Bitte anschauen! Habe null Ahnung... |
Willkommen, Gast ( Anmelden | Registrierung )
Bitte anschauen! Habe null Ahnung... |
19.12.2007, 00:35
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 7 Mitglied seit: 19.12.2007 Mitglieds-Nr.: 6.629 Betriebssystem: Windows Vista Virenscanner: Avira AntiVir |
Hallo Leute,
ich habe mit AntiVir den Trojaner TR/PoeBot.AR auf meinem Computer gefunden. Habe die Datei gelöscht. Ich würde nun gern wissen, ob der Trojaner bereits aktiv war und was ich tun muss, wenn ja. Ich bitte Euch, mein HijackThis Log durchzuschauen (auch wenn es das 1000ste ist ;-)) und mir Tipps zu geben: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:17:28, on 19.12.2007 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16575) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Windows\system32\taskeng.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Windows\system32\taskeng.exe C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Common Files\ACD Systems\DE\DevDetect.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\ICQ6\ICQ.exe C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\OpenOffice.org 2.3\program\soffice.exe C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe c:\Users\Christel\Christel\HiJackThis.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nigeria-forum.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uni-potsdam.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;127.0.0.1;*uni-potsdam.de R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O1 - Hosts: ::1 localhost O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptcl.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Common Files\ACD Systems\DE\DevDetect.exe" -autorun O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [Tunebite] C:\Program Files\RapidSolution\Tunebite\Tunebite.exe -tray O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Post Image to Blog - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5003 O8 - Extra context menu item: Tag This Image - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5002 O8 - Extra context menu item: Transload Image to ImageShack - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5004 O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5000 O8 - Extra context menu item: Upload Image to ImageShack - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5001 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader...ache=20071128-1 O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\COMMON~1\McAfee\EmProxy\emproxy.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Common Files\McAfee\HackerWatch\HWAPI.exe O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\common files\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\redirsvc\redirsvc.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe -- End of file - 9060 bytes Ich bin für jeden Hinweis sehr dankbar, da ich wirklich null Ahnung habe. Lg Hallodri |
|
|
19.12.2007, 00:46
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Im Log ist keine Infektion zu sehen allerdings solltest du alle deine Passwörter im Internet schnell ändern da in der Malware-Beschreibung drinn steht das dieser Bot Daten vom Computer stielt.
Interesannt wäre zu wissen Wo das AV-Programm die Infektion gefunden hatte und welche Einstellungen du am Vista vorgenomm hast um feststellen zu können ob die Malware jemals Aktiv war. Der Beitrag wurde von bond7 bearbeitet: 19.12.2007, 00:48 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
19.12.2007, 01:40
Beitrag
#3
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 75 Mitglied seit: 11.08.2007 Mitglieds-Nr.: 6.363 Betriebssystem: xx Virenscanner: xx Firewall: xx |
Wo wurde die Infektion gefunden? Wie Bond schon sagte, Passwörter ändern, wobei wenn der Bot aktiv war, würde ich die Installation neu machen.
Dann fällt mir noch auf das Du McAfee und AntiVir verwendest. Ein AV Programm reicht, zwei behindern sich des öfteren auch gern. Da Du schon Open Office verwendest, solltest Du auch von der ICQ Software auf Miranda oder gaim umsteigen. Wir können es mal hiermit versuchen tcpview 1. Das Programm tcpview herunterladen und auf dem Desktop entpacken. 2. Im Ordner tcpview die Datei tcpview.exe starten. 3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern. 4. Den Inhalt der Logdatei posten. |
|
|
19.12.2007, 07:17
Beitrag
#4
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 476 Mitglied seit: 24.01.2004 Mitglieds-Nr.: 361 |
Hallo(Dri), vorweg, ich bin auch nur Laie,
schau mal <hier> es kommt wohl drauf an, wo der PoeBot sich eingenistet hat. Hast du auch ein ein AnitSpywaretool auf dem Rechner? Würde jenes auch noch mal drüberlaufen lassen, zb.a-squared Free und/oder <SpyBot> Der Beitrag wurde von kiebitz bearbeitet: 19.12.2007, 07:25 |
|
|
19.12.2007, 12:27
Beitrag
#5
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 7 Mitglied seit: 19.12.2007 Mitglieds-Nr.: 6.629 Betriebssystem: Windows Vista Virenscanner: Avira AntiVir |
Erstmal danke für die Antworten. Der Trojaner wurde in kmd.exe gefunden. Laut Google eine Kazaa-Datei. Ich habe vor vier Jahren, als ich noch meinen alten Rechner hatte, einmal versucht, Kazaa zu installieren. Davon ist bestimmt die kmd.exe. Da die Installation damals nicht klappte, hab ich es auf sich beruhen lassen. Das Dumme ist nur, dass ich jetzt auf den neuen Computer meine alten Verzeichnisse aufgespielt habe und dabei die kmd.exe wieder drauf habe. Da wusste ich noch nicht, dass die schädlich war. Jetzt würde mich mal interessieren, da ich erst seit ca. 2 Jahren wieder Internet habe, ob der Trojaner seit damals überhaupt noch aktiv ist. Schließlich liegen zwischen dem Datum der Erstellung der Datei kmd.exe und dem Wiedereinstieg ins Netz 2-3 Jahre. Ruht der Trojaner in dieser Zeit und wird dann wieder aktiv, trotz Web-Pause und Einsatz eines neuen Computers?
