Hab auf dem Rechner ein Programm das versucht Viren herunterzuladen,mein Virenscanner findet nichts weil das Programm wohl regulär arbeitet und keine Virensignatur enthält.
Wer kann mir sagen was ich dagegen tun kann!?
Mein Virenscanner hält noch stand, die Frage ist nur wielange noch...
Tyrfing CrystalSword „VIrusbefall....“
Woher weißt du, dass ein Programm bei dir Viren auf den Rechner laden will?
Hast du verseuchte Dateien auf deinem Rechner? Wenn ja, welche?
Oder meldet deine PF nur irgendwelche Trojaner"angriffe" von außen (in diesem Falle ist es nur Panikmache von deiner Firewall, damit du glaubst, dass überall die bösen Hacker sind, vor denen man sich schützen muss)
CrystalSword Tyrfing „Woher weißt du, dass ein Programm bei dir Viren auf den Rechner laden will?...“
Es ist immer der gleiche Trojaner TR/Small.A2 der findet sich immer in der Datei Payload.dat die von irgendwas erstellt werden muss scheinbar,und nur diese datei findet mein H+BEdV Antivir, ist die neueste version.
Hijack this ergab diesen LOG:
Logfile of HijackThis v1.97.2
Scan saved at 16:36:53, on 05.10.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Typhoon\Typhoon Unplugged Mouse\1.0\lwbwheel.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Hmonitor\hmonitor.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINNT\system32\msmsgri32.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
C:\PROGRA~1\RAMBOO~1\RAMBOO~1.EXE
C:\Programme\ICQ\ICQ.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe
C:\Programme\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
C:\Programme\eMule\emule.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\CS\LOKALE~1\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon\Typhoon Unplugged Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [hmonitor] C:\Programme\Hmonitor\hmonitor.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Microsoft Netview] mslynx32.exe
O4 - HKLM\..\Run: [mssyslanhelper] C:\WINNT\system32\msmsgri32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [Microsoft Netview] mslynx32.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
O4 - HKCU\..\Run: [RamBooster] C:\PROGRA~1\RAMBOO~1\RAMBOO~1.EXE
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1300810185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Achetaton CrystalSword „Es ist immer der gleiche Trojaner TR/Small.A2 der findet sich immer in der Datei...“
O4 - HKLM\..\Run: [mssyslanhelper] C:\WINNT\system32\msmsgri32.exe !!!!!!!!!!---------->da ist dein übeltäter doch,
und nu rate mal warum der immer wieder kommt....
CrystalSword Achetaton „O4 - HKLM .. Run: mssyslanhelper C: WINNT system32 msmsgri32.exe...“
Keine Ahnung, da kenn ich mich nciht aus, wenn dus mir erklärst wär ich dir sehr verbunden, Herzlichen Dank!
Achetaton CrystalSword „Keine Ahnung, da kenn ich mich nciht aus, wenn dus mir erklärst wär ich dir...“
ganz einfach,
msmsgri32.exe wird jedesmal wnn Du Dein System bootest mitgestartet, und genau msmsgri32.exe sorgt beim Ausführen dafür dass ein Trojaner gestartet wird.
Nimm das Tool von IRON, SCAN, dann folgende Zeile markieren:
O4 - HKLM\..\Run: [mssyslanhelper] C:\WINNT\system32\msmsgri32.exe
dann Fix checked,
rebooten, dann sollte es eigentlich gehen,
Payload.dat noch löschen falls vorhanden,
Tyrfing CrystalSword „Keine Ahnung, da kenn ich mich nciht aus, wenn dus mir erklärst wär ich dir...“
Einfach mal den Namen bei Google eingeben:
http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.d.html
http://sophos.de/virusinfo/analyses/w32randexd.html
-IRON- CrystalSword „VIrusbefall....“
Woher weißt du, dass ein Programm (WELCHES) versucht, Viren (von WO) herunterzuladen?
Welchen Virenscanner in welcher Version verwendest du?
Welches Betriebssystem läuft?
Klingt alles zienlich seltsam. Ohne Fakten deinerseits kann man nicht wirklich helfen.
Besorge dir mal bei TomCoyote deas Programm HijackThis, mach einen Scan der Autostarteinträge und poste den Report des Programms hier.
Achetaton CrystalSword „VIrusbefall....“
Ähmm...., wie kann Dein Virenscanner vor was standhalten dass er nicht bemerkt?
Vor allem welches Programm und woher weist Du das dass ein Virus ist wenn es regulär arbeitet?
"STRANGE THINGS HAPPENS TO STRANGE PEOPLE"
