|
Unbekannte dll's Hallo, mein Vater hat sich auf irgendwelchen Seiten (ich weiss nicht welche :P) sich ein paar "Viren" eingefangen HiJack This spuckt ein paar unbekannte und auch gefährliche .dll's aus! Wenn ich diese per HiJack This fixe, kommen sie beim erneuten scannen mit HJT wieder:confused:(Allerdings habe ich ein paar Prozesse im Task-Manager, die mir komisch vorkamen beendet, und schon läuft das Internet schneller und man wird nicht mehr auf kostenpflichtige Seiten weitergeleitet) Zudem, wenn ich die .dll's manuell löschen will, und in den Ordner gehe(Windows.0\system32\zenemure.dll",s) sind dort die angegebenen .dll's nicht??? Weiss jemand was zu tun ist? HJT - Logfile kommt im Anhang :D Ausgewertet habe ich es auch schon, aber wie gesagt sie kommen nach erneutem Scannen wieder und ich finde sie nicht! Und nicht vergessen:" Der Optimist sieht in einem Problem eine Aufgabe, der Pessimist sieht in einer Aufgabe ein Problem" :singsing: MfG Da es per Anhang nicht geht: Logfile of HijackThis v1.99.1 Scan saved at 13:44:10, on 28.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\Explorer.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - {fbb320ae-9c81-439b-a9b7-ec643abdc2b5} - C:\WINDOWS.0\system32\debeviva.dll O4 - HKLM\..\Run: [CPM100623d3] Rundll32.exe "c:\windows.0\system32\wudiyopi.dll",a O4 - HKLM\..\Run: [1335104f] rundll32.exe "C:\WINDOWS.0\system32\kelinepe.dll",b O4 - HKLM\..\Run: [runoziyuda] Rundll32.exe "C:\WINDOWS.0\system32\zenemure.dll",s O4 - Startup: ChkDisk.lnk = ? O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O20 - AppInit_DLLs: c:\windows.0\system32\wudiyopi.dll,C:\WINDOWS.0\system32\beromavu.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\wudiyopi.dll O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe |
Hi, das Windows ist schon mal überbügelt worden... Lass MAM los, das wenige was da läuft sind auch schon die Viecher... Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Fixe dann: (Fast alles ;o)... Code: O2 - BHO: (no name) - {fbb320ae-9c81-439b-a9b7-ec643abdc2b5} - C:\WINDOWS.0\system32\debeviva.dllc:\programme\bonjour\mdnsnsp.dll Falls erkannt nicht löschen, sonst geht das Internet nicht mehr... chris (jetzt beim Abendessen, und danach faul-auf-der-Haut-liegen) |
Hallo, Hier der neue HJT Logfile den anderen hat er verworfen, weil er den pc neustarten musste wegen 3 .dll files ... Logfile of HijackThis v1.99.1 Scan saved at 20:35:54, on 28.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS.0\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\ADMINI~1\protect.dll,_IWMPEvents@16 O4 - Startup: ChkDisk.dll O4 - Startup: ChkDisk.lnk = ? O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe MfG |
Hi, noch den Log von MAM posten... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\DOKUME~1\ADMINI~1\protect.dll
Also, falls die beiden erkannt worden sind, die mit dem falschen Pfad unten rausnehmen und abfackeln: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\ADMINI~1\protect.dll,_IWMPEvents@16Danach noch mal MAM updaten laufen lassen, Log posten und Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... Chris |
hier schon mal der Log von MaM. Der Rest kommt nachher :) Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 2 29.04.2009 14:47:51 mbam-log-2009-04-29 (14-47-51).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 161630 Laufzeit: 17 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS.0\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\protect.dll (Trojan.Agent) -> Delete on reboot. Virustotal (habe einfach alles kopiert sry wenn falsch :)): c:\programme\bonjour\mdnsnsp.dll: Ergebnis: 0/40 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.29 - AhnLab-V3 5.0.0.2 2009.04.29 - AntiVir 7.9.0.156 2009.04.29 - Antiy-AVL 2.0.3.1 2009.04.29 - Authentium 5.1.2.4 2009.04.29 - Avast 4.8.1335.0 2009.04.28 - AVG 8.5.0.287 2009.04.29 - BitDefender 7.2 2009.04.29 - CAT-QuickHeal 10.00 2009.04.29 - ClamAV 0.94.1 2009.04.29 - Comodo 1141 2009.04.29 - DrWeb 4.44.0.09170 2009.04.29 - eSafe 7.0.17.0 2009.04.27 - eTrust-Vet 31.6.6482 2009.04.29 - F-Prot 4.4.4.56 2009.04.29 - F-Secure 8.0.14470.0 2009.04.29 - Fortinet 3.117.0.0 2009.04.29 - GData 19 2009.04.29 - Ikarus T3.1.1.49.0 2009.04.29 - K7AntiVirus 7.10.719 2009.04.29 - Kaspersky 7.0.0.125 2009.04.29 - McAfee 5599 2009.04.28 - McAfee+Artemis 5599 2009.04.28 - McAfee-GW-Edition 6.7.6 2009.04.29 - Microsoft 1.4602 2009.04.29 - NOD32 4042 2009.04.29 - Norman 6.00.06 2009.04.28 - nProtect 2009.1.8.0 2009.04.29 - Panda 10.0.0.14 2009.04.28 - PCTools 4.4.2.0 2009.04.29 - Prevx1 3.0 2009.04.29 - Rising 21.27.22.00 2009.04.29 - Sophos 4.41.0 2009.04.29 - Sunbelt 3.2.1858.2 2009.04.28 - Symantec 1.4.4.12 2009.04.29 - TheHacker 6.3.4.1.317 2009.04.29 - TrendMicro 8.950.0.1092 2009.04.29 - VBA32 3.12.10.3 2009.04.29 - ViRobot 2009.4.29.1715 2009.04.29 - VirusBuster 4.6.5.0 2009.04.28 - weitere Informationen File size: 147456 bytes MD5...: 0e3e56064e162ee9cc48698355098301 SHA1..: 30919f80695ce956ef416f2a50bded17c7a00e22 SHA256: cc9f77f3e3a489b9d4dc7b5108c53267231c5038e64f7b4eac7e209991d53d1f SHA512: f3df33af55af7d8af6eb35637cf3fb67b5203b3c01d578413590d9db02c9bc3a e16f5ca9462ce1fc041d449b6991910a9b1b02f56c7c8562f6e1ed193fd89a22 ssdeep: 3072:L7vLg2wlHeo16OwlLi4qsx64FfJLj5dh:PvLwco1TwJq7 PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x525c timedatestamp.....: 0x48a4b78c (Thu Aug 14 22:54:04 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x19922 0x1a000 6.65 e035522b528777758b534cbf7d462792 .rdata 0x1b000 0x30b8 0x4000 4.64 8b9b0956e62bbc28202059c016403f85 .data 0x1f000 0x2cd4 0x2000 1.41 57cd202616461946b44f274f19774948 .rsrc 0x22000 0x3ec 0x1000 3.72 7434459ffc6608071614b62f11465170 .reloc 0x23000 0x120a 0x2000 4.58 f4db845a7eb4ae75800168d02c21f4a5 ( 2 imports ) > WS2_32.dll: WSAEventSelect, WSAStringToAddressA, -, WSCUnInstallNameSpace, WSCInstallNameSpace, - > KERNEL32.dll: GetStartupInfoA, CompareStringW, CompareStringA, SetEndOfFile, GetTimeZoneInformation, GetLocaleInfoW, HeapSize, GetModuleFileNameW, GetLastError, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, FreeLibrary, DeleteCriticalSection, InterlockedDecrement, SetLastError, WaitForSingleObject, WaitForMultipleObjects, CreateEventA, WideCharToMultiByte, GetSystemDirectoryA, GetProcAddress, LoadLibraryA, InitializeCriticalSection, InterlockedIncrement, LocalAlloc, LocalFree, InterlockedExchange, RaiseException, HeapFree, HeapReAlloc, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapDestroy, HeapCreate, VirtualFree, FatalAppExitA, VirtualAlloc, RtlUnwind, SetHandleCount, GetStdHandle, GetFileType, SetEnvironmentVariableA, GetModuleHandleA, ExitProcess, WriteFile, GetModuleFileNameA, GetCPInfo, GetACP, GetOEMCP, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThread, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, MultiByteToWideChar, ReadFile, SetConsoleCtrlHandler, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, CreateFileA, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW ( 4 exports ) DllRegisterServer, DllUnregisterServer, NSPCleanup, NSPStartup PDFiD.: - RDS...: NSRL Reference Data Set C:\DOKUME~1\ADMINI~1\protect.dll: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.29 Trojan-Spy.Win32.Agent!IK AhnLab-V3 5.0.0.2 2009.04.29 Win-Trojan/Agent.24064.JM AntiVir 7.9.0.156 2009.04.29 TR/Crypt.IL Antiy-AVL 2.0.3.1 2009.04.29 - Authentium 5.1.2.4 2009.04.29 - Avast 4.8.1335.0 2009.04.28 Win32:Rootkit-gen AVG 8.5.0.287 2009.04.29 BackDoor.Generic11.HUH BitDefender 7.2 2009.04.29 Trojan.Crypt.IL CAT-QuickHeal 10.00 2009.04.29 Trojan.Agent.ATV ClamAV 0.94.1 2009.04.29 - Comodo 1141 2009.04.29 - DrWeb 4.44.0.09170 2009.04.29 Trojan.Alupko.31 eSafe 7.0.17.0 2009.04.27 - eTrust-Vet 31.6.6482 2009.04.29 Win32/Droplet.FV F-Prot 4.4.4.56 2009.04.29 - F-Secure 8.0.14470.0 2009.04.29 Trojan-Spy.Win32.Agent.amjg Fortinet 3.117.0.0 2009.04.29 PossibleThreat GData 19 2009.04.29 Trojan.Crypt.IL Ikarus T3.1.1.49.0 2009.04.29 Trojan-Spy.Win32.Agent K7AntiVirus 7.10.719 2009.04.29 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.04.29 Trojan-Spy.Win32.Agent.amjg McAfee 5599 2009.04.28 - McAfee+Artemis 5599 2009.04.28 Artemis!1859A363D98B McAfee-GW-Edition 6.7.6 2009.04.29 Trojan.Crypt.IL Microsoft 1.4602 2009.04.29 TrojanDropper:Win32/Opachki.A NOD32 4042 2009.04.29 Win32/Rootkit.Agent.NIZ Norman 6.00.06 2009.04.28 - nProtect 2009.1.8.0 2009.04.29 Trojan-Spy/W32.Agent.24064.I Panda 10.0.0.14 2009.04.28 Trj/CI.A PCTools 4.4.2.0 2009.04.29 - Prevx1 3.0 2009.04.29 Medium Risk Malware Rising 21.27.22.00 2009.04.29 Trojan.Win32.Nodef.idj Sophos 4.41.0 2009.04.29 Mal/UnkPack-Fam Sunbelt 3.2.1858.2 2009.04.28 - Symantec 1.4.4.12 2009.04.29 Trojan Horse TheHacker 6.3.4.1.317 2009.04.29 - TrendMicro 8.950.0.1092 2009.04.29 - VBA32 3.12.10.3 2009.04.29 Trojan-Spy.Win32.Agent.alnq ViRobot 2009.4.29.1715 2009.04.29 Trojan.Win32.Agent.24064.AY VirusBuster 4.6.5.0 2009.04.28 - weitere Informationen File size: 24064 bytes MD5...: 1859a363d98b374bf91f6e68ff0e5406 SHA1..: 321e68674726f4a7f8fbce55dd969ed8f5eaed6b SHA256: 7c6546d4a4b49186624a33501ea468a7249b0fa9e25fc72386ad5b3e1bffbc1f SHA512: 35733c58ad8b81a52aaeeef6c7fad2f9c162678af8c59ad603f219e8ba7fb147 ca6b610a1e2d1b9e954dab1eed7d3341b6c2bee540e29650c01e60c90ee1079f ssdeep: 384:7nYa6qxpxKHJUAWsz/F5qoE+QeA9UTi9xVz2RzDT2QRfcL:7nZxKpUAWsh5x 1A9FHCzDTzhi PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2df0 timedatestamp.....: 0x49d8a81f (Sun Apr 05 12:46:23 2009) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .bss 0x1000 0x241 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .data 0x2000 0x4e4e 0x5000 6.36 10b581997c0f2150759f17a5a8447c53 .rsrc 0x7000 0x428 0x600 2.34 b1d9e9269f8ed3244be56023dee0d076 .reloc 0x8000 0x3b8 0x400 5.83 e59e45758dccb7b336138bc891a51998 ( 7 imports ) > KERNEL32.dll: GetProcAddress, LoadLibraryA, GetModuleHandleA, GetFileAttributesA, SetFileAttributesA, DeleteFileA, GetShortPathNameA, ExpandEnvironmentStringsA, GetModuleFileNameA, MultiByteToWideChar, CreateFileA, lstrlenA, VirtualAllocEx, lstrcatA, GetEnvironmentVariableA, CloseHandle, ReadFile, GetFileSize, WriteFile, SetFilePointer, HeapAlloc, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, ReadProcessMemory, VirtualFreeEx, GetVolumeInformationA, WriteProcessMemory > USER32.dll: DispatchMessageA, TranslateMessage, GetMessageA, SetWindowsHookExA, CallNextHookEx, wsprintfA > ADVAPI32.dll: RegCloseKey, RegCreateKeyExA, RegSetValueExA > SHELL32.dll: SHGetPathFromIDListA, SHGetSpecialFolderLocation, SHGetMalloc > ole32.dll: CoCreateInstance > WS2_32.dll: -, - > SHLWAPI.dll: StrStrA ( 6 exports ) _IWMPEvents@16, calloc, free, malloc, memmove, realloc PDFiD.: - RDS...: NSRL Reference Data Set C:\WINDOWS.0\System32\ChkDisk.dll existiert nirgendswo, weder in windows.0 noch in windows.0\system32 MfG |
Hi, hast Du mit virustotal vor oder nach MAM gearbeitet? Wenn vorher OK, wenn nachher (nach MAM) hat das Löschen nicht geklappt (protect.dll), dann bitte sofort Avenger hinterherjagen, bevor sich was Neues runterlädt... chris |
hi, ich habe als erstes mam drüber laufen lassen, danach den .txt hier gepostet, anschliessend mit virustotal die zwei .dll's geprüft, dann sofort hinterher mit avenger den protect.dll löschen lassen und den pc rebootet. Hoffe das war alles richtig so... Leider habe ich kein avenger.txt auf meiner C festplatte drauf? Gefunden :P Hier ist er: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found! ImagePath: \systemroot\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys Start Type: 1 (System) Rootkit scan completed. Error: file "C:\WINDOWS.0\System32\ChkDisk.dll" not found! Deletion of file "C:\WINDOWS.0\System32\ChkDisk.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. MfG |