Außerdem soll dieser Trojaner ja Backdoor-Funktionen haben (ich glaub, das heißt so). Kann man an dem Log sehen, ob er sowas bei mir eingerichtet hat? Was sind denn typische Anzeichen eines Computerbefalls mit diesem Trojanertypen, also typische Zeichen von Aktivität? @BataAlexander: Danke für den Link, ich mach das gleich und stell das Log dann nochmal ein. Mc Afee war schon vorinstalliert. Ich mag es aber nicht, finde AntiVir besser. Kann ich McAfee bedenkenlos deinstallieren? Ich meine, bleibt dann die Firewall erhalten? @Kiebitz: Ich hab denk ich kein Anti-Spyware-Tool. Ich hab glaube mal gelesen, dass sowas wenig sinnvoll ist, kann das aber nicht beurteilen. Danke für den Link. @Bond7: Ich habe eigentlich keine Einstellungen vorgenommen bei Vista, zumindest nicht bewusst. Ich bin aber leider auch chronisch ahnugslos, was das angeht. Wie gesagt, der Trojaner war in kmd.exe in einem meiner Verzeichnisse. Und bringt es wirklich etwas, die Passwörter zu ändern, wenn ich nichtmal weiß, ob der Trojaner noch aktiv ist? Ich meine, die neuen würden dann ja auch wieder ausgespäht, oder? |
|
|
19.12.2007, 12:35
Beitrag
#6
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ZITAT Das Dumme ist nur, dass ich jetzt auf den neuen Computer meine alten Verzeichnisse aufgespielt habe und dabei die kmd.exe wieder drauf habe. ZITAT Jetzt würde mich mal interessieren, da ich erst seit ca. 2 Jahren wieder Internet habe, ob der Trojaner seit damals überhaupt noch aktiv ist. Nein. ZITAT Schließlich liegen zwischen dem Datum der Erstellung der Datei kmd.exe und dem Wiedereinstieg ins Netz 2-3 Jahre. Ruht der Trojaner in dieser Zeit und wird dann wieder aktiv, trotz Web-Pause und Einsatz eines neuen Computers? Wie gesagt , du hast nur die Sachen rüberkopiert und Nie doppelgeklickt , somit dürfte die aktuelle Partition auch nicht betroffen sein. ZITAT Und bringt es wirklich etwas, die Passwörter zu ändern, wenn ich nichtmal weiß, ob der Trojaner noch aktiv ist? Ich meine, die neuen würden dann ja auch wieder ausgespäht, oder? Hat sich erledigt. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
19.12.2007, 12:52
Beitrag
#7
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 7 Mitglied seit: 19.12.2007 Mitglieds-Nr.: 6.629 Betriebssystem: Windows Vista Virenscanner: Avira AntiVir |
Hier das TcpView-Log. Ich hoffe, ich habe alles richtig gemacht.:
ICQ.exe:4000 TCP Oscar:49176 Oscar:0 LISTENING ICQ.exe:4000 UDP Oscar:49203 *:* iexplore.exe:5824 UDP Oscar:49204 *:* lsass.exe:632 TCP Oscar:49156 Oscar:0 LISTENING lsass.exe:632 TCPV6 oscar:49156 oscar:0 LISTENING McNASvc.exe:1656 TCP Oscar:6646 Oscar:0 LISTENING McNASvc.exe:1656 UDP oscar.stud.uni-potsdam.de:6646 *:* services.exe:620 TCP Oscar:49158 Oscar:0 LISTENING services.exe:620 TCPV6 oscar:49158 oscar:0 LISTENING svchost.exe:1036 TCP Oscar:49153 Oscar:0 LISTENING svchost.exe:1036 TCPV6 oscar:49153 oscar:0 LISTENING svchost.exe:1128 TCP Oscar:49155 Oscar:0 LISTENING svchost.exe:1128 UDP Oscar:isakmp *:* svchost.exe:1128 UDP Oscar:ipsec-msft *:* svchost.exe:1128 TCPV6 oscar:49155 oscar:0 LISTENING svchost.exe:1128 UDPV6 oscar:500 *:* svchost.exe:1292 TCP Oscar:49154 Oscar:0 LISTENING svchost.exe:1292 UDP Oscar:ntp *:* svchost.exe:1292 UDP Oscar:ssdp *:* svchost.exe:1292 UDP oscar.stud.uni-potsdam.de:ssdp *:* svchost.exe:1292 UDP Oscar:49221 *:* svchost.exe:1292 TCPV6 oscar:49154 oscar:0 LISTENING svchost.exe:1292 UDPV6 oscar:123 *:* svchost.exe:1292 UDPV6 [0:0:0:0:0:0:0:1]:1900 *:* svchost.exe:1292 UDPV6 [fe80:0:0:0:1462:37a0:72a6:b0a1]:1900 *:* svchost.exe:1292 UDPV6 [fe80:0:0:0:68fa:242e:1ef:eee2]:1900 *:* svchost.exe:1292 