Raefael
Welt-Boss
- Registriert
- 07.01.2007
- Beiträge
- 1.634
- Reaktionspunkte
- 1
- Kommentare
- 253
- Buffs erhalten
- 5
wow virus
- Ersteller Soulheal
- Erstellt am
Tikume
Raid-Boss
- Registriert
- 02.03.2007
- Beiträge
- 15.411
- Reaktionspunkte
- 951
- Kommentare
- 1.525
- Buffs erhalten
- 1.305
Statt ewig rumzuschrauben um sich dann immer noch nicht sicher zu sein ob man den Schädling los ist sollte man besser sein System gleich neu machen.
Windows ist kein Wein, das wird nicht besser mit den Jahren in denen es auf der Platte lagert ....
Windows ist kein Wein, das wird nicht besser mit den Jahren in denen es auf der Platte lagert ....
Haegr@Ysera
Rare-Mob
- Registriert
- 30.10.2006
- Beiträge
- 243
- Reaktionspunkte
- 0
- Kommentare
- 15
Tikume Du hast völlig recht, nur bekommt es Otto Normal User immer wieder um die Ohren gehauen. Removal Tools hier, Removal Tools da.
Selbst die ,von mir ehemals sehr geschätzte, c't ist schon auf den "Antiviren Propaganda" Zug aufgesprungen. Warum soll ich mir da die Finger wundtippen und mich flamen lassen?
Es ist sein Rechner, er bekommt das, was er möchte.
Es wird immer nur gefragt: Ich habe mir Schadsoftware XYZ eingefangen, wie kriege ich das weg?
Niemals fragt einer: Ich habe mir Schadsoftware ZYX eingefangen, was mache ich, damit mir das nicht noch einmal passiert?
Sicherheit am Computer und Bequemlichkeit passen halt nicht zusammen. Man muß Abstriche machen und Otto Normal User macht diese an der Sicherheit.
Beim TE zb. gibt es viel mehr zu beanstanden als das Service Pack, aber er hat mich nicht gefragt, ergo halte ich die Finger still.
Ich will hier keine neue Diskussion starten, ich warte lieber, bis hier der nächste mit einer Infektion aufschlägt.
edit:
Heute sieht das ein wenig anders aus unter der NT Oberfläche. Windows ist ein bissel wie ein Garten, es muß gehegt und gepflegt werden. Aber es muß auch mal umgegraben werden. Erst recht wenn ein Maulwurf durch die Beete gepflügt ist.
Selbst die ,von mir ehemals sehr geschätzte, c't ist schon auf den "Antiviren Propaganda" Zug aufgesprungen. Warum soll ich mir da die Finger wundtippen und mich flamen lassen?
Es ist sein Rechner, er bekommt das, was er möchte.
Es wird immer nur gefragt: Ich habe mir Schadsoftware XYZ eingefangen, wie kriege ich das weg?
Niemals fragt einer: Ich habe mir Schadsoftware ZYX eingefangen, was mache ich, damit mir das nicht noch einmal passiert?
Sicherheit am Computer und Bequemlichkeit passen halt nicht zusammen. Man muß Abstriche machen und Otto Normal User macht diese an der Sicherheit.
Beim TE zb. gibt es viel mehr zu beanstanden als das Service Pack, aber er hat mich nicht gefragt, ergo halte ich die Finger still.
Ich will hier keine neue Diskussion starten, ich warte lieber, bis hier der nächste mit einer Infektion aufschlägt.
edit:
Hehe, ich kann mich gut an die Installationsorgien bei den alten Win"DOS"en erinnern. Ich glaube es gab da einen richtigen Sport. Wer installiert Win 98 am häufigsten im Monat?
Heute sieht das ein wenig anders aus unter der NT Oberfläche. Windows ist ein bissel wie ein Garten, es muß gehegt und gepflegt werden. Aber es muß auch mal umgegraben werden. Erst recht wenn ein Maulwurf durch die Beete gepflügt ist.
Zuletzt bearbeitet von einem Moderator:
Ennia
Welt-Boss
- Registriert
- 17.01.2007
- Beiträge
- 1.295
- Reaktionspunkte
- 11
- Kommentare
- 52
sicher, bei privaten rechnern ist es völlig sinnlos, sich den kopf darüber zu zerbrechen, wie man sowas mit removals weg bekommt...
das ding neu aufsetzten und gut ist's.
Mich stört aber das mit dem MBR, dass du zu Anfang erwähnt hast... ist nicht unbedingt wahr.
das ding neu aufsetzten und gut ist's.
Mich stört aber das mit dem MBR, dass du zu Anfang erwähnt hast... ist nicht unbedingt wahr.
- Registriert
- 13.07.2006
- Beiträge
- 8.535
- Reaktionspunkte
- 395
- Kommentare
- 87
- Buffs erhalten
- 26
Zuletzt bearbeitet von einem Moderator:
Haegr@Ysera
Rare-Mob
- Registriert
- 30.10.2006
- Beiträge
- 243
- Reaktionspunkte
- 0
- Kommentare
- 15
Was ist nicht unbedingt wahr?
