| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.11.2008, 19:54
| #1 |
| |  combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Hallo Leute, ich möchte den Virus TR/Vundo.FUL.9.A entfernen und Habe hier im Forum eine Anleitung gefunden. Dabei soll das Programm combofix benuzt werden. Combofix startet aber nicht und meldet: Inkompatibles Betriebssystem. ComboFix läuft nur unter Windows 2000 und XP. Da ich aber Win 2000 nutze weiß ich nicht weiter Weiß jemand wie ich ComboFix zum laufen bringe, oder den Virus ohne entfernen kann. Grüüße colle |
|
21.11.2008, 22:06
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Wie wärs wenn Du zuerst mal ein HijackThis Logfile posten würdest?
__________________Wenn Du das gepostet hast lässt Du bitte mal Malwarebytes Antimalware durchlaufen, danach sehen wir weiter.
__________________ |
|
21.11.2008, 22:30
| #3 |
| | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Hi Root24
__________________Das miststück soll in laut Antivir hier sitzen: C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.core.dll hier das logfile Logfile of HijackThis v1.99.1 Scan saved at 22:23:23, on 21.11.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\Programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlservr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Daten+Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINNT\System32\KernelDrv.exe O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe Hoffe es kann jemand helfen grüße colle |
|
21.11.2008, 22:33
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Das war eine alte Version von hijackthis! Also: Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
21.11.2008, 22:42
| #5 |
| | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A hi das umbenannte geht bei mir nicht hab das aktuelle von Trend Micro geladen hoffe das ist OK ? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:35:36, on 21.11.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\Programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlservr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Daten+Programme\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINNT\System32\KernelDrv.exe O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user') O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe -- End of file - 5108 bytes colle |
|
21.11.2008, 22:58
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Hallo Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe
C:\WINNT\System32\KernelDrv.exe
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter files to delete:
C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe
C:\WINNT\System32\KernelDrv.exe
__________________ --> combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A |
|
23.11.2008, 16:06
| #7 |
| | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Hi root24 erstmal danke für deine bisherige Hilfe und deine Bemühungen. Leider ist entweder mein system bockig oder ich zu dumm. sorry hab die einzelnen Schritte so durchgefüht wie beschrieben. Bei Virustotal.com bekomme ich für C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe folgendes Ergebniss: http://www.virustotal.com/de/analisis/880056d160e4c3a2d22442b3b7955ac6 die 2 Datei (C:\WINNT\System32\KernelDrv.exe) ist nicht zu finden ???? Wenn ich die beiden Dateien bei Avenger eingebe kommt folgende Fehlermeldung: Error: Invalide script. A valid script must begin with a command directive, Aborting execution Was mache ich falsch ? Grüße colle |
|
23.11.2008, 16:09
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.AZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.11.2008, 19:58
| #9 |
| | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Hi DANKE  Also es scheint zu klappen hier das file von Avenger: ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows 2000 ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "2ff80d3dcfec92c5" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe Driver disabled successfully. Rootkit scan completed. File "C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe" deleted successfully. Error: file "C:\WINNT\System32\KernelDrv.exe" not found! Deletion of file "C:\WINNT\System32\KernelDrv.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Hier das Logfile von HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:51:00, on 24.11.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\Programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlservr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\NOTEPAD.EXE C:\Daten+Programme\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINNT\System32\KernelDrv.exe O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user') O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe -- End of file - 4894 bytes zZ kommt kein Vierenalarm mehr. Muß ich noch mehr tun bzw etwas löschen? Grüße colle Geändert von colle (24.11.2008 um 20:05 Uhr) |
|
24.11.2008, 20:21
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINNT\System32\KernelDrv.exe Diesen Eintrag fixen! Sei doch auch bitte so nett und schick mir die Datei c:\avenger\backup.zip per Mail. => root240(at)arcor.de in dieser backup.zip sind die vom Avenger gelöschten Dateien. Versuch jetzt auch nochmal den Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.11.2008, 21:25
| #11 |
| | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Hi root24 Die Datei ist per mail unterwegs. Jetzt läuft auch combofix Code:
ATTFilter ComboFix 08-11-23.02 - colle 24.11.2008 21:03:58.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.632 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\winnt\Downloaded Program Files\setup.inf
c:\winnt\system32\ksvcl.dll
c:\winnt\system32\mdm.exe
c:\winnt\system32\qmopt.dll
c:\winnt\Web\default.htt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_IPRIP
-------\Legacy_LANMANDRV
-------\Service_Iprip
-------\Service_lanmandrv
((((((((((((((((((((((( Dateien erstellt von 2008-10-24 bis 2008-11-24 ))))))))))))))))))))))))))))))
.
