Son Typ aus der nostale trading sektion hat einen "Angeblichen Item Hack" erstellt. Ich habs mir runtergeladen, um zu schauen was das ist. Ich dachte normaler Keylogger, doch des isn richtiger Wurm. Den Task-Manager hat er mir gesperrt, was kann ich außer pc neu formatieren?
#Edit mit Ausführen --> regedit hat er auch geblockt
ohne jegliche überlegungen formatieren dann kannst du dir nur sicher sein und es gibt für kein online game item hacks merkt dir das und guck dir immer virutotal ergebnisse an
Windows wirst du neuinstallen müssen. Wenn du schlau gewesen wärst, hättest du die Datei vorher mal nach virustotal.com geschickt.
Du kannst zwar mit Programmen die infizierten Daten löschen. Allerdings werden die vorgenommenen Veränderungen udn Einstellungen vom Virus nicht zurückgesetzt.
Die Registry kannst du mit diesem Tool (Achtung automatischer download) wieder entsperren und dann dort die Änderung für den Taskmanager rückgängig machen, dannach bitte ein HijackThis Log posten !
Wenn man dir dann nciht helfen kann Windows wohl oder übel neuinstallieren.
Hab den Wurm rausbekommen^^ War ein klassischer dllhost.exe wurm. Einfach
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies
suche den Schlüssel "DisableTaskMgr."
Doppelklick auf diesen und gibt ihm den Wert 0.
Dann hatte es AntiVir schon wieder erkannt und ich habs gelöscht. Falls die datei trotzdem auf dem Pc bleibt, am besten die Softwar "Spyware Doctor" runterladen. Mit der löscht man jeden Wurm Danke für die Hilfe #closerquest.
Achso, es ist nur ein Wurm. Nicht persönlich nehmen aber wie naiv bist du? Wenn man davon wenig bis keine Ahnung hat sollte man das ganze nicht schön reden.
Quote:
The Welchia (MSBLAST.D or Nachi) worm infects machines via network connections. It can attack entire networks of computers or one single computer connected to the Internet. Similar to the original MSBlast worm it exploits a known windows vulnerability that is easily patched, however few systems seem to have this patch installed. It attacks Windows 2000 and Windows XP machines and exploits the DCOM RPC Vulnerablity. It uses TFTP (Trivial File Transfer Protocol) to download its files into a system. It also exploits one more vulnerability known as the WebDAV exploit to travel from system to system.
Ironically, this worm attempts to patch the RPC DCOM Buffer Overflow. It first checks for the running Windows version and then downloads a patch from Microsoft. In essence this worm patches your computer against the MSBlast.A worm. When the current system year is 2004, the worm removes itself from the system.
Die Datei "dllhost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei dllhost.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.
Ich habe Security Task Manager, aber gefunden hat er nach dem ich es gelöscht habe nichts mehr.
Es ist dir überlassen. Ich versuche ungern Leuten zu helfen die sich nicht helfen lassen.
Wenn du weißt um was es sich handelt und was Sache ist dann gut.
"When opened, Nachi.A.1 copies itself as C:\%SystemDIR%\Wins\Dllhost.exe. It makes a copy of C:\%Systemdir%\Dllcache\Tftpd.exe, named C:\%System%\Wins\svchost.exe.
It makes the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic e RpcPatch RpcTftpd
It sets the service:
Service Name: RpcTftpd
Service Display Name: Network Connections Sharing
Service Binary: %System%\wins\svchost.exe
This service is manually started.
Service Name: RpcPatch
Service Display Name: WINS Client
Service Binary: %System%\wins\dllhost.exe
This service is automatically started.
It terminates "Msblast" process and deletes the file C:\%SystemDIR%\msblast.exe.
Then it chooses IP addresses in two modes: The worm uses the infected computer's IP A.B.0.0, or it composes an IP address out of encoded ones. After choosing the start address, it uses a class B network. It sends a CMP reply or PING, to verify if the chosen IP address corresponds to an active computer on the network.
It starts the TFTP Server on the attacked computer and downloads Dllhost.exe and Svchost.exe on it. When the update is downloaded and run, the worm restarts the computer, to install the correction routine.
It verifies the system date. In the year 2004, the worm deletes the file C:\%SystemDIR%\Wins\Dllhost.exe and the services RpcPatch and RpcTftpd, and removes the registry entries:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcPatch
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcTftpd
"
Hilfe jemand hat sich in meinen lap top rein gehackt 03/25/2010 - Technical Support - 26 Replies ich wollte epvpers öffnen hab auf neuen tab geklickt dan komm so schwuchtel seite glassass.com oder so dann mach ich weg kommts weiter näää schreibe dan n auf editor was er schreibt dan auf irgendein chat XD steht OMg dran steht dan modified client schreibt dies das dann sagt er der fette soll abnehem(lappy hat cam) woher kann diese ..... das wissen kann mir einer helfen das regt mich auf kann er nur leute über i-net, com usw verarschen diese verdammte ..... aufjedenfall brauche ich hilfe gene...
wieder entsperren und dann dort die Änderung für den Taskmanager rückgängig machen, dannach bitte ein HijackThis Log posten !
Danke für die Hilfe #closerquest.
