Viren, Backdoors, was auch immer....
lima-city → Forum → Heim-PC → Betriebssysteme
anwendung
beitrag
boot
cab
client
control
datei
datentechnik
dmon
explorer
extra
main
owner
page
panel
service
software
speicher
update
window
-
Hi Leudde!
ich hab da n Problem.
Ich nutze ein Programm namens StartEd welches mir alle anwendungen anzeigt die beim systemstart gestartet werden und man kann sie selber ?ndern wie man m?chte.
Vor einigen Wochen kamen ein paar neue anwendungen hinzu die keines wegs sauber aussehen:
boot32.pif
msdos.pif
mshost.pif
hhs.pif
svch32.pif
up32.pif
updating.pif
sys32.pif
Ich hab keine Ahnung was *.pif ist, aber als ich die datei boot32.pif googlete, kam raus dass sie ein Backdoordingens ist!
Ungl?cklicherweise sind dies keine richtigen Dateien, bzw. diese dateien werden nicht angzeigt und sind irgendwie versteckt.
Selbst im abgesicherten Modus kann ich diese Dateien nirgends finden!
Ab und zu werden sie als Fehler beim Herunterfahren angezeigt, da sich das ganze aber verschlimmern kann, m?chte ich diese lieber gleich l?schen!
Bitte gebt mir Hilfestellung, den Pc m?chte ich nicht formatieren, deshalb gebt bitte Sinnvolle beitr?ge.
PS: Wenn ich sie von StartEd aus der Boot-Liste streiche, sind sie nach dem n?chsten Start wieder neu drin!
greetz
Disoon -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
benutze mal im abgesicherten modus das programm hijackthis, speicher das logfile und lass es im internet auswerten unter hijackthis.de. dann kannst du b?se eintr?ge, die dir im internet genannt werden mit hijackthis entfernen. aber wichtig, schalte die systemwiederherstellung vorher aus! da wenn du nicht alle sachen davon entfernst, kommen sie wieder!
und dieses programm namens started w?rde ich sofort wieder entfernen. sowas gibts von microsoft auch. Start ---> ausf?hren ---> msconfig -
*.pif sind Verkn?pfung f?r MSDOS- Programme und speichern einige Einstellung f?r ein Dosprogramm. Wenn man aber eine EXE Datei, deren Extension einfach ?ndert in pif l?sst sich die Datei auch ausf?hren. Am besten l?sst du mal nen Virenprog (ich pers?nlich benutze Antivir) r?berlaufen und guckst obs was bring(sollte f?r AV aber kein Prob sein der ?berschreibt und l?scht anschlie?end solche dinger).
-
benutze mal im abgesicherten modus das programm hijackthis, speicher das logfile und lass es im internet auswerten unter hijackthis.de. dann kannst du b?se eintr?ge, die dir im internet genannt werden mit hijackthis entfernen. aber wichtig, schalte die systemwiederherstellung vorher aus! da wenn du nicht alle sachen davon entfernst, kommen sie wieder!
Gerade jetzt beim posten kam eine Virenmeldung von AntiVir: C:\WINDOWS\SYSTEM32\SYS.EXE
Enh?lt Signatur des Droppers DR/Hijack.Barnius.1
@funkdoobiest:
Ich hab auch AntiVir, doch es kann diese Dateien net finden, da sie, wie schon gesagt, ziemlich versteckt sein m?ssen und als Dateien net angezeigt werden!
Ich werd jetzt mal das Hijackthis probieren auf siralex3 seine verantwortung^^
greetz
Disoon -
Machst auch alle 14 Tage Onlineupdate von AV also ich selber hat noch nier Probleme damit. AV l?scht sogar Datein die sich im Ordner "System Volume Information" befinden wo nicht mal der Computeradministrator zugriff druf hat.
-
Ich hab ja auch keine Probleme mit AV!
Hab ich nie behauptet. Ich mach die Updates jeden Tag, also daran kanns net liegen!
Hier mal die HiJackThis Loginfo:
Logfile of HijackThis v1.99.1
Scan saved at 20:10:03, on 24.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
H:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
H:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
H:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
H:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
H:\Programme\Logitech\MouseWare\system\em_exec.exe
H:\Programme\Logitech\iTouch\iTouch.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
H:\Programme\D-Tools\daemon.exe
H:\Programme\Firefox\firefox.exe
H:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\hhs.pif
H:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Disoon\LOKALE~1\Temp\Rar$EX00.485\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.search345quest.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search345quest.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search345quest.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fuck-portal.com
R3 - URLSearchHook: Cram Toolbar - {20929603-21DB-477C-BA6F-0B8E70B3C8A0} - C:\Programme\Cram Toolbar\untitled.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] H:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [AVGCtrl] "H:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Adobe Version Cue CS2] H:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [HTML Help System] hhs.pif
O4 - HKLM\..\Run: [System service76] C:\WINDOWS\etb\pokapoka76.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
O4 - HKCU\..\Run: [HTML Help System] hhs.pif
O4 - HKCU\..\RunServices: [Microsoft Client] mshost.exe
O4 - HKCU\..\RunServices: [Windows Updating Service] updating.pif
O4 - HKCU\..\RunServices: [MS-DOS Boot Service] boot32.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [Windows System Security] sys32.pif
O4 - HKCU\..\RunServices: [Up Service] up32.pif
O4 - HKCU\..\RunServices: [SVC Service] svc32.pif
O4 - HKCU\..\RunServices: [SVCH Service] svch32.pif
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O4 - Global Startup: Adobe Gamma.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://J:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123445622703
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBF4CB35-BA38-43AA-AF0E-B8A5C983F810}: NameServer = 217.237.149.225 217.237.151.97
O20 - Winlogon Notify: WB - H:\PROGRA~1\Stardock\OBJECT~1\WINDOW~2\fastload.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - H:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)
O23 - Service: ET dll Locator (frepdll.exe) - Unknown owner - C:\WINDOWS\frepdll.exe (file missing)
O23 - Service: hpdriver - Unknown owner - C:\WINDOWS\hpdriver.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\System32\Netmon.exe (file missing)
Soooo, und was mach ich nun damit? an wen schick ich das bzw. kann ich mich wenden?
//EDIT:
Ich hab die jetzt auswerten lassen, hab nur einen B?sen gefunden (sys32.pif)
Hmm, den rest von den Pifs kennt der net...
Beitrag ge?ndert am 24.10.2005 20:23 von disoon -
also, fixen solltest du auf alle f?lle:
- O4 - HKCU..RunServices: [MSDOS Security Service] msdos.pif
B?se Malware
Trefferquote: 99 % (Resultate)
Unbedingt fixen!
lass mal noch spybot und adaware dr?ber kaufen, is auch alles freeware, was auch net schlehct is is der cwshreder. und wie immer im abgesicherten modus ohen systemwiederherstellung
Beitrag ge?ndert am 25.10.2005 00:59 von siralex3 -
kick in der msconfig alle prozesse au?er deinen antivirus und starte neu, dann kannst du bequem in der registry alle unn?tigen starteintr?ge l?schen.
dann nochmal starten, dann wird der virus nicht mehr gesatartet. jetzt kann der virenscanner alle viren l?schen.
antivir ist eine etwas primitive l?sung.
housecall von trendmicro ist eine neutrale und sichere l?sung, da diese nicht auf dem lokalen system installiert wird und somit auch nicht vom virus befallen werden kann.
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php
MFG
Andy -
Das geht nicht unbedingt das sich die Trojaner,Viren,Adware selber zum Autostart hinzuf?gen
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage