|
ich denk mal habe Trojaner!?!? Bitte um Hilfe ! Erst mal Servus, ich fange mal an zu erzählen... Habe vor drei tagen meinen rechner neu installiert, weil er davor ständig hängen geblieben ist.. Laut norton war nichts zu finden... Nach der Installation, wo ich mit alles fertig war, und wieder nicht mal 10 min. online war, ist mein rechner wieder hängen geblieben.. Und zwar so schlimm, dass ich den kabel von der steckdose ziehen musste, da hatt sich nichts mehr gerührt gehabt.. Bei der zweiten Start, habe ich gleich bei der task-manager nachgeschaut, es waren die drei *.exe dateien die mir aufgefallen sind.. xdcc.exe, ksgkqy.exe, sysbkup.exe meine suche mit Google hat ergeben, dass es sich hier um trojaner handelt.. Dann habe ich halt irgendwie diesen forum gefunden, bisschen nachgelesen, mir den e Scan runtergeladen, mein rechner gescant--> ergebnis: 39 dateien mit Trojanern, Würmer, Virus u.s.w. Unter "Virus Log Information" bei e Scan, konnte ich lesen in welchem ordner die sich befunden haben, und habe *ALLE* weg gelöscht.. Jetzt sollte alles wieder in ordnung sein.. Aber ist nicht.. :( Bei dem zweiten scan (mit e Scan) hat er nur die sachen gefunden.. ich weiss nicht ob die bösartig sind: File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. (wurde drei mal gefunden) File C:\WINDOWS\ml-uninstall-v10.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. (wurde zwei mal gefunden) File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Und jetzt grad eben, vor 10 sek. hatte ne meldung von "AntiVirKit Wächter" Es wurde versucht auf eien infizierte Dateizuzugreifen. Datei : .pif Verzeichnis: C:\WINDOWS\system32 Engine: BD-Engine Virus: Backdoor.BotGet.FtpB.Gen Wenn ich die Datei löschen will, kommt ne kleine Fenster mit dem Text: Die Datei existiert nicht mehr und dann muss ich nur Ok drücken.. Jetzt vorhin ist der zweite gekommen... ist das schlimm?? Naja, so viel von meiner Seite.. Hoffe dass mir einer Helfen kann, und Sorry dass ich so lang geschrieben habe... Servus.. Greko.. |
Hier habt iht noch diesen Hijack This Log File: Logfile of HijackThis v1.98.2 Scan saved at 02:57:07, on 07.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE c:\t-online\browser\browser.exe C:\Dokumente und Einstellungen\Cesur\Eigene Dateien\My eBooks\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O17 - HKLM\System\CCS\Services\Tcpip\..\{A9F69903-EC82-42C0-B365-85E22387AF4E}: NameServer = 217.237.151.97 217.237.150.33 |
Hallo Greko, ich kann Dir keine angenehme Nachricht überbringen. Es ist ziemlich schlimm. Eine Beschreibung des Backdoor.BotGet.Ftp zeigt, dass er zur SDBot-Familie gehört. Sollte Dein Rechner mit anderen Rechnern in einer LAN-Verbindung stehen, ist davon auszugehen, dass die anderen Systeme ebenfalls infiziert sind. Für diesen Backdoor gilt die Beschreibung von Backdoor.SdBot.gen und Backdoor.Agobot.3.gen analog. Beachte hier auch die "Erläuterung". Der Wurm ermöglicht Dritten den Fernzugriff auf Deinen Rechner. Du musst davon ausgehen, dass alle vertraulichen Informationen, Passworte ect. ausspioniert werden. Dein Rechner ist kompromittiert. Es gibt für Laaien keine andere Möglichkeit als den Rechner schnellst möglich aus dem Netz zu nehmen, neu zu formatieren und neuaufzusetzen. Bei Backdoor-Trojanern genügt einfaches Löschen nicht, da sie sich mit verschiedenen Schlüsseln in die Registry eingraben und Code auf dem Gesamt-System hinterlassen. Lies Dir diese Anleitungen durch, damit Dir weiteres Formatieren Deines Rechners erspart bleibt: - Lutz: Datensicherung - Cidre: ein umfassender Rat - Festplatte Formatieren - Schritt für Schritt - Schutzmaßnahmen: www.trojaner-info.de SD |
Ach, du sch.....!! mein rechner ist jetzt schrott oder was?? Denn ich habe es heute neu installiert gehabt zum 3.mal.. Aber habe den sch...., immer noch.. :( ich versuche es dann morgen nochmal.. Naja, was soll ich sagen, pech gehabt.. trotzdem danke schön.. :heulen: |
@ Greko, tut mir leid für Dich. Lies die Tips durch, insbesondere den Rat von Cidre, mach es gründlich und richtig und erspare Dir diese Arbeit in Zukunft ... http://www.cosgan.de/images/midi/traurig/003.gif SD |
Habe jetzt meinen rechner formatiert.. und habe gleich mit eScan durchsucht.. Es waren nur folgende sachen zu findne.. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\ml-uninstall-v10.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. ich weiss jetzt nur nicht ob die überhaupt Virus sind... |
Und nochmal diesen HiJack This Log File.. Logfile of HijackThis v1.98.2 Scan saved at 14:18:51, on 09.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\Dokumente und Einstellungen\Cesur\Eigene Dateien\My eBooks\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com |
hmm... dein log ist clean laut www.hijackthis.de ist doch schonmal was... :aplaus: File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. das ist irgendwas von deiner grafikkarte also nichts schlimmes der rest... sry kp |
@Greko ich würde mal vorsichtig sein, wechsle in den abgesicherten modus und fixe,Häkchen setzen und auf Fix Checked klicken) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm diese datei manuell löschen C:\WINDOWS\web\related.htm die folgende 2einträge sind wahrscheinlich nicht sauber bei dieser hier ist die funktion undeutlich O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll und dieser hier steht unter verdacht O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll kannst du diese datein zuordnen? wenn es ein programm ist das du kennst, dann dürfte es in ordnung sein. wenn du das programm nicht kennst, zur Not googeln, dann manuell in den abgesicherten modus löschen chaosman |
Hallo nochmal, nach dem ich die dateien gefixt habe, und wieder online war.. geht jetzt mein t-online browser nicht mehr.. habe jedesmal die meldung "aktion abgebrochen" oder "die seite kann nicht angeziegt werden" Woher kommt denn das? was muss ich noch ändern.. Bitte nochmal um Hilfe! Servus.. Greko.. EDIT: Laut T-Online servise ist alles in ordnung.. Dort ist kein fehler zu sehen.. |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board