Hijachlist

Dieses Thema im Forum "Sicherheit" wurde erstellt von timbo16, 10. August 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. timbo16

    timbo16 Kbyte

    Registriert seit:
    28. April 2002
    Beiträge:
    216
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Welche Warnung?

    Welchen Virus findet NAV denn?

    Welches OS hast du?

    Was hakt?

    Wenn du nicht grade ne ATI-Graka hast dann ist die wdm.dll die Ursache des Problems (was auch immer das ist, s.o.).

    Frag mal Google wie du die Datei wegkriegst.

     
  3. timbo16

    timbo16 Kbyte

    Registriert seit:
    28. April 2002
    Beiträge:
    216
    Also ich glaub der Name der Datei hilft mir nix. Hab von nem Trojaner gelesen, der so eine Warung verursacht und eine zufällige dll datei erzeugt.
    NAV warnt mich beim start vor einem irreperablen virus namens backdoor.agent.b und verweist auf die datei wdm.dll in system 32, auf die er nicht zugreifen kann.
    Im abgesicherten Modus kann ich die Datei zwar auch nciht finden und löschen, aber mit hijackthis fixen. Dann ist nach einem Neustart erst mal alles in ordnung, bis ein paar minuten später wdm.dll wieder auftaucht und NAV wieder ne warnung ausgibt.

    Dachte kurzzeitig, dass ich den Übeltäter gefunden habe:

    http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

    Alle Symptome pasten. Aber das entfernungstool sagte mir dann, dass keine Infektion vorliegt.
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Hast du mal einen anderen Virenscanner ausprobiert?
     
  5. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
  6. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Habe mir Steeles, Entschuldigung, mmks Beschreibung zur Beseitigung angeschaut : Sie gibt eins zu erkennen : Eine PE-Builder-CD wurde noch nie eingesetzt, denn dann kann man sich das ganze Gewürge mit calcls oder xcacls und abgesichertem Modus sparen.





     
  7. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ franzkat

    :eek:
    Da liegst du falsch mit deiner Vermutung.;)
    mmk ist nicht Steele, sondern Markus Klaffke.

    Full Ack.
     
  8. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hab da so meine eigene Theorie ;)
     
  9. timbo16

    timbo16 Kbyte

    Registriert seit:
    28. April 2002
    Beiträge:
    216
    Ich kapier gar nix mehr.
    Was ist das für eine CD von der ihr redet.

    Werd wohl neuinstallieren.
    Wenn ich wieder zeit hab. Dämnächst.
     
  10. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
  11. tobiy

    tobiy Kbyte

    Registriert seit:
    4. April 2004
    Beiträge:
    370
    Würde damit nicht zulange warten, du weißt nie so genau was nach so einer Infektion dein rechner für nette Dinge ohne deine Zustimmung unternimmt. :D




    edit: @ Cidre
    mmk ist zumindest in diesem Forum der Zweitnick von Herr Eisenheim

    :eek:
     
  12. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ tobiy
    Ich lass mich ja gern belehren, aber ich kanns mir beim besten Willen nicht vorstellen. ;)

    Ich kenn mmk aus vielen Foren und das ist mit Sicherheit nicht Iron, Steele oder auch Ulrich Eisenheim.
    Ich werde im mal ne Mail schicken, vielleicht klärt er uns auf.. :p
     
  13. mmk

    mmk Byte

    Registriert seit:
    26. Juli 2004
    Beiträge:
    37
    Was denn nun? Wessen?


    Natürlich kann man in diesem Fall die BartPE-einsetzen, ebenso wie evtl. auch Knoppix. Nur: von einem bereits verseuchten System würde ich keine PE erstellen, und diese wenigen Eingaben sind schnell erledigt.

    Was ist daran Gewürge? Es ist _eine_ Möglichkeit von sicherlich mehreren. Trendmicro bietet inzwischen auch ein Entfernungstool an. So what?

    Und wo wir schon mal bei der "Entfernung" von Malware sind: dass das letztlich weder mit dem Entfernungstool, noch mit BartPE, noch über die "calcs-Lösung" wirklich sicher ist, steht ebenfalls in dem verlinkten Nickles-Beitrag.
     
  14. mmk

    mmk Byte

    Registriert seit:
    26. Juli 2004
    Beiträge:
    37
    Anstatt Theorien aufzustellen, sollte ein Blick in die Profile der Foren genügen, in denen ich als "mmk" angemeldet bin, und die die Anzeige der Mailadresse erlauben. Eine Verifizierung der entsprechenden Domains über den zuständigen Wohis sollte dann endgültig Klarheit bringen und das Aufstellen unsinniger Theorien erübrigen.
     