Hi, schau mal unter C:\avenger, dort müssten Backupdateien existieren... Bitte noch ein neues HJ-Log... chris |
Hier ist der HJT Log: Logfile of HijackThis v1.99.1 Scan saved at 15:24:36, on 29.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS.0\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - Startup: ChkDisk.dll O4 - Startup: ChkDisk.lnk = ? O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe Nach Pc neustart nachdem ich avenger ausgeführt habe :) MfG |
Hi, ein Rootkit.... Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
hi, ich finde unter dem D-Load Lionk leider keine Datei zum downloaden... (ich weiss ich bin dumm) MfG €dit: habe es mir nun extern herunter geladen, mache gerade einen Scan bericht folgt :) GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-04-29 15:35:26 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- Code 86589388 ZwEnumerateKey Code 86588358 ZwFlushInstructionCache Code 865895C6 IofCallDriver Code 8658B52E IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!IofCallDriver 804E3D45 5 Bytes JMP 865895CB .text ntoskrnl.exe!IofCompleteRequest 804E418A 5 Bytes JMP 8658B533 PAGE ntoskrnl.exe!ZwEnumerateKey 8056F76A 5 Bytes JMP 8658938C PAGE ntoskrnl.exe!ZwFlushInstructionCache 805769AB 5 Bytes JMP 8658835C ? vakvkuwk.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS.0\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ? C:\WINDOWS.0\System32\Drivers\SPTD9197.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F774CDB2] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F776271E] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys IAT dmio.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys IAT dmio.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys IAT dmio.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762032] sptd.sys IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F774CF6E] sptd.sys IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F774CE06] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F773FA32] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F773FB6E] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F773FAF6] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F77406CC] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F77405A2] sptd.sys IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys IAT \WINDOWS.0\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F7751F78] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7761C82] sptd.sys IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 863A1EB0 Device \FileSystem\Fastfat \FatCdrom 8678D788 Device \Driver\NetBT \Device\NetBT_Tcpip_{C1054B05-BCA1-4933-B1F3-3511990CE4E2} 86435D18 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8678DEB0 Device \Driver\dmio \Device\DmControl\DmConfig 8678DEB0 Device \Driver\dmio \Device\DmControl\DmPnP 8678DEB0 Device \Driver\dmio \Device\DmControl\DmInfo 8678DEB0 Device \Driver\Ftdisk \Device\HarddiskVolume1 8678D0E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8678D0E8 Device \Driver\Cdrom \Device\CdRom0 8632F918 Device \FileSystem\Rdbss \Device\FsWrap 863590E8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8678D0E8 Device \Driver\Cdrom \Device\CdRom1 8632F918 Device \Driver\NetBT \Device\NetBt_Wins_Export 86435D18 Device \Driver\NetBT \Device\NetbiosSmb 86435D18 Device \Driver\Disk \Device\Harddisk0\DR0 8678DA40 Device \Driver\Disk \Device\Harddisk1\DR1 8678DA40 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 864B2C20 Device \FileSystem\MRxSmb \Device\LanmanRedirector 864B2C20 Device \FileSystem\Npfs \Device\NamedPipe 86436C20 Device \Driver\Ftdisk \Device\FtControl 8678D0E8 Device \FileSystem\Msfs \Device\Mailslot 86696630 Device \FileSystem\Fastfat \Fat 8678D788 Device \FileSystem\Cdfs \Cdfs 8655E208 ---- Files - GMER 1.0.15 ---- File C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys File C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll File C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat File C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll File C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll File C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat ---- EOF - GMER 1.0.15 ---- Ist das richtig so? :D |
