Virus

Lieber Besucher, herzlich willkommen bei: Silkroad Online Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Xombi

Fortgeschrittener

Beiträge: 217

31.05.2010, 19:58

Virus

hi there,

Ich hab wieder mal n'Problem. Ich bin mir ziemlich sicher dass ich ein Virus habe. Um genauer zu sein, glaube ich, dass ich einen RAT habe.
Ich war vorhin mit nem Kollegen am sprechen, und plötzlich kam eine Stimme die sagte, dass sie mich nicht verstehe ( auf English, und dann lies er so Musik laufen. Ich hab dann alles beendet, und die Stimme war noch immer da. Mein AntiVirus ( McAfee ) konnte nichts finden, was fürn Programm könnt ihr mir jetzt empfehlen um meinen PC zu säubern? :l

Danke im Voraus.

Zum Seitenanfang

AndaKawa

Erleuchteter

Beiträge: 4 451

31.05.2010, 20:01

SpyBot, Panda, Nod32 (und mal ne Runde Hijackthis).

Zum Seitenanfang

Xombi

Fortgeschrittener

Beiträge: 217

31.05.2010, 20:11

so danke erstmal:
Hijackthis:

O4 - HKCU\..\Run: [Microsoft® Windows® Operating System] C:\Windows\System32\mswindows\svchost.exe

Unbedingt fixen! Added by the LDPINCH-AU TROJAN! Note - this is not the legitimate svchost.exe process which is always located in the System (9x/Me) or System32 (NT/2K/XP) folder and should not normally figure in Msconfig/Startup! This file is found in the Winnt or Windows folder

O4 - HKCU\..\RunServices: [Microsoft® Windows® Operating System] C:\Windows\System32\mswindows\svchost.exe

Unbedingt fixen! Added by the LDPINCH-AU TROJAN! Note - this is not the legitimate svchost.exe process which is always located in the System (9x/Me) or System32 (NT/2K/XP) folder and should not normally figure in Msconfig/Startup! This file is found in the Winnt or Windows folder

EDIT: hab die jetzt gefixed mal schauen ob der jetzt noch was findet

EDIT2: hab die 2 Dateien gefixt, wenn ich jetzt nochmal ne Runde Hijackthis mache, und den Logfile auswerte, zeigt es mir die 2 Files immer noch an? :l
Die Datei ist nicht im angegebenen Dateipfad ( hab Versteckte Ordner angezeigt ), und auch nicht im Task Manager zu finden.. Wenn ich n'Hijack mache ist im Log die Datei ncoh da, aber im Programm ist sie nicht da ( zum fixen )

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Xombi« (31.05.2010, 21:16)

Zum Seitenanfang

Xombi

Fortgeschrittener

Beiträge: 217

31.05.2010, 21:21

hab jetzt auch mit dem Security Taskmanager den svchost.exe gesucht der findet den auch nicht :l

Zum Seitenanfang

AndaKawa

Erleuchteter

Beiträge: 4 451

31.05.2010, 21:37

Zieh mal ne Runde mitm SpyBot drüber.

Zum Seitenanfang

Xombi

Fortgeschrittener

Beiträge: 217

31.05.2010, 21:53

AndaKawa hab ich auch schon, nach 40 Minütigem Scan, kam nur sowas von Internet Explorer raus

Zum Seitenanfang

AndaKawa

Erleuchteter

Beiträge: 4 451

31.05.2010, 22:16

Das Teil schreibt die Registry um und ist nen kleiner PW Stealer.

Durchsuche mal dein System (Windows-Ordner müsste reichen) nach einer
"iHook.dll" und lösche sie.

zusätzlich nochmal die Prozesse:
parser.exe, pinchbuilder.exe, trojan.psw.ldpinch.p.exe
suchen und killen.

und diese Dateien:
parser.dpr, parser.exe, pinch.asm, pinch.dpr, pinch.tbp, pinchbuilder.cfg, pinchbuilder.dof, pinchbuilder.dpr, pinchbuilder.exe, pinchbuilder.res, trojan.psw.ldpinch.p.exe.

suchen und killen, falls vorhanden.

Wenn du Zugriff auf einen 2. Rechner hast, dort rangehen und sämtliche Passwörter ändern. (Mail, FTP, Steam etc.)

[...]

Zitat

Der Antiviren-Softwarehersteller Kaspersky Lab warnt vor dem Trojaner „Trojan-Dropper.MSWord.Lafool.v". Er wird über Spam-Versand massenweise mit einer Absenderadresse des Antivirus-Unternehmens McAfee verbreitet. Der Trojaner werde laut Kaspersky unter der Mailadresse mcafee@europe.com oder mcafee@usa.com verbreitet und ist als Word-Dokument mit dem Namen "McAfee Inc. Reports.doc" getarnt. Die Datei hat eine Größe von 80.635 Byte. Das Word-Dokument enthält einen vorgeblichen Bericht über die Verbreitung von Schadprogrammen im Internet.