Trojanerbefall

Moin,

hab eben mal meinen Virenscanner durchlaufen lassen und dummerweise hat er auch mehrere Dinge entdeckt. Und zwar folgendes:

bds/ircbot.cbv
PSW.OnlineGames.FSJ

Es waren noch 2 andere Dateien, die aber nicht näher benannt wurden.

Habe nun auch mal HiJackThis rüberrödeln lassen, nur kann ich mit dem Logfile wenig anfangen. Was sollte ich sonst noch tun?

 

ein erneutes log konform den regeln einstellen

diesmal bitte mit der aktuellen version: 2.0.0.2
SP3 laden, also gleich neuinstallieren und alles platt machen

 

Also, gibt es für das aktuelle Betriebssystem keine Chance mehr?

 

mach mal den scan mit der aktuellen vers von hjt

anschliessend: im board sicherheit die oben angepinnte anleitung durcharbeiten

und dann sehn wir weiter

 

Danke schonmal. Werd dann in möglichst kürzester Zeit Bericht erstatten. ^^

 

lass dir zeit, bin erst morgen wieder da
aber hoff mal es sind mehr sicherheitsuser hier als mods xD

 

Ein Schaden wurde bereits angerichtet.
Regedit wurde deaktiviert.

Code:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Mal sehen, was das neue Log bingt.

 

Das sollte mittlerweile nicht schwer fallen.

@TO: SP2 veraltet, Hijackthis veraltet, IE6 veraltet.

 

@Deoroller: RegEdit hab ich selbst mit XP-Antispy deaktiviert. Erschien mir sinnvoll, da ich damit nicht arbeite. //

@Terminator: den IE6 nutze ich gar nicht. Hab sogar per PFW den Zugriff aufs Internet gesperrt. Die anderen Dinge wurden eben aktualisiert.

Also, hab bisher alles ausgeführt wie es dem Thread stand, jedoch konnte ich keine Internetverbindung im abgesicherten Modus aufbauen (ja, ich hab mit LAN-Treibern gestartet), daher führe ich den Online-Scan von Kaspersky grad im normalen Win aus.

Meine Frage: Soll ich HiJackThis nun auch im normalen oder im abgesicherten Modus ausführen?

 

Fixen muss du im abgesicherten Modus. Das neue Log-File kannst du im Normalbetrieb machen.

 

Was ich dann dort fixen muss, da wird mir ja bei geholfen oder ? *g* ^^

 

falls es was zu fixen gibt, sicher doch

 

Das ist gut. Wenn ein Trojaner regedit deaktivieren will und dann merkt, dass es bereits deaktiviert ist, haut er wieder ab, weil er meint der PC sei schon besetzt.

Ich habe ja nicht geschrieben, von wem der "Schaden" angerichtet wurde.

 

Soooo....

AntiVir - nichts gefunden
SpyBot - nichts gefunden
Panda - nichts gefunden
SmitfraudFix - bin mir nicht sicher, siehe Log (der "Clean-Bericht" war zu groß zum hochladen)
WinsockFix ausgeführt
Kaspersky online:

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 82714
Viren gefunden: 4
Infizierte Objekte gefunden: 16
Verdächtige Objekte gefunden: 0

Da waren dann noch ein Haufen anderer Einträge die "blockiert" waren und übersprungen wurden.

 

not-a-virus ist Riskware.
http://de.wikipedia.org/wiki/Riskware

Welches Programm benutzt guard32.dll?

Code:

O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll

Ein Schädling scheint es nicht zu sein.

 

Wie finde ich heraus welches Programm diese dll nutzt ?

 

Mit Autoruns oder
http://technet.microsoft.com/de-de/sysinternals/bb963902.aspx
Process Explorer
http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx

 

Sry für die späte Rückmeldung. Hab mir beide Programme mal runtergeladen und angeschaut, bin aber nicht wirklich in der Lage herauszufinden welches Programm die guard32.dll nutzt.

Wenn ich es richtig gemacht habe, dann sind es alle Prozesse die im Windows laufen die darauf zugreifen. Bin mir aber nicht sicher.

 

U.a.: http://www.file.net/prozess/guard32.dll.html

Aber: "Viren und andere schädliche Dateien können sich als guard32.dll tarnen. Insbesondere, wenn sich die Datei im C:\Windows oder C:\Windows\System32-Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei dem Prozess guard32.dll auf Ihrem PC um einen Schädling handelt."