Hi, hat keiner gesagt: guckst Du auf der Seite findet Du Downloadlink hier: www.gmer.net/files <- das ist der Link Auf der GmerPage dann "Download exe", es wird ein zufälliger Name generiert, den und den Downloadpfad merken, eventuelle Meldungen von Avira & Co. zulassen (d. h. die Exe als ungefährlich zulassen), dann Gmer starten.... Das Problem bei sowas, ist, solange Du im Internet bist, kann das Teil fleißig nachladen und wir kommen keinen Schritt weiter... chris |
was meinst du mit:" Das Problem bei sowas, ist, solange Du im Internet bist, kann das Teil fleißig nachladen und wir kommen keinen Schritt weiter..." Heisst das ich soll den Stecker vom Router ziehen und dann den Scan machen oder was meinst du? Im Moment bin ich nur auf dieser Seite (trojanerBoard) und gerade auf gmer.net... ansonsten nirgendwo MfG |
Hi, ja, nur das Rootkit (der Treiber/Dienst mit dem elendslangennamen) ist wahrscheinlich neben Dir auch im Internet zu Gange und lädt fleissig unbemerkt nette kleine Tierchen nach... Daher unbedingt Gmer durchführen (und dabei raus aus dem Internet), dann wieder rein und Log posten... chris |
hi, Habe nun deinen Rat befolgt, habe den Router(Internetzugang) gekappt und den Scan mit Gmer durchgeführt. Dies kam dabei Raus: GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-04-29 15:47:18 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- Code 86589388 ZwEnumerateKey Code 86588358 ZwFlushInstructionCache Code 865895C6 IofCallDriver Code 8658B52E IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!IofCallDriver 804E3D45 5 Bytes JMP 865895CB .text ntoskrnl.exe!IofCompleteRequest 804E418A 5 Bytes JMP 8658B533 PAGE ntoskrnl.exe!ZwEnumerateKey 8056F76A 5 Bytes JMP 8658938C PAGE ntoskrnl.exe!ZwFlushInstructionCache 805769AB 5 Bytes JMP 8658835C ? vakvkuwk.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS.0\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ? C:\WINDOWS.0\System32\Drivers\SPTD9197.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F774CDB2] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F776271E] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys IAT dmio.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys IAT dmio.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys IAT dmio.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762032] sptd.sys IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F774CF6E] sptd.sys IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F774CE06] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F773FA32] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F773FB6E] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F773FAF6] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F77406CC] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F77405A2] sptd.sys IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys IAT \WINDOWS.0\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F7751F78] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7761C82] sptd.sys IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 863A1EB0 Device \FileSystem\Fastfat \FatCdrom 8678D788 Device \Driver\NetBT \Device\NetBT_Tcpip_{C1054B05-BCA1-4933-B1F3-3511990CE4E2} 86435D18 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8678DEB0 Device \Driver\dmio \Device\DmControl\DmConfig 8678DEB0 Device \Driver\dmio \Device\DmControl\DmPnP 8678DEB0 Device \Driver\dmio \Device\DmControl\DmInfo 8678DEB0 Device \Driver\Ftdisk \Device\HarddiskVolume1 8678D0E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8678D0E8 Device \Driver\Cdrom \Device\CdRom0 8632F918 Device \FileSystem\Rdbss \Device\FsWrap 863590E8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8678D0E8 Device \Driver\Cdrom \Device\CdRom1 8632F918 Device \Driver\NetBT \Device\NetBt_Wins_Export 86435D18 Device \Driver\NetBT \Device\NetbiosSmb 86435D18 Device \Driver\Disk \Device\Harddisk0\DR0 8678DA40 Device \Driver\Disk \Device\Harddisk1\DR1 8678DA40 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 864B2C20 Device \FileSystem\MRxSmb \Device\LanmanRedirector 864B2C20 Device \FileSystem\Npfs \Device\NamedPipe 86436C20 Device \Driver\Ftdisk \Device\FtControl 8678D0E8 Device \FileSystem\Msfs \Device\Mailslot 86696630 Device \FileSystem\Fastfat \Fat 8678D788 Device \FileSystem\Cdfs \Cdfs 8655E208 ---- Files - GMER 1.0.15 ---- File C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys File C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll File C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat File C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll File C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll File C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat ---- EOF - GMER 1.0.15 ---- Meines erachtens nach nicht viel anders als der vorherige, aber ich habe davon auch null Ahnung. Ich verlasse mich da ganz auf die spezialisten des trojaner Boards :D MfG |
Hi, jetzt wird es interessant, hast Du ein gutes Backup? Versuche mal diese Dateien online (virustotal) prüfen zu lassen: Code: C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sysAnleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris |
bitte um erklärung des Logfile of Trend Micro HijackThis sorry tut mir leid |
@henning: Erster Beitrag und schon falsch? Wieso postest du hier in MEINEM Thread DEINE Probleme?? Zudem würde ich das HJT Log mal schleunigst überarbeiten, d.h. ALLE Namen etc. rauslöschen!!! @Chris: Diese Frage: "Hast du ein gutes Backup?" beunruhigt mich etwas... Wenn ich das beschrieben ausführe, könnte ich dann Pech haben und das System neu aufziehen müssen? MfG |
Hi, versuche erst die Dateien zu finden und bei Virustotal prüfen zu lassen (siehe meinen post oben)... Datensicherung sollte man immer haben... ;o) chris |
Hi, C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll Alle Dateien nicht gefunden! Ich habe keine Datei in diesem Ordner mit solangem Namen ;) ICH habe IMMER eine Datensicherung, mein Vater allerdings... Nunja hoffen wir es wird nicht so schlimm :D MfG |
oh sorry ich blick hier nicht durch...wo muss ich es denn posten? und welche namen löschen? danke |
@Henning... Ja das ist möglich, und auf der Kiste läuft auch schon was: O4 - HKCU\..\Run: [uigsiqq] "c:\dokumente und einstellungen\rémy\lokale einstellungen\anwendungsdaten\uigsiqq.exe" uigsiqq Aktive Links und persönliche Informationen in HJT Log-Files (http://www.trojaner-board.de/22771-a...tml#post171958), sonst darf nicht geholfen werden! Bitte einen eigenen Thread eröffnen, das passt auch Thematisch nicht zu diesem Thread... Folgendes auch gleich abarbeiten: Navilog Folge folgender Anleitung: http://www.trojaner-board.de/69713-e...navipromo.html oder Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines Virescanners sin zu ignorieren (Anwendung erlauben!) Alle anderen Anwendungen bitte beenden! Danach sollte navilog automatsich starten, sonst per Doppelklick dem Desktop starten. Im Sprachmenü bitte English auswählen, ausser Du kannst eine der angegebenen Sprachen ;o) Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. Während der Suche nichts am Rechner machen, nur auf Programmaufforderung! Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen, Inhalt kopieren und in Thread einfügen. Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\"). http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe chris |
@Keks Das dachte ich mir schon, ist ja sinn und zweck von Rootkits... Script bitte abfahren... Logs posten... chris |
