Jump to content

10x Internetanwahl bei Win2000-Start


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

beim Windowsstart wird 10 x das Fenster Dfü-Anwahl geöffnet. Nach zehnmaligem Abbrechen ist dann Ruhe.

 

Woran kann das liegen? Wie kann ich herausbekommen, welches Programm die Versuche startet (Log-Dateien?).

 

Antivir hatte zuvor Signaturen von Wurm Lovsan(Hinweis auf mslaugh.exe) und Wurm Codbot(Hinweis auf SCardClnt.exe) festgestellt. -> habe beide manuell in Explorer und Registry gelöscht. Muss ich hier mehr tun?

 

Bitte helft mir!

Link zu diesem Kommentar

Danke zunächst, macht mir nur Mut!

 

Avert-Stinger runtergeladen, keine Probleme erkannt.

ZoneAlarm war und ist installiert (Anwahlversuche beim Booten jedoch bereits vor Start von ZA!).

ZA blockt aber auch im Betrieb Einwahlversuche z.B. von PD9F.....dip.t-dialin.net (kann man mit dieser Info was anfangen - ausser, dass geblockt wurde?).

 

Format C:\ ist im Moment noch nicht das Mittel der Wahl, denke ich.

Link zu diesem Kommentar

mahlzeit!

könntest du kurz alle aktuelle geänderten Einträge, die sich bei dir im Windows und system32 Verzeichnis,geändert haben ,mal auflisten!

meistens ist das die letzte Möglichkeit herauszufinden welche dll´s oder kleine spyprogramme sich angesiedelt haben!

Hatte auch vorkurzen das Problem das ich verschiedene Funktionen nicht meht nutzen konnte!( z.B Startseite im Explorer verstellt sich selbst, Arbeitsplatz lässt sich nett ausführen und noch so andere nette Erscheinungsbilder :p !

Mit Mcaffee Virenscanner konnte ich zwar soweit alle Trojaner löschen,aber nur durch das löschen bestimmter dateien im windows bzw, system32 Ordner,konnte ich mir helfen!

Stand nämlich selbst kurz davor ,dei Mühle neuzuinstallieren! :)

Link zu diesem Kommentar

Puh, dass sind schon ein paar Einträge, na mal sehen...

 

in System32 (aktuellere):

vsconfig.xml, eee.exe (sehr verdächtig), PerfStringBackup.INI, perfh009.dat, perfh007.dat, perfc009.dat, perfc007.dat, FNTCACHE.DAT,

 

in System32 (bischen ältere):

qtplugin.log, QuickTime.qtp, ROBOEX32.DLL, INETWH32.dll

 

in WINNT:

system.ini (heute 6.5.05), iTouch.ini, ein paar log-Dateien, ShellIconCache, winamp.ini, NeroDigital.ini (alle 5.5.05), imsins.BAK (29.04.05), Clony2.ini (28.04.05), cddabase.ini, uno.ini (beide Anfang März)...hm???

 

Habe in der Registry 3x "IDialinPrivilegeRevoker" gefunden (auffällig, oder normal?)

ZoneAlarm blockt ständig "....dip.t-dialin.net"-Adressen (findet man bei Googlesuche viele, aber keine Problemzusammenhänge).

 

@ Yogi

habe AdAware drüberlaufen lassen, wie und warum machst du das "im abgesicherten Modus"?

Link zu diesem Kommentar

na ich mache das im abgesicherten modus, damit die eee.exe und andere schädlinge nicht direkt zum zuge kommen. desweiteren werden nur die minimalsten systemtreiber geladen und der scan von adaware geht schneller.

 

da vielleicht nicht alle schädlinge geladen werden (da nicht alle dienste laufen) werden auch mehr erkannt.

mit start --> ausführen -> msconfig

kann man die programme sehen, die bei einem windows start geladen werden.

(um alle programme/dienste zusehen, muss man jedoch in die registry)

 

übrigens: eee.exe ist z.B. W32/Magistr.a@MM

Link zu diesem Kommentar

AdAware nun im abgesicherten Modus gestartet (war nicht so schwierig wie vermutet), dabei noch 2 Codbot.Z (WORM)-Signaturen gefunden/gelöscht.

 

Habe zwischenzeitlich zu meinem SP4 noch 33 Windows-Patches (KB...) installiert (hatte ich vorher noch nie gemacht).

