hilfe wurde mit PI infiziert was soll ich machen?

von einen fremden ? oder von dir?

Wenn du von deinem eigenen Server infiziert wurdest, ist das nicht sonderlich schlimm. Du kannst es einfach ignorieren. Passieren wird nichts.

Wenn du von einem fremden Server infiziert wurdest, sieht es schon etwas schlechter aus. Versuche per Start --> Ausführen --> msconfig --> Reiter Systemstart den Poisonserver zu finden und ihn im Autostart zu deaktivieren.

von einem fremden und ich finde ihn nicht >.<

und dann biste jetzt on Oo sehr risskannt

ja was soll ich jetzt machen ??

1. Internetverbindung trennen!
2. Mit dem Av mal ganze Platte scannen und schauen ob du irgendwas findest!
3. Stell alle Programme ab, die Verbindung zum Internet herstellen! Dann schau deine Ein/Ausgehenden Verbindungen an, darutner sollte der Server sein!
4. Ip aufschreiben für Abuse!
5. Server manuell(!) löschen!

wie kann ich den server manuell löschen bzw wo instl. sich PI?

Wo er liegt musst du selber rausfinden, Av scannen, HijackThis, TcpView,... und dann einfach Rechtsklick -> Löschen -> Ja :wink:

Falls dus lieber aufwändig haben willst http://www.free-hack.com/viewtopic.php?t=31722 :wink:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:08, on 16.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [explorer.exe] C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [dmp] C:\WINDOWS:dmp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [dmp] C:\WINDOWS:dmp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4730 bytes


hmm hier ist mal die Logfile vill findet ihr was mir ist nur aufgefallen das svchost ziemlich oft vor kommt ist das normal Ô.o

Edit: O4 - HKLM\..\Run: [explorer.exe] C:\WINDOWS\system32\system.exe

O4 - HKLM\..\Run: [dmp] C:\WINDOWS:dmp.exe

O4 - HKCU\..\Run: [dmp] C:\WINDOWS:dmp.exe

hab ich entfernt
ist der jetzt weg?

Yo ist normal.

HKLM\..\Run: [explorer.exe] C:\WINDOWS\system32\system.exe
HKLM\..\Run: [dmp] C:\WINDOWS:dmp.exe

Die beiden solltest du dir anschauen, sehen beide nicht gut aus!

O4 - HKLM\..\Run: [explorer.exe] C:\WINDOWS\system32\system.exe

O4 - HKLM\..\Run: [dmp] C:\WINDOWS:dmp.exe

O4 - HKCU\..\Run: [dmp] C:\WINDOWS:dmp.exe

hab ich entfernt
ist der jetzt weg?

Scanns nochmal mit HijackThis und poste den Log pls

Lad dir RegVac , Avg Spyware , XoftSpySe , privacyeraser Runter und lass alles durch scannen, dann ist dein rechner wieder Clean. Mach als erstes bei den Progs nen Update, dann trennst du deine Internet Verbindung und lässt alles Druchlaufen. Danach ist dein PC 100%Clean. Wenn nicht kenn ich noch eine Methode

Wenn du mehr wissen willst einfach ICQ Adden: 292-887-434

Wenn du die seite haben willst wo du die ganzen Programme Full + Key & Crack Downloaden kannst schick mir eine P/M oder schreib mich in ICQ an.

Diese Methode ist von themasterhacker und klappt immer, auch wenn der Server FUD ist.

Hab ich oben schon gepostet wadek :wink:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:56, on 16.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\XoftSpySE\xoftspy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4515 bytes

du hast nur den link dazu geschrieben...

lol

solltest wieder clean sein nrx..

ok danke leute 8) ich hoffe er ist wirklich clean >.<

Du hast zumindest keine rausgehenden verdächtigen Verbindungen mehr, also sollte es clean sein! Kannst ja nochmal mit themasters Kombo rübergehn :wink:

Um Poison Ivy zu löschen einfach folgendes tun:

Internetverbindung trennen
Taskmanager starten
Explorer.exe killen
Neuer Task: Regedit
Regedit -> HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Active Setup -> Installed Components

Nun stehen dort haufenweise Schlüssel (Jeder Ordner enthält einen Schlüssel)

Diese Ordner durchgucken: In einem der Ordner befindet sich die Datei, die für PI verantwortlich ist. Wenn gefunden, ganzen Ordner löschen!
Dann merken, wie die da Datei heißt!

Neuer Task: Explorer!

Dann in den Ordner gehen in dem der PI-Server ist (meistens Windows\System32)

Nun kann die Exe von Hand gelöscht werden (Ich glaube es gibt auch noch eine dll die genau wie der Server heißt, die sollte auch gelöscht werden)

Danach biste wieder clean! :-)

Hoffe konnte helfen!

Tix war gestern über Teamviewer bei mir auf dem pc und hat mir beim Programmieren geholfen... aber dann hat er von seinem server auch poison IVY runtergeladen und bei mir ausgeführt... zum Glück hab ich es schnell gemrkt. Beim pc neustarten stand oben links in der Ecke wo Poison IVY gespeichert ist.. -> C:\Windows\system32\adaware.exe hieß sie. Hab diese gelöscht und neugestartet.. und siehe da: beim booten kommt diese Fakemeldung nicht mehr usw. und der pc ist wieder schneller. Hab zur Sicherheit noch Kaspersky installiert und eine Firewall.. die Firewall hat mir keine Verbindung gemeldet. Bin ich noch infiziert?

Lass einfach mal Kaspersky rüber laufen dann bist du sicher.
Notfalls -> Kauf die Kaspersky 2009 mit einer 1 Jahres Lizenz!

Ich hab die server.exe bei scanner.virus.org hochgeladen und der meinte, dass Kaspersky etwas gefunden hat. Dann hab ich mal mein Kaspersky die server.exe überprüfen lassen und es hat nix gefunden... gestern nacht wollte ich es die ganze hdd durchsuchen lassen, aber es war über 45 Minuten bei 1% und dann hab ich es abgebrochen...

o0

Welches Kaspersky hast du?
Formatier einfach, dann bist du auf der sicheren Seite!

Ich werde es nochmal durchlaufen lassen. Hab kaspersky 2009. Vll. war es gestern nur so lahm wegen dem trojaner, weil da hat der laptop gerattert wie sau ^^