Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

hi.

ich hab so ziemlich das selbe problem, nur hab ich keine möglichkeit die systemwiederherstellung zu nutzen.

Hijackthis-log:

Logfile of HijackThis v1.99.1

Scan saved at 08:11:55, on 04.01.2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Programme\VMware\VMware Workstation\vmware-authd.exe

C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINNT\system32\vmnat.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\vmnetdhcp.exe

C:\WINNT\Explorer.EXE

C:\Programme\Java\jre1.5.0_08\bin\jusched.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINNT\system32\ctfmon.exe

c:\progra~1\intern~1\iexplore.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

E:\Download\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Willkommen bei MSN Deutschland

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {4D007783-96F7-4E33-8CE3-7821FBB840B2} - C:\WINNT\system32\msencoee.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [Face Error Memo List] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ante bat face error\IntraFlap.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install"

O4 - HKCU\..\Run: [Lies about] C:\DOKUME~1\pbehrens\ANWEND~1\IDLEOK~1\pollpopinside.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe

AntiVir meldet als fund "TR/Obfuscated.BL"

gefunden @C:\DOKUME~1\user\ANWEND~1\IDLEOK~1\vsiiwkdl.exe

(wobei user nur ein platzhalter für die benutzer ist)

das teil nervt schon ein wenig, weil er sich inzwischen auf mehreren rechnern im netzwerk verbreitet hat.

hat jemand ne ahnung, wo ich ansetzen muss, und vorallem wie, damit ich den virus vollständig beseitigen kann ?!

Geschrieben

Also ich habe meine durch Zufall wegbekommen. Ich hatte bei einer Routine Einstellung die Viren im Autostart unter msconfig gefunden. Überall ausgeschaltet, dass sie nicht mit Windows starten und dann Virenprogramme alles löschen lassen. Seid dem hab ich keinen Stress mehr.

Geschrieben

wie aufmerksam von dir ;) aber wie bekomm ich den trojaner nun weg ? z.Zt. hindere ich ihn mit Spybot's teatimer daran, sich erneut in die registry einzutragen, was aber auf dauer und auf das netzwerk betrachtet keine wirkliche lösung ist...

Geschrieben
wie aufmerksam von dir ;) aber wie bekomm ich den trojaner nun weg ? z.Zt. hindere ich ihn mit Spybot's teatimer daran, sich erneut in die registry einzutragen, was aber auf dauer und auf das netzwerk betrachtet keine wirkliche lösung ist...

Hast du alle Programme auch im Abgesicherten Modus laufen lassen?

HiJack This!

Ad-Aware

Spybot

Antivir

dann evt. noch:

Ewido Anti Malware

Panda AntiVir

Ansosnten Neuinstallation

Geschrieben

das steht noch aus, zur zeit beobachte ich das ganze und werde in der mittagspause einen kompletten virenscan laufen lassen. gestern nach feierabend hab ich per spybot sd teatimer verhindert, das der virus sich in die registry eintragen konnte, seit dem hab ich keine meldungen mehr bekommen und auch keine popup's.

Geschrieben

Befallene Systeme vom Netzwerk trennen.

Nimm knoppicillin mit aktuellen Virendefinitionen und scanne diese Rechner.

mehr siehe c't 21/2006, S. 168: Sicherheit: Knoppicillin

Weitere Analysetools:

- Process Explorer und AutoRuns von Microsoft/Sysinternals.

Beide bieten wesentlich ausfuehrlichere Ergebnisse als die MS-Originale Taskmanager und msconfig.;)

AVG AntiSpyware:

30 Tage Trial siehe AVG Anti Virus: Products

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...