|
Die heruntergeladenen Dateien sind sicher sauber und es ist extrem unwahrscheinlich, dass sie so schnell manipuliert wurden. Wir brauchen auch nicht das komplette Log von E-Scan, die namen der gefundenen Viren genügen. |
hallo mountain king, escan findet auf meinem infizierten bs nichts mehr, ich habe aber das gefühl,das die wieder aktiv werden, sobald ich ins netz gehe... was ich jetzt machen würde: 1.einen hijackthis log von dem system offline dann online gehen und 2.einen online erstellen, 3.einen e-scan log von dem infizierten system aus machen, nachdem ich online war (müsste eigentlich reichen, da e-scan ja alle partitionen scant ( ODER ???? ) 4.einen hijackthis log von dem vielleicht noch sauberen system erstellen. und hier bin ich mir nicht sicher: kann/sollte/darf ich mit dem vielleicht noch sauberen system online gehen, um auch von dort einen hjt-log zu erstellen, nachdem ich online war... ????? das ganze poste ich dann hier (als anhang oder direkt ???) guido. |
... und noch was: auf meinem laptop (win98se) findet e-scan folgendes: file c:\windows\command\ebd\ebd.cab tagged as not-a-virus: tool.dos.restart no action taken wichtig??? lg, guido |
hallo, so, hier die logs: zuerst noch einmal die zwei alten (zuerst offline, dann online): dieser offline: Logfile of HijackThis v1.98.2 Scan saved at 22:21:38, on 28.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE F:\WINDOWS\Explorer.EXE D:\AVPersonal\AVWUPSRV.EXE F:\WINDOWS\System32\nvsvc32.exe F:\WINDOWS\System32\sys32snd.exe F:\WINDOWS\System32\sstray.exe F:\WINDOWS\System32\RUNDLL32.EXE D:\AVPersonal\AVGNT.EXE F:\Programme\Real\RealPlayer\realplay.exe F:\Programme\SlySoft\CloneCD\CloneCDTray.exe F:\WINDOWS\System32\rundll32.exe F:\WINDOWS\System32\ctfmon.exe F:\Programme\Real\RealJukebox\tsystray.exe F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe F:\Programme\Cd Kopieren\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - F:\WINDOWS\System32\COMET.DLL O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [RealTray] F:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RealJukeboxSystray] F:\Programme\Real\RealJukebox\tsystray.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE ... und dieser online (beim herunterladen eines patches von microsoft): Logfile of HijackThis v1.98.2 Scan saved at 23:13:25, on 28.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE F:\WINDOWS\Explorer.EXE D:\AVPersonal\AVWUPSRV.EXE F:\WINDOWS\System32\nvsvc32.exe F:\WINDOWS\System32\sys32snd.exe F:\WINDOWS\System32\sstray.exe F:\WINDOWS\System32\RUNDLL32.EXE D:\AVPersonal\AVGNT.EXE F:\Programme\SlySoft\CloneCD\CloneCDTray.exe F:\WINDOWS\System32\rundll32.exe F:\WINDOWS\System32\ctfmon.exe F:\Programme\Real\RealJukebox\tsystray.exe F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe F:\Programme\Internet Explorer\iexplore.exe F:\WINDOWS\system32\cmd.exe F:\WINDOWS\System32\recall.exe F:\Programme\Cd Kopieren\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - F:\WINDOWS\System32\COMET.DLL O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [RealTray] F:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\Run: [netservices] recall.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\RunServices: [netservices] recall.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\RunOnce: [netservices] recall.exe O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RealJukeboxSystray] F:\Programme\Real\RealJukebox\tsystray.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{ECB30A07-E6E8-4C2B-AED0-722AE61896C2}: NameServer = 145.253.2.81 145.253.2.203 meine vermuteten infizierte dateien sind die recall.exe und die sys32snd.exe diese tauchen aber auf den neuesten nicht mehr auf ... ???? die neuesten hjt logs hänge ich dir als anhänge an: hijackthis3009off ist der offlinelog vom infizierten bs hijackthis3009on ist der onlinelog vom infizierten bs hijackthis3009offclean ist der offlinelog vom "sauberen" bs hijackthis3009onclean ist der onlinelog vom "sauberen" bs jetzt ist von den recall.exe und sys32snd.exe nichts mehr zu sehen. es kommen auch keine virusmeldungen mehr...??? weder von escan noch antivir !!! escan und antivir haben aber auch immer wieder sachen entfernt. escan bringt noch folgende error meldungen: 1.hklm\system\currentcontrolset\services ERROR!!! scanfile fails... 2.file c:\system volume information\*.* ERROR!!! findfirstfile for c:\system volume information\*.* failed: reason is zugriff verweigert 3.file d:\system volume information\*.* ERROR!!! findfirstfile for d:\system volume information\*.* failed: reason is zugriff verweigert 4.file f:\system volume information\*.* ERROR!!! findfirstfile for f:\system volume information\*.* failed: reason is zugriff verweigert 5.file f:\system volume information\*.* ERROR!!! findfirstfile for f:\system volume information\*.* failed: reason is zugriff verweigert ...sowie 'ne menge "having size restriction"-meldungen seltsam ist nur, das diese meldung nicht für die partition e:\ auftaucht ....??? ich weiss, das ist 'ne menge zu lesen, aber ich weiss nicht, was wichtig ist für eine richtige beurteilung .... schon mal im voraus einen allerbesten dank !!!!!!!! lg, guido |
