GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: 1 2 3 4 5 6 | zum Seitenende |
|
Autor | Mitteilung |
stolzwieoscar
Boardkaiser Beiträge: 3055
|
Gesendet: 20:51 - 17.05.2005 meine Rechtschreibung lässt mal wieder zu wünschen übrig!! Ich meinte:hier rein |
Schnuffel
registriert Beiträge: 21
|
Gesendet: 22:01 - 17.05.2005 Logfile of HijackThis v1.99.1 Scan saved at 21:58:35, on 17.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Winamp\winampa.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\marko & danny\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\BTORadio\ps_agent.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/073319e43893b19ad417/netzip/RdxIE601_de.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7AC980-5AC1-4C81-833E-40F2ED0590A1}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Ich hoffe das ist richtig so |
stolzwieoscar
Boardkaiser Beiträge: 3055
|
Gesendet: 22:58 - 17.05.2005 ja, sehr gut! Jetzt müssen wir nur noch den Fehler suchen, erkennen und da bin ich ehrlich, das fällt mir auch schwer! Entweder wir warten da noch auf Hilfe, oder Du gehst das Prob selbst an! Das können wir auf 2 verschiedene Weise angehen.... 1. Möglichkeit: Du wertest dein Log-File selbst aus, http://www.hijackthis.de/de und wendest Dich dann ,wenn Probleme entstehen zur Auswertung an die dort angegebenen Foren, oder kopierst es direkt hier rein....http://www.trojaner-board.com/showthread.php?t=17493....dort wirst Du sicherlich auch weiter geholfen. Sorry, das ich nicht weiter helfen kann. Gruß Rolli |
Donald
Boardkaiser Beiträge: 2682
|
Gesendet: 23:07 - 17.05.2005 O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe Name W32/Rbot-LK Typ * Wurm Verbreitungsweise * Netzwerkfreigaben Anfällige Betriebssysteme * Windows Nebeneffekte * Schaltet Antiviren-Anwendungen aus * Ermöglicht Dritten den Zugriff auf den Computer * Stiehlt Daten * Reduziert die Systemsicherheit * Speichert Tastenfolgen * Installiert sich in der Registrierung Gruß Donald |
stolzwieoscar
Boardkaiser Beiträge: 3055
|
Gesendet: 23:30 - 17.05.2005 danke Donald! |
Donald
Boardkaiser Beiträge: 2682
|
Gesendet: 23:42 - 17.05.2005 Rolli, gemeinsam sind wir stark. Gruß Donald |
Deichkind
Board-Champion Beiträge: 5022
|
Gesendet: 05:32 - 18.05.2005 @Donald: Genau ;) Die Logfile sieht so schlecht nicht aus, bis auf den Wurm: Backdoor.Rbot.U (wuamgrd.exe) Alias: W32/Rbot-U, Backdoor.Rbot.gen, W32/Sdbot.worm.gen.h Ist ein W32-Wurm, der sich remote über IRC-Kanäle verbreitet und sich als wuamgrd.exe in das Windows-System kopiert. Verbreitung über E-Mail, folgende Registrierungen werden verändert: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft Update = wuamgrd.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Microsoft Update = wuamgrd.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft Update = wuamgrd.exe Backdoor.Rbot.U versucht Antivirenprogramme zu beenden bzw. zu deaktivieren und versucht Freigaben am Host-Computer inklusive C$, D$ und ADMIN$ etc. zu löschen unter Verwendung folgender Registrier-Einträge: HKLM\SOFTWARE\Microsoft\Ole\ EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ restrictanonymous = "1" Entfernung: Sperren Sie die System-Wiederherstellung (Windows Me/XP). Aktualisieren Sie die Virusdefinitionen. Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk. Bearbeiten der Registrierungseinträge: Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft Update = wuamgrd.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Microsoft Update = wuamgrd.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft Update = wuamgrd.exe Löschen Sie die Einträge, sofern sie existieren. Schließen Sie den Registrierungseditor. greetz DK |
Schnuffel
registriert Beiträge: 21
|
Gesendet: 09:11 - 18.05.2005 Guten Morgen Oh jeh,das hört sich aber nicht gut an,oder? Ich glaube weniger,das ich das alleine schaffe,denn sooo gut kenne ich mich nicht aus.Ich hatte gestern schon Muffe mit dem Logbericht,ob ich das alles so schaffe. Aber ich danke Euch für die super schnellen Antworten . . Gibt es denn keinen Tool für den Wurm? Muß da jetzt ein PC Fachmann ran? Gruß Daniela |
Nubira
Moderator Beiträge: 15134
|
Gesendet: 09:22 - 18.05.2005 Daniela, das schaffst Du! Kopiere Dir das, was Deichkind geschrieben hat und drucke es aus. Dann versuchst Du das, was er unter "Entfernung" geschrieben hat, umzusetzen. Lass Dir Zeit und bleib ganz ruhig. Wenn Du irgendwo nicht weiterkommst, frag hier einfach nach! Keine Angst, was soll Dir passieren, viel schlimmer kann es doch nicht kommen. Trau Dich! Nubira |
caboehmer
Boardkaiser Beiträge: 2633
|
Gesendet: 09:32 - 18.05.2005 Hallo Daniela, nur Mut, kann ich da nur sagen! Zum Thema "Abschalten der Systemwiederherstellung" habe ich diesen Link gefunden: http://www.heise.de/security/artikel/39543/3#wxp Dort ist alles erklärt (evtl. ausdrucken). Dann machst Du so weiter, wie es Deichkind beschrieben hat. Danach kannst Du die Systemwiederherstellung wieder einschalten (ist im Link beschrieben) und den Rechner neu starten. Bei Fragen sind wir wie immer für Dich da. MfG Carsten |
- Trojaner TR/Dldr.Ladder.A - | zum Seitenanfang |
|
Version 3.1 | Load: 0.003201 | S: 1_2 |