Daß man den Bootsektor überschreiben sollte, oder das der Bootsektor der erste Datenblock auf einer HD ist?
hallo liebe wow-freunde..
ich glaub ich hab ein ähnliches wow-virus problem. tatsächlich hat mein antivir signalisiert (öfters) dass zwei datei infiziert sind.. und siehe an eine hieß tatsächlich "wow.exe" (auf der C-partition = Systempartition). Natürlich habe ich diese datei anfangs in quarantäne gestellt und später gelöscht... hab systemcheck gemacht und nichts wurde angezeigt.
jedoch kann ich jz nicht mehr wow zocken, zumindest nicht mit freuden. das spiel beginnt alle 10-20 sekunden zu ruckeln, da glaubt man, man spielt mit nem 1000ping oder so, und die bewegungskürzel von der tastatur für die normale bewegung (sprich w,a,d,s) werden erst sekunden nachdem man sie betätigt hat ausgeführt. jedoch bin ich auch draufgekommen, dass ich mich schon beim einloggen, bzw dass es schon bei der passwort eingabe, das passwort erst mit einer längeren zeitverzögerung (1 sek) erst eingegeben wird.
vl kann sich wer aus der "hijackfile" meines pcs schlau machen und mir helfen.
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\System32:mscrm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTServ.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
--
End of file - 4888 bytes
ich danke jetzt schon
ich glaub ich hab ein ähnliches wow-virus problem. tatsächlich hat mein antivir signalisiert (öfters) dass zwei datei infiziert sind.. und siehe an eine hieß tatsächlich "wow.exe" (auf der C-partition = Systempartition). Natürlich habe ich diese datei anfangs in quarantäne gestellt und später gelöscht... hab systemcheck gemacht und nichts wurde angezeigt.
jedoch kann ich jz nicht mehr wow zocken, zumindest nicht mit freuden. das spiel beginnt alle 10-20 sekunden zu ruckeln, da glaubt man, man spielt mit nem 1000ping oder so, und die bewegungskürzel von der tastatur für die normale bewegung (sprich w,a,d,s) werden erst sekunden nachdem man sie betätigt hat ausgeführt. jedoch bin ich auch draufgekommen, dass ich mich schon beim einloggen, bzw dass es schon bei der passwort eingabe, das passwort erst mit einer längeren zeitverzögerung (1 sek) erst eingegeben wird.
vl kann sich wer aus der "hijackfile" meines pcs schlau machen und mir helfen.
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\System32:mscrm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTServ.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
--
End of file - 4888 bytes
ich danke jetzt schon
Rethelion
Welt-Boss
- Registriert
- 06.07.2008
- Beiträge
- 3.704
- Reaktionspunkte
- 7
- Kommentare
- 97
- Buffs erhalten
- 41
@Ju3L2k8: In welchem Ordner lag denn die Wow.exe? Nicht dass es ein Fehlalarm war und du die Startdatei von WoW gelöscht hast^^
Was mir in deinem Log auffällt, die Datei C:\WINDOWS\System32:mscrm.exe.
Kannst du mal schaun ob du sie findest und dann bei http://www.virustotal.com/de/ hochladen um zu überprüfen ob sie infiziert ist?
Was mir in deinem Log auffällt, die Datei C:\WINDOWS\System32:mscrm.exe.
Kannst du mal schaun ob du sie findest und dann bei http://www.virustotal.com/de/ hochladen um zu überprüfen ob sie infiziert ist?
Raefael
Welt-Boss
- Registriert
- 07.01.2007
- Beiträge
- 1.634
- Reaktionspunkte
- 1
- Kommentare
- 253
- Buffs erhalten
- 5
Tach,
der Bösewicht scheint sich hier "O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\System32:mscrm.exe" zu verstecken.
Google gibt leider nicht all zu viel her.
Die Aussage von Prevx lässt bei mir allerdings alle Alarmglocken läuten!
//Rafa
P.S.
Sorry, Rethelion aber entweder spinnt das Board, meine Uhr oder ich war blind. Hab Deinen Post übersehen.
der Bösewicht scheint sich hier "O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\System32:mscrm.exe" zu verstecken.
Google gibt leider nicht all zu viel her.
Die Aussage von Prevx lässt bei mir allerdings alle Alarmglocken läuten!
An Deiner Stelle würde ich auf Nummer sicher gehen und von einem anderen Rechner aus Deine Passwörter ändern und dann z.B. die Liste zum entfernen vom Trojaner Board abarbeiten.
//Rafa
P.S.
Sorry, Rethelion aber entweder spinnt das Board, meine Uhr oder ich war blind. Hab Deinen Post übersehen.
Zuletzt bearbeitet von einem Moderator:
Similar threads