 

@Hansi

konntest du etwas mit meinen Einträgen anfangen?

 

@Yogi

msconfig gibt es auf meinem Rechner anscheinend nicht, was tun?

neben eee.exe gibt es auch uuu.exe, scheinbar etwas Vergleichbares.

 

Habe AdAware Plus (Ref-File von 20.10.2005), die neuen "Def-Files" gehen in dieser Version nicht, gibt es noch aktuellere "Ref-Files", als das meine und wo?

 

"Die Kuh ist noch nicht ganz vom Eis", würde mich über weitere Hilfe von Euch freuen.

 

Danke

Link zu diesem Kommentar

msconfig geht nicht?!

dann nehme ich mal an das du winnt hast?! oder besser NICHT xp oder windows2000(3).

das sollte ja nur der veranschaulichung dienen, damit du sehen kannst, welche dienste/programme automatisch mit windows gestartet werden.

 

adaware... nimm dir doch die normale, frei version. die kannst du dan mit den refs auf einen aktuellen stand bringen.

dann noch antivir drüber jagen und sauber(er) sollte dein system sein.

--immer schön im abgesicherten modus!- oder besser noch...

von antiviruscd (falls vorhanden) booten und system scannen.

Link zu diesem Kommentar

Hallo mars-online,

AdAware nun im abgesicherten Modus gestartet (war nicht so schwierig wie vermutet), dabei noch 2 Codbot.Z (WORM)-Signaturen gefunden/gelöscht.

 

Habe zwischenzeitlich zu meinem SP4 noch 33 Windows-Patches (KB...) installiert (hatte ich vorher noch nie gemacht).

ich lese immer wieder die Klagen von Opfern einer Infektion, die in ihrem kompromittierten System herumstochern, um es zu retten. Du hast mit Antivirus- und Antispywaretools die Maschine gefilzt und gleich mehrere Würmer gefunden. Gut so. Du hast den gefundenen Mist beseitigen können. Auch gut. Aber wer sagt Dir eigentlich, das Du jetzt wirklich alles gefunden hast? :shock:

 

Wenn Dein System mit Trojanern/Backdoors (Dein Codbot.Z!) infiziert wurde - DANN MACH ES NEU! Du weißt nämlich nach einem erfolgreichen Angriff nicht mal im Ansatz :suspect: , was der oder die Hacker bei Dir so alles an Hintertüren aufgemacht haben - über den ersten Trojaner erfolgt der Zugriff, dann werden weitere Backdoors, unautorisierte TFTP-Server, Keylogger und all so Zeug eingeschleust :jau:. Ein einmal von Trojanern kompromittiertes System ist grundsätzlich nicht mehr als sicher zu betrachten.

 

Muss ich hier mehr tun?

Wenn das, was Du mit dem Rechner machst, irgend einen Wert darstellt (ob Produktivsysten oder privat z. B. Online-Banking), dann ist JETZT ein neues Betriebssystem fällig - mit allen aktuellen PATCHES und durch eine FIREWALL abgesichert. Ansonsten spielst Du Lotto mit Deinen Daten - aber ohne jede Gewinnchance :eek: .

 

Und auch das hier :shock: ist ein Grund, infizierte Systeme zu erneuern: Wer solche Maschinen weiter verwendet, unterstützt mit Chance Kriminelle und betreibt z. B. für diese sauberen Herren Spamschleudern.

 

Und nur für die, die jetzt immer noch nicht neu installieren wollen, noch zwei Beispiele aus dem Board: Eins Zwei

 

Gruß Jan

Link zu diesem Kommentar

Sch.......ön, überzeugt, werde also neu installieren!

 

@ ab

Ich habe ein Image "vergangener Zeiten"..., naja, wie das immer so ist, nach dem Image hat sich halt so einiges getan...

 

Aber der ganze "Säuberungs-Zeit-Aufwand" ist auch nicht von der Hand zu weisen, und danach was man nicht mal was man hat.

 

Ihr habt ja so recht!

So ist das mit der dunklen Seite der Macht - neu aufrüsten der Newbie nun wird!

 

Danke für Eure Beiträge (ich geh jetzt erstmal sterben) ;- )

 

Gruß Rainer

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...