|
verseucht alle 2 tage habe die verschiedensten trojaner vieren und spyware drauf .. trotz langsamer formatierung und partionierung in xp oder vista blue screen - win32k.exe fehler .. wdf01000.sys .. adblock.dll .. usw. mit av-scanern yb. - mwav hat mal fujacks gefunden .. troj_alk.b hktl_mdctr.a .. whenUSave_installer.exe.. win32lockfolder.a ... win32reboot.e .. bat.ftp.ab .. win32.fileinfector .. whenU-3 usw. ich denke , es versteckt sich was in pat0 festplatte (und auch speicher) .. der router lasst mich zb.nicht mehr auf die trojaner-board seite nach einem eintrag hier von mir hier , selbst nach einem reset nicht ist das pw schon geaendert und ich komm nicht mehr rauf. oder lasst mich gewisse virenscanner nicht mehr runterladen usw. (alles innerhalb 2 tagen , dann neu aufsetzen und das seit 4/5wochen schon):kloppen: bin zur zeit mit knoppix im netz ,wo alles funkt. danke f[r eure hilfe im vorraus >) |
Lade dir Knoppicillin herunter, auf CD brennen und System hochbooten. Sind verschiedene Virenscanner integriert. Könnte sich auch um einen bootvirus handeln. Knoppicillin Download - aber wo ? - administrator Was heißt langsame Formatierung? Hast du jetzt versucht dein System neu aufzusetzen? Was passiert wenn du Windows neu installieren willst? Gruss |
thx fuer deine antwort , aber der download funkt bei mir nicht (anderes dort kann ich downloaden) habe jetzt einen anderen link knoppicillin 5 gefunden der geht. falls jemand braucht ftp://linux.rz.ruhr-uni-bochum.de/knoppicillin/ unter windows kann man langsam oder schnell formatieren, wobei die langsame art davon die sicherste ist. :schmoll: gruss |
Hallo, Zitat:
Aber woher weißt du das bzw.wo bitte könnte ich das nachlesen ? Meine Empfehlung lautet : Schau dir den Thread zum Neuaufsetzen des Systems an. Du findest ihn in unserer FAQ Sektion. Der hat schon Tausenden auf den rechten Weg geholfen,sofern sie die weiterführenden Links und Tipps beachtet haben,sind sie auch nie wieder hier gesehen worden..... Irrlicht |
woher ich das weis , scherz oder :balla: ich hab mehr als 200mal windows systeme in meinem pc-leben auf gesetzt und da hat man so einiges in den jahren dazu gelernt . das heisst nicht dass ich mich super gut auskenn , aber jeder techniker admin ... hat das vorgeschlagen , beim neuinstallieren eine langsame formatierung durzufueren aber ich lasse mich gerne besseren belehren :o ich hatte nie so extreme probleme wie seit 5 wochen. danke f[r deine hilfe gruss |
Hallo, Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Ich habe mit Google gesucht ,das die Server qualmten... Aber keinen Link gefunden ,der mir die unterschiedlich schnelle Formatierung erklärt hätte.... Hast du inzwischen was für mich ? Btw. ich will dich nicht hochziehen,befürchte aber du verwechselst Begriffe... Mir ist eine unterschiedlich schnelle Art der Formatierung einer Festplatte nun überhaupt nicht bekannt... Da ich aber durchaus bereit bin Neues zu lernen,dachte ich es wäre mal wieder soweit...:huepp: Vielleicht könntest du mal ein Logfile von Hijackthis vorzeigen ? Anleitung dazu ist in unserer FAQ Sektion. Irrlicht |
Logfile of HijackThis v1.99.1 Scan saved at 16:31:31, on 12.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16441) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe C:\Programme\Microsoft Windows OneCare Live\winss.exe C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\haing9.NKLNKK-10412EDD\Desktop\hijackthis_199\muh_HijackThis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1072912443281 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1072912433562 O17 - HKLM\System\CCS\Services\Tcpip\..\{8034842F-65A4-4464-942C-CE9F5EDE51DD}: NameServer = 195.58.160.194,195.58.161.122 O17 - HKLM\System\CCS\Services\Tcpip\..\{A3A81DF3-0E83-4197-9982-C2B40849D490}: NameServer = 195.58.160.194,195.58.161.122 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8725F1-B89C-4733-8B3C-686FAF2D24AD}: NameServer = 195.58.160.194 195.58.161.122 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll |
hey grr, (die antwort nochmal für alle) der fifo bedeutet: firstin firstout. Was genau ist dein problem, habe eigentlich gute erfahrungen mit gdata internet security gemacht, das hat den bei mir eingeschleusten rootkit gefunden. allerdings handelte es sich um ein botnetz. sollte bei dir das problem nicht zu lösen sein, hast du nur die möglichkeit deine eproms auf dem motherboard zu prüfen. dazu brauchst du allerdings ein spezielles gerät bzw. gibt es solche angebote zum prüfen, da du ja auch eine entsprechendes bios brauchst. gibts meist beim hersteller. kostet natürlich. sollte ein neues bios update nicht funzen, neues motherboard, ist die billigste lösung. habe mit microsoft und kaspersky lange hantiert, die wissen um die zombie-rechner und haben nicht wirklich eine lösung...!:eek: for more info ask greetz fidesta |
hey grr, im übrigen benutzte ich auch dban per diskette. sollte etwas auf dem rechner sein hilft eh nur das überschreiben der ganzen platte, vorzugsweise mit der gutmann-methode... dauert zwar ist aber sicherlich nochmal eine möglichkeit, ausserdem bios auf null setzen, heißt mit jumper und batterie arbeiten. anleitung sollte bei dem hersteller des motherboards zu bekommen sein. greetz fidesta p.s.: es spielt keine rolle ob du sp2 drauf hast oder nicht, wie hier der eine oder andere immer hochnässig behauptet hat. einem rootkit ist das ganz egal... "Denn sie wissen nicht, was sie tun" |
hallo fidesta danke für deine nachricht :daumenhoc habe mir ein neues motherboard zu gelegt und alles funktioniert soweit. das mit dem fifo-baustein ist trotzdem wieder wie vorher da , trotz neuer festpl. lan und board. (nur grafik und prozessor ist alt) es kam mir nur spanisch vor dass sonst keiner (den ich fragte)bei der wind.inst. einen fifo baustein mit installiert hat. Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet. dann so fehler melungen eben falls im ereignisprotokoll zu anfang zb.: Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden. Ein Anbieter, CmdTriggerConsumer, wurde im WMI-Namespace, Root\cimv2, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden. Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt. würd gern wissen ob die paar einträge in der ereignisanzeige bei jeder windows installation normal sind. und das mit dem rootkit , das würd ich auch gern verstehn , wie ich das gekriegt hab und wo dieses teil überwintert am pc :rolleyes: gruss :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:54 Uhr. |
Copyright ©2000-2024, Trojaner-Board