Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Systemwiederherstellung deaktiviert (https://www.trojaner-board.de/37202-systemwiederherstellung-deaktiviert.html)

Lisa17 19.03.2007 22:11
Systemwiederherstellung deaktiviert
 
Hallo liebe Community ;-)

Ich habe gestern eine Datei geöffnet aber kurz davor einen Systemwiederherstllunspunkt gemcht.
Leider war wie ich es erwsrtet habe ,die datei ein Virus/Trojaner ,der meine Systemwiederherstllung deaktivert hat.

1.Kann mir jemand sagen wie ich die Systemwiederherstllung wieder aktivieren kann und somit das alte Systen wiederherstellen kann ?
2.Ist dann der Trojaner auch endgültg weg ?

Liebe Grüße ihr Süßen

Lisa

cosinus 19.03.2007 22:41
Zitat:
1.Kann mir jemand sagen wie ich die Systemwiederherstllung wieder aktivieren kann und somit das alte Systen wiederherstellen kann ?
Kann man so pauschal leider nicht beantworten, jedenfalls nicht ohne zu wissen welcher Schädling dein System befallen hat.
Zitat:
2.Ist dann der Trojaner auch endgültg weg ?
Nein, jedenfalls nicht sicher. Führst du einen Schädling mit Adminrechten aus, nisten die sich nicht selten in das Verzeichnis ein, das für die Systemwiederherstellung genutzt wird.

Ob sich eine Bereinigung lohnt, wird sich zeigen, idR ist ein befallenes System aber neu aufzusetzen. Poste bitte ein Hijackthis-Logfile.

Lisa17 19.03.2007 22:49
Hijack kommt noch.

1)Wenn ich es schaffe diese Dateinen zu löschen und beim nächsten Systemstart systemwiederherstllung deaktiviert habe, dann wieder beim nächsten es aktivieren, werden die trojaner wieder hochgefahren?Muss ich dann für immer und ewig Systemwiederherstllung deaktiviert lassen ?

cosinus 19.03.2007 23:11
Zitat:
Zitat von Lisa17 (Beitrag 259243)
1)Wenn ich es schaffe diese Dateinen zu löschen und beim nächsten Systemstart systemwiederherstllung deaktiviert habe, dann wieder beim nächsten es aktivieren, werden die trojaner wieder hochgefahren?
Kann man auch so nicht sagen, es kommt immer drauf an welcher Schädling sich denn so auf deinem System breit gemacht hat. Ich würde aber eher dazu tendieren, dass dieses Vorhaben scheitert, denn moderne Schädlinge beschränken sich nicht bloß auf eine Datei bzw. einen im Hintergrund laufenden Prozess. Da laufen tw. mehrere Schädlingsprozesse, alle kontrollieren sich gegenseitig, sobald einer beendet und die dazugehörige *.exe gelöscht wird, wird eine neue *.exe angelegt und ein neuer Prozess gestartet.

Dein Vorhaben kann klappen, aber nur das Entfernen garantiert kein sauberes System. Wer sagt dir, dass keine wichtigen Systemdateien durch die Malware verändert wurden? Das kannst du nur überschauen, wenn du von jeder Systemdatei vor dem Befall eine Prüfsumme abgelegt hast und vom bereinigten System wiederum welche erstellst und mit den vorherigen vergleichst. Schwierig hierbei ist aber, dass Windows-Updates ebenfalls Systemdateien ersetzen und dadurch die ersetzten Systemdateien auch andere Prüfsummen haben => müsste man beachten, ist deswegen imho zu aufwendig.

Ok, ich hab jetzt ein bissi weit ausgeholt, poste erstmal für den Grobeindruck ein Hijackthis-Logfile.

Lisa17 20.03.2007 15:58
Hier ist logfile...bitte helft mir ,mein pappn bringt mich um...
Darf auch nicht formatieren

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 15:56:04, on 20.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.937\HijackThis.exe
C:\WINDOWS\system32\mdm.exe

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - C:\WINDOWS\system32\UpMedia\ContentTool.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB58.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB58.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_SFC.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
O4 - HKLM\..\Run: [scvhost] cleared - Anti-sharK by s33k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Le Pfannenwender 20.03.2007 20:23
auf jeden fall ist da das Adware Mirar dabei: Mirar - Potentiell unerwünschte Anwendung - Sophos Bedrohungsanalyse
Aber mehr seh ich da leider auch nicht. kenn mich da nicht so aus

Fixen auf jeden fall:
O15 - Trusted Zone: h**p://click.getmirar.com (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O15 - Trusted Zone: Mirar (HKLM)

dann ist noch ein: Backdoor.Win32.Nucleroot.a dabei: Troj/RKNu-A - Trojaner - Sophos Bedrohungsanalyse

das wäre dann der eintrag: O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
was das Antishark bedeutet kann ich leider nicht sagen. hab da nicht so viel ahnung davon.

und dann noch eine datei scvhost (Die Datei von Windows heißt: SVCHOST!!!), wahrscheinlich irgendein trojaner
O4 - HKLM\..\Run: [scvhost] cleared - Anti-sharK by s33k

also mehr find ich da leider auch nicht

cosinus 20.03.2007 22:20
Lisa, da sind rel. viele Einträge bzw. Dateien, die ich als Schädlinge einstufen würde. Zumindest sind diese sehr verdächtig. Von der Spyware abgesehen finde ich diese besonders bedenklich:

O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
O4 - HKLM\..\Run: [scvhost] cleared - Anti-sharK by s33k

Du hast nicht schonmal versucht, den Rechner mit einem Removal-Tool zu säubern?
Wieso *darfst* du nicht formatieren und wieso bringt "pappn" dich um? Du wirst doch nicht unerlaubterweise an den Rechner gegangen sein? Wenn ja, dann steh zu deinem "Missgeschick" und schildere ihm, dass der Rechner befallen ist.

Eine Bereinigung ist alles andere als sicher.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:07 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129