hier noch ein paar alte meldungen, die immer wieder auftauchten, jetzt aber nicht mehr: scanning file f:\windows\system32\sys32snd.exe process f:\windows\system32\sys32snd.exe found running in memory... ***killing infected process f:\windows\system32\sys32snd.exe... ***killing sucsessful scanning file f:\windows\system32\recall.exe process f:\windows\system32\recall.exe found running in memory... ***killing infected process f:\windows\system32\recall.exe... ***killing sucsessful file f:\windows\system32\sys32snd.exe infected by "backdoor.win32.wootbot.gen"virus action taken: file renamed scanning hklm\software\microsoft\windows\currentversion\run ***reg value software\microsoft\windows\currentversion\run\win32 usb2 driver deleted because it is infected by a virus scanning hklm\software\microsoft\windows\currentversion\runonce ***reg value software\microsoft\windows\currentversion\runonce\win32 usb2 driver deleted because it is infected by a virus scanning hklm\software\microsoft\windows\currentversion\runservices ***reg value software\microsoft\windows\currentversion\runservices\win32 usb2 driver deleted because it is infected by a virus scanning hkcu\software\microsoft\windows\currentversion\run ***reg value software\microsoft\windows\currentversion\run\win32 usb2 driver deleted because it is infected by a virus scanning hkcu\software\microsoft\windows\currentversion\runonce ***reg value software\microsoft\windows\currentversion\runonce\win32 usb2 driver deleted because it is infected by a virus file f:\windows\system32\recall.exe infected by "backdoor.win32.wootbot.gen"virus action taken: file renamed über die windows suche funktion finde ich: sys32snd.exe-0280346a.pf in f:\windows\prefetch syssnd.exe.mvt in f:\windows\system32 recall.dll in d:\programme\microsoft office\office recall(2).dll in d:\programme\microsoft office\office recall.exe-12b9a584.pf in f:\windows\prefetch recall.exe.mvt in f:\windows\system32 recall.dll in f:\programme\microsoft office\office ... und in der regestry bei suche nach "win32 usb2 driver" finde ich: unter hkey_users\default\software\microsoft\currentversion\run: win32 usb2 driver mit dem wert sys32snd.exe und netservices mit dem wert recall.exe das gleiche unter: .....\runonce ... unter: hkey_user\s-1-5-18\software\microsoft\windows\currentversion\run und unter: ......\runonce |
...laut antivir und escan hab ich bis auf diverse warnungen bei antivir (zugriff verweigert) und die geposteten error meldungen von escan ( zugriff verweigert, scanfile fails, having size restictions) keine plagegeister mehr .... komisch ... kann ich dem jetzt vertrauen ????? lg, guido |
Hallo beteigeuze, erstelle bitte nochmal ein neues HijackThis Logfile und poste es. SD |
Hallo, ich habe seit längerem Viren auf dem Rechner. Ich habe mehrmals formattiert. Und anfangs war es der Win32/Pinfi. Dann habe ich noch mals formattiert bin aber nicht online gegangen trotzdem hatte ich den WORM/RBOT drauf. Fand ich sehr seltsam. Mein AntiVir hat zwar den angeblich gelöscht, War dann auch online, aber meine senderate ist auf höchster aktivität, obwohl ich nichts mache. Jedesmal wenn ich online gehe, kommt sofort wieder ein virus woran liegt das? Hier mal meine Log file: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Tiny Personal Firewall\persfw.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\nkqc.exe C:\WINDOWS\System32\lssas.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe C:\WINDOWS\System32\svchost.exe C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe C:\Programme\Avant Browser\avant.exe C:\Dokumente und Einstellungen\Familie\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RSPC Driver] nkqc.exe O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKLM\..\RunServices: [RSPC Driver] nkqc.exe O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [RSPC Driver] nkqc.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{2491A434-EE75-474B-94E6-B0770D54D5BE}: NameServer = 217.237.151.33 217.237.149.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{2491A434-EE75-474B-94E6-B0770D54D5BE}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Tiny Personal Firewall - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) Hoffe ihr könnt mir weiterhelfen. Danke |
Hallo @ Mot, Zitat:
Formatiere abermals neu und halte dich an diese Anleitung, dann klappt es auch: http://www.trojaner-board.de/showpos...28&postcount=2 |
Ja das ist richtig, aber ich habe auch formattiert und ich war nicht online und dennoch hatte ich dann ein virus. Ich habe die neuste version meines Antivir und eine firewall runtergeladen und dann auf CD gebrannt im verseuchten Zustand meines Pc's, nach der Formattierung habe ich dann diese Programme installiert und ich war nicht online. Sofort hat mein Antivir ein Virus festgestellt. Finde ich komisch, aber liegt es vielleicht daran dass ich eine cd im verseuchten zustand gebrannt habe und dann benutzt habe? |
Bei einem kompromittierten System sind ausführbare Dateien eben nicht mehr vertrauenswürdig. Also empfiehlt es sich, nichts aber rein gar nichts, aus einem versifften System zu kopieren und ins neue System zu integrieren. Downloads sollten stets von einem wirklich sauberen System durchgeführt werden oder alternativ eben auf Linux Distributionen kurzfristig ausweichen. Les dir diese Seite aufmerksam durch: http://oschad.de/wiki/index.php/Kompromittierung |
Hallo , bin neu hier im Board und musste heute feststellen , daß ich diesen Seuchenvogel auch habe . Berüchtigte CFLMON.EXE in der REG . Step by step alles neue deinstalliert hat nichts geholfen . Einzige Alternative zur Neuinstallation war Herstellung eines früheren Systempunktes . Bei mir Anfang August . Wunderbar , alles verschwunden , da Systemdateien aus dem Backpackordner nicht angegriffen wurden . Somit nur ein paar Programme verschwunden . Hoffentlich geht es bei euch auch . |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board