UDPV6 [fe80:0:0:0:b4cd:3bd8:da31:a49f]:1900 *:* svchost.exe:1292 UDPV6 [0:0:0:0:0:0:0:1]:49220 *:* svchost.exe:1480 UDP Oscar:llmnr *:* svchost.exe:1480 UDPV6 oscar:5355 *:* svchost.exe:888 TCP Oscar:epmap Oscar:0 LISTENING svchost.exe:888 TCPV6 oscar:135 oscar:0 LISTENING System:4 TCP oscar.stud.uni-potsdam.de:netbios-ssn Oscar:0 LISTENING System:4 UDP oscar.stud.uni-potsdam.de:netbios-ns *:* System:4 UDP oscar.stud.uni-potsdam.de:netbios-dgm *:* System:4 TCPV6 oscar:445 oscar:0 LISTENING System:4 TCPV6 oscar:5357 oscar:0 LISTENING wininit.exe:576 TCP Oscar:49152 Oscar:0 LISTENING wininit.exe:576 TCPV6 oscar:49152 oscar:0 LISTENING |
|
|
19.12.2007, 12:55
Beitrag
#8
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 7 Mitglied seit: 19.12.2007 Mitglieds-Nr.: 6.629 Betriebssystem: Windows Vista Virenscanner: Avira AntiVir |
@Bond7:
Auf dem neuen Computer habe ich die Datei definitiv nicht doppelgeklickt, auf dem alten aber vielleicht schon. Aber offenbar ist das wohl unerheblich. Also kann ich davon ausgehen, dass der Trojaner auf meinem neuen Computer nicht aktiv war, weil ich kmd nicht versucht habe, zu installieren? Auch trotz der Tatsache, dass AntiVir ihn in kmd exe noch gefunden hat? |
|
|
19.12.2007, 13:20
Beitrag
#9
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.657 Mitglied seit: 12.05.2004 Wohnort: schwabenländle Mitglieds-Nr.: 813 Betriebssystem: win7ultimate x64 Virenscanner: alles schrott! |
so wie ich das sehe hat antivir eben was erkannt beim rüberkopieren und da du es nicht ausgeführt hast ist alles in ordnung!
es ist nichts passiert. ob diese kmd.exe natürlich jetzt wirklich infiziert ist lassen wir mal dahingestellt antivir macht viele fales positives, wie alle ja wissen und deswegen zweifle ich erst mal diesen fund an;-) kürzlich hat antivir sogar everest.exe bei mir angzeigt...tztz...klar everest kann gefährlich werden am besten bei einer onlineprüfseite wie z.b. http://virusscan.jotti.org/de/ oder http://www.virscan.org/ hochladen und schauen wieviele was finden. -------------------- Mein System:
ASUS P8P67 PRO Rev3.1, Intel® Core™ i5-2500, Arctic-Cooling Freezer 13, 4x 4GB GeiL DIMM DDR3-1600, GeForce9600GT-512MB-DDR3 SystemFestplatte: Samsung SSD 840 EVO 250GB, MAXTOR(Seagate?!) 1TB als DatenHDD in SilentMAXX-Gehäuse, Gehäuse: BitFenix-Colossus-Big-Tower-RED-BLUE-LED-white |
|
|
19.12.2007, 13:29
Beitrag
#10
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 7 Mitglied seit: 19.12.2007 Mitglieds-Nr.: 6.629 Betriebssystem: Windows Vista Virenscanner: Avira AntiVir |
Also die Datei kann ich ja nicht mehr dort hochladen, weil ich sie gelöscht habe, statt sie in die Quarantäne zu verschieben . Oder gibt es da noch einen Weg?
|
|
|
19.12.2007, 14:01
Beitrag
#11
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.657 Mitglied seit: 12.05.2004 Wohnort: schwabenländle Mitglieds-Nr.: 813 Betriebssystem: win7ultimate x64 Virenscanner: alles schrott! |
Also die Datei kann ich ja nicht mehr dort hochladen, weil ich sie gelöscht habe, statt sie in die Quarantäne zu verschieben . Oder gibt es da noch einen Weg? tja, weg is weg also hat antivir die von deiner quelle gelöscht, dann ist sie definitv weg...schade, hätt mich jetzt schon interessiert. -------------------- Mein System:
ASUS P8P67 PRO Rev3.1, Intel® Core™ i5-2500, Arctic-Cooling Freezer 13, 4x 4GB GeiL DIMM DDR3-1600, GeForce9600GT-512MB-DDR3 SystemFestplatte: Samsung SSD 840 EVO 250GB, MAXTOR(Seagate?!) 1TB als DatenHDD in SilentMAXX-Gehäuse, Gehäuse: BitFenix-Colossus-Big-Tower-RED-BLUE-LED-white |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 25.06.2024, 15:22 |