winadalt

Dieses Thema winadalt im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von lorenz, 10. Feb. 2005.

Thema: winadalt zuerst einmal- ja ich habe nach ähnlichen beiträgen gesucht. aber irgend wie ist das bei jedem anders, bzw. ich weiß...

  1. zuerst einmal- ja ich habe nach ähnlichen beiträgen gesucht. aber irgend wie ist das bei jedem anders, bzw. ich weiß nicht was auf mich zutrifft.
    Also, hab heut zum erstenmal (neuer laptop seit gestern)<xp geupdated - über die verknüpf. im startmenü. sah alles original wie eine windowsoberfläche aus. kann mir nicht vorstellen das das ein fake war. jedenfallls hab ich es im rumklicken irgendwie geschafft den update download abzubrechen.
    daraufhin neu gestartet und die meldung bekommen das bestimmte teile fehlen. dann erst mal installiert.was zum absturz geführt hat. kurz darauf findet antivir den trojaner winadalt in der windows adcontrol. sooooo- ich hab zonealarm(aktuell), antivir(akt.) und einen router mit hardwarefirewall. wie kann das sein????????? antivir konnte ihn nicht löschen. also im taskmanager gekillt und manuell entfernt. nun wird nichts mehr gefunden. was nun????
    soll ich die windowsadcontroll(ordner) löschen?????
    wie kann ich verhindern das das wieder passiert??????
    wenn es nämlich ne fakeseite war (windows-upd.), dann wüsste ich beim besten willen nicht wie ich die echte von der unechten unterscheiden soll???????

    hier meine hijack-log

    Logfile of HijackThis v1.99.0
    Scan saved at 16:15:37, on 10.02.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\ZoneAlarm\zlclient.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Skype\Phone\Skype.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Download\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    ich werd echt wahnsinnig, endlich den neue schlaptop, und am ersten tag nen trojaner.
    SOS
     
  2. http://hijackthis.de/logfiles/3f38c74d24fc30820b11e7844e92ab54.html

    Ansosten das Dingen plattmachen (ist ja erst ein Tag alt), neu installieren, die Verbindungsfirewall von Windows XP aktivieren, die Windows Update-Seite besuchen und die Wichtigen Updates laden und installieren lassen. Danach rebooten und erneut die Windows Update-Seite bei aktivierter Windows-Firewall aufsuchen und auf ggf. jetzt angezeigte weitere Wichtigen Updates prüfen lassen. Danach am Besten ein Image des Zustands anfertigen und erst jetzt ggf. erwünschte Anwendungssoftware installieren (u.a. Virenscanner). Von einer Personal Firewall Saftware wie ZoneAlarm rat ich ab und stattdessen zur Lektüre von http://linkblock.de

    Bye,
    Freudi
     
  3. danke für die antwort.
    konnte den eintrag von winadalt fixen mit hijack. und kommt auch nicht wieder.
    hab leider keine richtige windowsversion(recoveryversion) mit der man ja nicht formatieren kann. ist es nicht möglich das es dabei bleibt. vermutlich hing das ja mit dem windowsupdat zusammen. ein kumpel von mir hat ne uralte xpversion. und hat noch nie geupdatet. benutzt lediglich antivir, und nen alten router mit firewall. er hatte mnoch nie nen trojaner.
    andere sache. wenn man das update bei microsoft macht ist dann da das vielzitierte servicepack2 mitdrin????????????

    Lorenz
     
  4. hp
    hp
    das sollte dir angeboten werden ... also frischen mutes an die updates ...

    greetz

    hugo
     
  5. Na gut,

    Sie bügelt aber eine Art Image auf die Platte - das sollte grundsätzlich genügen.

    Nein, ganz sicher hing der Befall Deines Rechners nicht mit dem Besuch der Windows Update-Seite zusammen.

    Dann gehört er in jedem Fall getreten. Entweder dafür, dass er keine Lizenz von Windows XP besitzt und keine legale Seriennummer hat. Oder dafür, dass er mit extrem unsicherem Rechner/Windows-Komponenten unterwegs ist, die potenziell nicht nur für seinen Rechner, sondern auch für andere im Netzwerk eine nicht zu unterschätzende Gefahr darstellt. Ja, das Internet ist ein Netzwerk, ein ziemlich großes noch dazu. Es gibt keinen Grund, nicht zu aktualisieren, insbesondere dann nicht, wenn der Rechner in irgend einer Form online ist.

    Das siehst Du auf der Windows Update-Seite. Auf Deinem Rechner ist es ja installiert...

    Bye,
    Freudi