"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Virus - huyajuni / jejobadi

salsa 20.12.2008 - 16:49 1846 26
Posts

Anima

OC Addicted
Avatar
Registered: Aug 2005
Location: Pannonia
Posts: 1726
selbes problem hatte ich auch vor ca. 2 wochen. sämtliche spyware, antiviren sw die ich probiert hab hat nix gebracht, weil entweder unlöschbar oder sofort wieder da. hab dann neu aufgesetzt...

wegen den namen: ich vermute stark, dass die zufallsgeneriert sind, weil sobald man eine datei aus dem autostart entfernt, kommt eine andere, die immer anders heißt. ich glaube übrigens dabei handelt es sich um den trojaner virtumonde, bin aber nicht 100% sicher.

@hijackthis: bringt hier nix

xtrm

social assassin
Avatar
Registered: Jul 2002
Location:
Posts: 12096
Er hat neun? Siehst du die scrollleiste rechts?? Ich tippe auf ca. 50. Und ja, hijackthis und autoruns sind beides nutzvolle programme - denen man mehr vertrauen sollte als msconfig! Denn msconfig zeigt u.a. einträge aus diesem key an:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Und was dort steht, muss nicht unbedingt wirklich im autostart sein (sieht man im autoruns).

salsa

So spät wie gestern.
Avatar
Registered: Oct 2003
Location: Bonner Exil #2
Posts: 5303
Es werden keine dummen Fragen beantwortet :p

@ xtrm`-: Bei dir mein ich das sogar ernst ;) Denn wie viel mein Autostart zu bewältigen hat ist dann doch eher meine Sache. Btw., drei Systeme und zwei Jahre alt, gekonnt überlesen? ;)

Die Einträge nisten sich überall dort in der Registry ein, wo es darum geht beim Systemstart geladen zu werden. Dem Autostart-Profi muss ich kaum erklären wo. "Run" ist ein nettes Stichwort.

Danke an Schizo, die Sache mit dem Streams dürfte sich bestätigen, ich hoffe mit deinem verlinkten Tool lässt sich da was ausrichten.

xtrm

social assassin
Avatar
Registered: Jul 2002
Location:
Posts: 12096
Ja, drei systeme zwei jahre alt...so...what? Das ist keine leistung falls du das meinst :). Bei nem neuen system (hardware) sollte man optimalerweise sowieso neu aufsetzen, aber das hat ja nix mit dem ganzen zeugs im autostart zu tun. Ich hatte systeme, die 5 jahre liefen (und noch immer würden, wären sie nicht abgelöst worden), und die dort nur 10 sachen drinnen hatten. Aber das war ja alles nur nebenbei. Nix für ungut -_-.

Mir gehts nur darum, dass die dinge, die bei der msconfig angezeigt werden, nicht unbedingt korrekt sein müssen (siehe von mir eben geposteten key), deswegen wollte ich den pfad wissen, wo sich die dinger einnisten. Du kannst schon was aus dem autostart gelöscht haben (run, runservices, etc.), aber msconfig zeigts trotzdem noch an, weil der key bei besagtem pfad noch immer da ist. Auch hijackthis erkennt genannten key z.b. nicht, am besten ist immer, wenn man manuell die registry durchforscht. Nur dann kennt man die ganze wahrheit.

btw, agierst du im abgesicherten modus (in dem fall vermutlich empfehlenswert)?

sk/\r

i never asked for this
Avatar
Registered: Dec 2002
Location: oö
Posts: 10854
Zitat von xtrm`-
Er hat neun? Siehst du die scrollleiste rechts?? Ich tippe auf ca. 50. Und ja, hijackthis und autoruns sind beides nutzvolle programme - denen man mehr vertrauen sollte als msconfig! Denn msconfig zeigt u.a. einträge aus diesem key an:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Und was dort steht, muss nicht unbedingt wirklich im autostart sein (sieht man im autoruns).

und aktiv sind wieviele? und genau darum gehts. bei mir waren bis vor kurzem auch sicher 30-40 einträge drin.
intressiert doch niemanden...

salsa

So spät wie gestern.
Avatar
Registered: Oct 2003
Location: Bonner Exil #2
Posts: 5303
Ja klar. Und autoruns vermag auch nicht die Einträge zu entfernen...
Aber wie gesagt, die Sache mit den Streams ist ein guter Anhaltspunkt.

Neu aufsetzen für Leistung optimal? Ich war leistungsmäßig oben mit dabei als meine Hardware State of the art war ;) Und über die Monate sammelt sich (bei mir halt) einiges an :)

xtrm

social assassin
Avatar
Registered: Jul 2002
Location:
Posts: 12096
jojo, kein stress, war nur nett gemeint, dass ein cleanes windows der stabilität, performance und langlebigkeit gut tut :/

skar: wieviele aktiv sind, sieht man nicht ;), man kann halt nicht davon ausgehen, dass sonst nix angeklickt ist. Naja, mich interessierts nicht unbedingt, nein, es tut nur etwas weh sowas zu sehen :D excuse me.

Ich hoff für dich, dass das mit den streams klappt. Funzt diese stream methode nur mit NTFS dateisystemen? Sprich auf FAT32 kann sich da garnix rein"streamen"?

sk/\r

i never asked for this
Avatar
Registered: Dec 2002
Location: oö
Posts: 10854
Zitat von xtrm`-
skar: wieviele aktiv sind, sieht man nicht ;), man kann halt nicht davon ausgehen, dass sonst nix angeklickt ist. Naja, mich interessierts nicht unbedingt, nein, es tut nur etwas weh sowas zu sehen :D excuse me.

tut mir leid aber da muss ich jetzt nochmal einhaken.
nachdem die aktiven immer nach oben gereiht werden, sieht man serwohl welche aktiv sind. eben die oberen. :p
dubdidu.

poste auf alle fälle noch die ergebnisse mit streams salsa.

xtrm

social assassin
Avatar
Registered: Jul 2002
Location:
Posts: 12096
echt? das war mir nicht bekannt...dachte immer, das sei random, zumal ich ja nie eine "liste" dort hatte und das einzig deaktivierte msn ist...na dann: way to go! :D

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2541
Zitat von sk/\r
@topic: hijackthis hat bei mir noch immer alles gefunden.

Es gibt leider Viren, welche sich gezielt vor Hijackthis verstecken. In den seltensten fällen können die Einträge mit einer älteren/neueren Version von hijackthis gefunden werden. Meistens müssen in solchen Fällen eben andere Programme zu Rate gezogen werden.
Autoruns ist zwar aufwendiger zu analysieren, findet jedoch im Regelfall eher schädliche Einträge als Hijackthis.

Zitat von xtrm`-
Ich hoff für dich, dass das mit den streams klappt. Funzt diese stream methode nur mit NTFS dateisystemen? Sprich auf FAT32 kann sich da garnix rein"streamen"?

Genau

Anima

OC Addicted
Avatar
Registered: Aug 2005
Location: Pannonia
Posts: 1726
ich habs doch schon geschrieben: hijack bringt hier nix. er erkennt die files schon, aber nach dem fixen sind sofort neue da. im abgesicherten modus versteht sich.

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2541
Zitat von Sylist
ich habs doch schon geschrieben: hijack bringt hier nix. er erkennt die files schon, aber nach dem fixen sind sofort neue da. im abgesicherten modus versteht sich.

Falls das eine Antwort auf meinen Post war:
Wenn hijackthis alle schädlichen Einträge finden würde würden wohl kaum restliche Einträge bestehenbleiben, welche auf ein File zeigen, welches die anderen Einträge wiederherstellt.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz