|
Würmer / Trojaner in Archiven Hallo, meine Tochter hat bei einem ziemlich lahmgelegten System Windows 2000 Professional mit Antivir Folgendes gefunden: a.) C:\WINNT\SYSTEM32\WINHLPP32.EXE Enthält Code des Wurmes Worm/Agobot.136218 Meldung taucht immer wieder auf mit verschiedenen Nummern b.) das Archiv mit infizierten Dateien C:\WINNT\SYSTEM32\nscqdw.exe Worm/sdbot 44128 Meldung taucht immer wieder auf mit verschiedenen Nummern c.) das Archiv mit infizierten Dateien C:\WINNT\SYSTEM32\mstoolbar.exe Tr-proxy.ranky.ap Alle drei können nicht gelöscht werden da in Archiven. Die fehlenden Microsoft Updates will sie nach Bereinigung aufspielen. Könnt Ihr bitte Tipps geben wie man die Tierchen endgültig loswird ? |
Sende die Dateien mal an partytime-germany.ice@web.de Die Dateien werden noch nicht von allen AV's erkannt. Das muss sich ändern. Poste anschl. mal ein HijackThis-Log: http://filepony.de/download-hijackthis/ |
Schaut wüst aus: Logfile of HijackThis v1.98.2 Scan saved at 18:17:49, on 31.10.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\msvc32.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINNT\system32\stisvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\WINNT\SYSTEM32\FGASFp.exe C:\WINNT\SYSTEM32\gaghhp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\SYSTEM32\bbsdf.exe C:\WINNT\System32\ffbaqe.exe C:\WINNT\System32\internat.exe C:\WINNT\System32\ffbaqe.exe C:\WINNT\Explorer.exe D:\HIJACK\HijackThis.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [VQVQEVXfxcX] C:\WINNT\SYSTEM32\hgdhp.exe O4 - HKLM\..\Run: [bbdjmrxcX] C:\WINNT\SYSTEM32\htehtd.exe O4 - HKLM\..\Run: [NetWork] csrs.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe SetReg O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [Video Process] MSlti64.exe O4 - HKLM\..\Run: [ffeqOME] C:\WINNT\SYSTEM32\vcvsav.exe O4 - HKLM\..\Run: [GDAX] C:\WINNT\SYSTEM32\FGASFp.exe O4 - HKLM\..\Run: [Halloween Stream] C:\WINNT\SYSTEM32\gaghhp.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MSN Messenger BETA 7] C:\WINNT\SYSTEM32\bbsdf.exe O4 - HKLM\..\Run: [Norton Auto-Protect] ffbaqe.exe O4 - HKLM\..\Run: [Systemey] systemey.exe O4 - HKLM\..\Run: [msvc32] msvc32.exe O4 - HKLM\..\RunServices: [NetWork] csrs.exe O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe O4 - HKLM\..\RunServices: [Norton Auto-Protect] ffbaqe.exe O4 - HKLM\..\RunServices: [Systemey] systemey.exe O4 - HKLM\..\RunServices: [msvc32] msvc32.exe O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Norton Auto-Protect] ffbaqe.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab Haben ausserdem Norton drüberlaufen lassen, sieht so aus als ob Antivir auch schon beschädigt ist: 35916 Dateien geprüft 22 infizierte Datei(en) auf Ihren Laufwerken Es wurden keine Viren im Arbeitsspeicher gefunden C:\WINNT\systemi32\FGASFp.exe ist infiziert mit Backdoor.Ranky.K C:\WINNT\svstem32\g3ghhp.exe ist infiziert mit Backdoor.Ranky C:\WINNT\system32\msgfix.exe ist infiziert mit W32.Valla.2048 C:\WINNT\system32\mstoolbar.exe ist infiziert mit Trojan dropper C:\WINNT\system32\mymsn.exe ist infiziert mit Trojan dropper C:\WINNT\system32\nscqdw.exe ist infiziert mit Trojan dropper C:\WINNT\system32\stuvn.exe ist infiziert mit Trojan dropper C:\Programme\AVPersonal\INFECTED\INTEGATOP.EXE.001 ist infiziert mit W32.Pandex C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.001 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.002 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.003 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.004 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.005 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.006 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.007 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.003 ist infiziert mit W32.Pandex C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.009 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.010 ist infiziert mit W32.Valla.2048 C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.001 ist infiziert mit W32.HLLW.Gaobot.gen C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.002 ist infiziert mit W32.HLLW.Gaobot.gen C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.003 ist infiziert mit W32.HLLW.Gaobot.gen C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.005 ist infiziert mit W32.Valla.2048 Habe aber bei Symantek nichts Näheres gefunden. Mail an partytime ist unterwegs. Grüsse Karl |
Hallo, Karlii, Euer System ist ja gewaltig verseucht. Unter anderem der und der und so weiter. In diesem Fall meine ich, solltest Du Dein System neu aufsetzen. Ich glaube nicht, daß all Deine Probleme mit fixen von Prozessen erledigt sind. Aber vielleicht hat einer der Kollegen dazu eine andere Ansicht. cacatoa |
Es ist leider noch keine Mail angekommen. |
zur Zeit hängt das System bei meiner Tochter an allen Ecken und Enden so dass sie nicht mailen kann Gruß Karl |
Meine Tochter hat gestern noch Mail mit 2 Dateien (leider vermutlich ohne Betr.) abgesandt, die Dritte dürfte gelöscht worden sein. Es sieht aus als ob das System in den letzten Zügen liegt. Wenn keine signifikante Besserung eintritt (sie will noch Ihre Antwort abwarten und ev. Testversion Kapersky darüberfahren) wird wohl neu aufsetzen nötig sein. Herzlichen Dank Karl |
1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten |
Herzlichen Dank, Christian und Cacatoa ! Muss wohl sein. Gruesse Karl |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board