2008-11-24 21:07 . 08-11-24 21:07 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_2b8.dat
2008-11-24 21:07 . 08-11-24 21:07 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_248.dat
2008-11-24 20:51 . 08-11-24 20:51 <DIR> d-------- c:\programme\Yahoo!
2008-11-24 20:51 . 08-11-24 20:51 <DIR> d-------- c:\programme\CCleaner
2008-11-01 12:13 . 08-11-09 11:54 54,156 --ah----- c:\winnt\QTFont.qfn
2008-11-01 12:13 . 08-11-01 12:13 1,409 --a------ c:\winnt\QTFont.for
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-24 18:37 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-14 22:18 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\ChessBase
2008-10-20 19:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kodak
2008-10-19 17:56 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-19 17:56 --------- d-----w c:\programme\Kodak
2008-02-07 16:47 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-01-03 12:14 271 ---h--w c:\programme\desktop.ini
2007-01-03 12:14 22,080 ---h--w c:\programme\folder.htt
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [05-09-03 15:18 94208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-07-19 11:01 266497]
"NeroFilterCheck"="c:\winnt\system32\NeroCheck.exe" [01-07-09 11:50 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [06-09-01 15:57 282624]
"Disk Monitor"="c:\programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe" [02-12-12 13:01 440832]
"Synchronization Manager"="mobsync.exe" [03-06-19 20:05 112400 c:\winnt\system32\mobsync.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 13:00 20752 c:\winnt\system32\internat.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 20:05 189712]
c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
T-Online DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\TODslMgr.exe [2008-06-04 901120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"aux"= mmdrv.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\2ff80d3dcfec92c5]
@="Service"
R0 avgntmgr;avgntmgr;c:\winnt\system32\drivers\avgntmgr.sys [2007-01-03 18496]
R1 avgntdd;avgntdd;c:\winnt\system32\DRIVERS\avgntdd.sys [2007-01-03 64448]
R2 MSSQL$CMX;MSSQL$CMX;c:\programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlservr.exe -sCMX []
R3 NeodioUSBSTOR;IC Card Reader Driver;c:\winnt\system32\DRIVERS\USBNEOD.SYS [2002-11-09 18459]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;c:\winnt\system32\DRIVERS\openhci.sys [1999-12-10 24784]
R3 SiSGbe2K;SiS191/SiS190 Ethernet Device NDIS 5.0 Driver;c:\winnt\system32\DRIVERS\SiSGbe2K.sys [2007-01-03 123776]
R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2007-01-03 49776]
S2 DETEWECP;DeTeWe CapiPort;c:\winnt\system32\drivers\detewecp.sys []
S3 dtwmnic5;DeTeWe OpenCom 36lan;c:\winnt\system32\DRIVERS\dtwmnic5.sys []
S3 SQLAgent$CMX;SQLAgent$CMX;c:\programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlagent.EXE -i CMX []
S3 TDslMgrService;DSL-Manager;"c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2008-06-04 294912]
S4 2ff80d3dcfec92c5;Microsoft DDE+ server;c:\winnt\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe []
*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-NWEReboot - (no file)
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\g8cgj5yy.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-24 21:09:26
Windows 5.0.2195 Service Pack 4 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\winnt\system32\Perflib_Perfdata_65c.dat
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(184)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll
- - - - - - - > 'lsass.exe'(248)
c:\winnt\system32\mpr.dll
c:\winnt\system32\rsaenh.dll
.
Zeit der Fertigstellung: 2008-11-24 21:12:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-24 20:11:55
Vor Suchlauf: 11.490.095.104 Bytes frei
Nach Suchlauf: 11,897,339,904 Bytes frei
112
|
|
24.11.2008, 22:11
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A Hm, Du hast Dir da ja recht hinterhältige malware eingefangen, daher solltest Du überlegen, ob es nicht besser wäre das System neu aufzusetzen. Ich würde es machen. Mach aber nochmal bitte das hier: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code:
ATTFilter Rootkit::
c:\winnt\system32\Perflib_Perfdata_65c.dat
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A |
| anleitung, bringe, combofix, entferne, entfernen, forum, gefunde, laufe, laufen, leitung, leute, melde, meldet, nutze, programm, starte, startet, startet nicht, tr/vundo.ful.9.a, virus, win, win2000, windows |