  15. mmk

    mmk Byte

    Registriert seit:
    26. Juli 2004
    Beiträge:
    37
    Das ist definitiv falsch. Schalte bitte das nächste Mal, bevor du unrichtige Behauptungen aufstellst, den Verstand ein. Danke.

    Dass deine Behauptung falsch ist, kann dir ein PC-Welt-Mod bestätigen, der Einblick in mein Profil haben dürfte.
     
  16. magiceye04

    magiceye04 Wandelndes Forum

    Registriert seit:
    1. September 2000
    Beiträge:
    53.973
    Wenns Dir weiterhilft, bestätige ich mal, daß Deine Mailaddy nicht auf Steele schließen läßt (ohne jetzt zu wissen, worum es in diesem Thread überhaupt geht)

    Gute Nacht!
    Magiceye
     
  17. mmk

    mmk Byte

    Registriert seit:
    26. Juli 2004
    Beiträge:
    37
    Danke!
     
  18. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Das ist ja auch nicht gemeint. Die PE-Builder-CD - wenn ich denn noch keine habe - müßte ich und könnte ich natürlich auf einem anderen System erstellen.
    Es wäre, wenn ich eine solche CD habe, in vielen Fällen der einfachste Weg. Man sollte sie als die Fortführung der Notfall-DOS-Bootdiskette aus Win 9x-Zeiten betrachten.

    mmk/Steele-Problematik :

    Ich habe an keiner Stelle in diesem Thread eine Identität behauptet. Die Frage hatte mich mal vor anderhalb Jahren interessiert, aber heute nicht mehr.
    Allerdings kann man mit den diesbezüglich vorgebrachten Argumenten auch nicht das Gegenteil beweisen. Weder Mailaddy oder unterschiedliche IPs sind hier ein Beweis. Wenn jemand die Absicht hätte, mit unterschiedlichen Identitäten im Forum aktiv zu sein, dann ist das technisch immer möglich, ohne dass es sich in irgendeiner Weise feststellen ließe, sogar von einem einzigen Rechner mit einem einzigen Anschluss aus. Wenn ich z.B. einen Freund in x habe, dessen Rechner ich remote warte, dann kann ich gleichzeitig in y von meinem Rechner unter einer Identität mit einer IP ins Forum und andererseits auch über die Remote-Verbindung von dem entfernten Rechner x unter dessen Identität und dessen IP.





     
  19. mmk

    mmk Byte

    Registriert seit:
    26. Juli 2004
    Beiträge:
    37
    ACK.

    Wenn man so eine CD bereits hat - ja. Doch davon war ich nicht ausgegeben, somit gingen die Tipps in eine andere Richtung. Wie gesagt, ich sehe darin kein Problem, wenige Zeilen in die Eingabeaufforderung einzugeben - das ist eine Sache von wenigen Minuten.


    Doch, hast du, und zwar hier:

    Fein. Dann wäre es ja demzufolge auch gar nicht mehr nötig gewesen, "eigene Theorien" einzustreuen, die in diesem Forum ("Viren, Trojanische Pferde & Co.") und zu diesem Thema völlig OffTopic sind. Darum werde ich meinerseits hier in diesem Thread auch nichts mehr hinzufügen außer abschließend festzustellen:

    Ich bin NICHT Steele, ich verwende KEINEN Zweit-Nick - "Cidre" hat dazu bereits alles richtig erklärt. Wer hingegen (weiterhin) etwas anderes behauptet, erzählt die Unwahrheit.
     
  20. mmk

    mmk Byte

    Registriert seit:
    26. Juli 2004
    Beiträge:
    37
    Neben BartPE hier zwei Links zum erwähnten Knoppix:
    http://www.knoppix.net/docs/index.php/FaqRescueDeutsch
    http://www.knoppix.net/get.php

    Falls der Backdoor noch aktiv ist, würde ich mit dem System nicht mehr oline gehen. Unabhängig davon ist die von dir angestrebte Neuinstallation auch die sicherstmögliche Variante. Beachte allerdings, dass du dein System nach dem Neuaufsetzen aber vor (!) der ersten Internetverbindung entsprechend absichern musst (siehe z.B. http://www.ntsvcfg.de, http://dingens.org sowie Service-Pack 2 für Windows XP).
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen