Herzlichen Glückwunsch zum XP SP2. PP |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board