Virus

[lk92]

Hallo ich habe mich mit dem Virus Backdoor infizirt nun wollte ich mein System Checken lassen und diesen Löschen nun hat aber der Hacker Antivir so eingestelt das es sich nich mehr uppen läst und keine System chacks machen lässt desweiteren hat der die CMD datei so eingestelt das sobal man sie öfnnen sie sofort wieder ausgeht mit dem Taskmenager verhält sich das genau so. Habe den PC jetzt klar vom I-net gekackpt aber was soll ich jetzt machen?

[pim]

Ich würde sagen du setzt dein System mal ganz neu auf!Du kannst ja mal nen Onlinevirencheck machen.

[KoyTheOne]

benutz mal bitdefender nicht so schmandige anti viren programme

[Camyo]

kannste mir mal den genauen namen des virus sagen, weil es mehrer dieser art gibt...

z.b. "Backdoor.win32.Bifrose.D." oder "Backdoor.Win32.Rbot.gen"

poste mal hier einen HiJackThis Logfile.... dann schau ich mir das mal genauer an, dann kann ich dir näheres sagen.

Wie mache ich einen HiJackThis Logfile:

Lad dir ersmal Hijack runter... ads gibts ...

dannn entpackst du das und machst einen doppelklick auf die HiJAckThis.exe

hier siehst du jetzt einen butten wo drauf steht "Do a system scan and save a logfile" da klickste dann drauf

jetzt zieht der sein eigenes ding durch und öffnet anschliessend den editor. Das was in dem editor drinne steht ist dein logfile den kopierste und postest den hier ...




[img]text2schild.php?smilienummer=1&text=mfg Camyo' border='0' alt='mfg Camyo' />

[lk92]

Hier die hi Jack dings:


Logfile of HijackThis v1.99.1
Scan saved at 16:51:06, on 04.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\ sqlservr.exe
C:\WINDOWS\system32\ZoneLabs\v smon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost. exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Java\j2re1.4.2_03&#092 ;bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Pinnacle\MediaCenter&# 092;Remote\Remoterm.exe
C:\WINDOWS\System32\PuXpMan.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr. exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Adminkonto\Desktop\Do wnloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dl l
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.ex e
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dl l
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03&#092 ;bin\jusched.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvSta rtup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter&# 092;Remote\Remoterm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [winlogons.exe] C:\Programme\Free KGB Key Logger\winlogons.exe
O4 - HKLM\..\Run: [CTFMon] C:\WINDOWS\System32\CTF\ctfmon .exe
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\System32\PuXpMan.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,Nv TaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr. exe
O4 - Global Startup: WinExit.lnk = C:\Programme\HushPage\WinExit\ WinExit.exe
O7 - HKCU\Software\Microsoft\Windows&#09 2;CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dl l/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\ EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03&#092 ;bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03&#092 ;bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost. exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\S tyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\v smon.exe

[spelaben]

ins clipboard kopieren und bei hijackthis.de hochladen. ansonsten am besten kaspersky 6 benutzen und ein ergänzendes prog, z.b. ewido security suite 3.5/4.0

[Camyo]

ne ich glaube nicht das das in seine fall was bringt, weil "Backdoor" kein Virus ist und er von daher auch keine systemdatein infiziert, wie man es von anderen viren kennt.

Derjenige der einen aktiven "Backdoor" schickt, hat die möglichkeit veränderungen auf deinem system vorzunehmen, die über den virenscanner nicht zu finden sind.

eigentlich hilft nur "format c" aber durch den logfile kann mann das vielleicht umgehen.

so jetzt muss ich den logfile lesen ^^

[spelaben]

Quote:

eigentlich hilft nur "format c" aber durch den logfile kann mann das vielleicht umgehen.

lol omg nein xD. mach das net! hol dir erst mal kaspersky, das ist das beste was ich kenne, dann lass scannen.

hier die ergebnisse deines logfiles, [man achte unter anderem auf den prozess puxpman.exe!]



//edit, man erkennt noch, dass du nen virus drauf hast: SDBOT.N WORM
ausserdem wurde deine registry deaktiviert, also kannste das mit den autostarteinträgen von dort aus verändern voll vergessen. hol dir kaspersky!

[lk92]

Kann mir jemand sagen wie ich die wieder "entspere"? Ich finde die Datei ned.

[spelaben]

einfach mit kaspersky scannen 0o. gemachte einstellungen vom virus werden dann meist zurückgesetzt.

[lk92]

Ok habe das Kapdingens drüber laufen lassen und alles Backdoor gelöscht aber meine task-menager, die cmd und die Registry ist immernoch gespert.

[Wham]

Auch Kaspersky bietet keine 100% Sicherheit !
Lösch die ganze Festplatte und setz Windows neu auf ...

[Ghost]

Japp da hilft nur noch formatieren!

[Wham]

Quote:

Originally posted by KoyTheOne@May 4 2006, 12:35
benutz mal bitdefender nicht so schmandige anti viren programme

Benutz mal Kaspersky nicht so ein schmutzigen Bitdefender :P

[KoyTheOne]

Quote:

Originally posted by Wham+May 14 2006, 13:42--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE (Wham @ May 14 2006, 13:42)</td></tr><tr><td id='QUOTE'> <!--QuoteBegin--KoyTheOne@May 4 2006, 12:35
benutz mal bitdefender nicht so schmandige anti viren programme

Benutz mal Kaspersky nicht so ein schmutzigen Bitdefender :P [/b][/quote]
kaspersky ist eines der schlechtesten progs die ich je drauf hatte mal ganz davon abgesehen das es 2-3 mal soviel speicher schluckte wie die anderen progis

aber des bleibt ja jedem selbst überlassen ich steh halt auf alles in einem KOSTENPFLICHTIGEN prog, da ich mich da wenigstens auf aktualität und sicherheit bezüglich vertragsleistungen verlassen kann, auch wenn ich mein serial selbst generiert hab xD