[s0xtech]

hallo
ich habe mein system gestern neu installiert , da hatte ich das anti-vir nicht aktuell , heute morgen sponn der wie verrückt , dann hab ich Anti-vir aktuallisiert und dann kam ne worm meldung und nochmal und nochmal dann prüfe ich gerade neach viren , der ist noch nicht fertig , aber der hat alles von bis also unendliche trojaner , würmer , ein virus das hört nicht auf

system : Xp pro sp1 ohne patches
browser: Firefox 1.0.5
anti viren ..: Anti-Vir
firewall : agnitum outpost firewall pro 2.7...
PC: 288 MB ram , 2x20GB , 700MHZ

ich hoffe ihr könnt mir helfen , hier sind ein paar meldungen von würmern :

C:\WINDOWS\SYSTEM32\TFTP1616

Enthält Signatur des Wurmes WORM/CodBot.20959


C:\WINDOWS\SYSTEM32\TFTP896

Enthält Signatur des Wurmes WORM/RBot.212992


C:\WINDOWS\SYSTEM32\TFTP2264

Enthält Signatur des Wurmes WORM/CodBot.20959


C:\WINDOWS\SYSTEM32\TFTP2552

Enthält Signatur des Wurmes WORM/CodBot.20959


alle sind im C:\WINDOWS\SYSTEM32 drin und kommen immer wieder , hab immer überschreiben und löschen gedrückt ich weis nich mehr weiter

aso svchost.exe lastet den PC zu 100 % meist aus

Dieser Beitrag wurde von Flo bearbeitet: 17. Juli 2005 - 14:16

[flo]

Zitat

system : Xp pro sp1 ohne patches

kein Wunder bei dem System!

Zitat

firewall : agnitum outpost firewall pro 2.7...

und wieder einmal ein schönes beispiel wie gut doch PFWs sind


Also Poste bitte erstmal einen Hijackthis LOG, oder überprüfe dein System mit anderen Virenscannern, damit wir Fehlalarme ausschließen können!


Wenn ein Anderer Scanner auch was Findet (die namen müssen nicht unbedingt gleich sein)

Dann Hilft nur Formatieren

weil:

Kompromittiert

und dann windows so installieren, mit SP2 und allen Updates
Windows Richtig Installieren

Dieser Beitrag wurde von Flo bearbeitet: 17. Juli 2005 - 11:17

[s0xtech]

Logfile of HijackThis v1.99.1
Scan saved at 12:18:50, on 17.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\cFosSpeed\spd.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\DOKUME~1\MARVIN~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\System32\scvhost9.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\Software\software cd\hijack this\HijackThis.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\dumprep.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.co...earch_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Generic Host Process9 System Backup] scvhost9.exe
O4 - HKLM\..\RunServices: [File System] taskmqr.exe
O4 - HKLM\..\RunServices: [Generic Host Process9 System Backup] scvhost9.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8FDA02D2-4410-45B5-A16A-043FF1458802} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8FDA02D2-4410-45B5-A16A-043FF1458802} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{53B199A3-083E-41F7-973F-CD9A3D3E8875}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{53B199A3-083E-41F7-973F-CD9A3D3E8875}: NameServer = 212.7.148.65 212.7.148.97
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe





aso jetzt kan auch mal wieder ne trojaner anzeige

C:\WINDOWS\SYSTEM32\TFTP3448

Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Codbot.AG

und SP2 kann ich nicht installieren , weil der denn mal wieder mein monitor nicht erkennt , dann kann ich wieder nur bis 1024x768 das ist zu groß ich will ja 1152x-...... deswegen hab ich ja neu installiert gestern

Dieser Beitrag wurde von s0xtech bearbeitet: 17. Juli 2005 - 11:23

[linksta]

bevor du formatierst solltest du dir mit dem xp iso builder eine xp cd zusammen basteln wo du das sp2 integrierst

[s0xtech]

mit xp iso builder hab ich mir ja ne CD erstellt damit ich nicht alle programme selber installieren muss

[flo]

Hallo


Lade Bitte Folgende dateien hier hoch und las sie auf Maleware Überprüfen

http://www.malwareupload.com/index.php


C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\System32\scvhost9.exe



Aber ich vermute das einzige was hilft ist Formatieren

hatte ich ja hier schon geschrieben

Hilfe Viren Würmer Trojaner Das Ganze Pack

Dieser Beitrag wurde von Flo bearbeitet: 17. Juli 2005 - 11:25

[stefanra]

Virenschleuder, sofort formatieren. TFTP läuft auch, viel SPaß beim Viren verteilen.

[s0xtech]

was ist Tftp.exe ? also in system32 erkennt er ja immer die so anfangen tftp...

[HQS]

wegen sowas muss man doch net formatieren

C:\WINDOWS\System32\scvhost9.exe

is virus trojaner doer sonst was

das hier ka


C:\WINDOWS\System32\dumprep.exe

aber sonst is da nix dabei

und tftp is übertragunsprotokoll

holl dir einfach mal kaspersky demo version

Dieser Beitrag wurde von HQS bearbeitet: 17. Juli 2005 - 11:33

[flo]

TFTP = Trivial File Transfer Protocol


http://de.wikipedia.org/wiki/TFTP

Zitat

wegen sowas muss man doch net formatieren blink.gif

nein, wenn man möchte das die ganze Welt weiß was man auf dem PC hat, dann braucht man auch nicht Formatieren

Dieser Beitrag wurde von Flo bearbeitet: 17. Juli 2005 - 11:33

[stefanra]

http://de.wikipedia.org/wiki/TFTP

Wird gerne zum Verteilen von Viren verwendet.

Dieser Beitrag wurde von stefanra bearbeitet: 17. Juli 2005 - 11:34

[s0xtech]

hab die dateien eben in http://www.malwareupload.com/index.php hochgeladen ich komm nich an meine mails ran immer tineout