okay danke erstmal...dass heisst du bist dir sicher, dass da jemand auf meinen lap top zugriff hat? tut mir leid, ich bin neu hier....wie eröffne ich einen eigenen tread? |
Hi, Hier ist der Log von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found! ImagePath: \systemroot\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys Start Type: 1 (System) Rootkit scan completed. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" not found! Deletion of driver "ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
@Henning http://www.trojaner-board.de/hijacker-hijackthis-logs-posten/ Dann links oben, "Neues Thema"... Was sonst noch alles drauf ist, wird man dann sehen... Für die "erste Hilfe" bitte folgendes abarbeiten: http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html (und dann das schon vorgeschlagene "Navilog")... chris |
@Keks Was macht der Rechner...? Nachmal bitte MAM drüber und dann noch mal ein HJ-Log... Mal sehen, ob wir ihn finden: ......RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Code: ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvmNotepad wird sich oeffnen - poste den text chris |
Hi, Ein kleines Problem besteht noch. Wenn ich diese Registry Search downloaden will, komme ich nicht auf den Link, siondern der Virus (???) leitet mich auf Google.com?? MfG |
So habe das Programm nun am andren PC runtergeladen. Wenn ich diesen Eintrag suche kommt bei mir folgendes Fenster: "Search completed in 34 Seconds. No instances of "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found." Was heisst das? und was mich viel mehr interessiert ist, was macht der Virus eigentlich? Bis jetzt habe ich nur festgestellt, dass er die Links nicht akzeptirt und uns auf andere Suchmaschinen umleitet (z.B.: Google). MaM läuft gerade drüber. anschließend werde ich HJT drüber laufen lassen und beide Logs posten :) MfG |
Hi, dazu müssen wir zuerst rausbekommen was das war. Lasse das zeitlich letzte Backup von Avenger bei Virustotal prüfen (in dem Zip wo die Treiber/Dlls mit "ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" sind). Normalerweise geht der Trojaner hin und leitet alle Suchanfragen auf eigene Seite um... Das wäre umgekehrt und sehr "seltsam"... Die Interneteinstellungen stimmen noch (DHCP-Server etc.)? Was steht in der hosts-Datei? Hosts-File anzeigen: Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor). Kopiere den Inhalt und poste ihn hier... Nächste Frage: Wenn Du auf einen Link den Google dir anzeigst klickst, wirst Du dann weitergeleitet? chris |
hier ersteinmal die logs: MAM: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 2 29.04.2009 17:07:03 mbam-log-2009-04-29 (17-07-03).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 160947 Laufzeit: 32 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{C5C81DB8-E604-468E-AB1A-0BA9D8CA7DE0}\RP532\A0074804.exe (Adware.Cinmus) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\protect.dll (Trojan.Agent) -> Delete on reboot. HJT: Logfile of HijackThis v1.99.1 Scan saved at 17:09:34, on 29.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\spoolsv.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS.0\Explorer.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS.0\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - Startup: ChkDisk.dll O4 - Startup: ChkDisk.lnk = ? O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS.0\system32\drivers\etc die host datei ist komplett leer (0bytes) Lasse das zeitlich letzte Backup von Avenger bei Virustotal prüfen (in dem Zip wo die Treiber/Dlls mit "ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" sind). Was meinst du damit:confused: Hoffe wir finden den übeltäter bald MfG Die andere Frage kann ich dir im Moment nicht beantworten, da ich im Moment alle Links ohne Probleme anklicken kann, MaM aber noch 5 Viren anzeigt?? |
Hi, das ist so wie ich mirs dachte, wir bekämpfen einen und derweil wird ein anderer Nachgeladen. Wir haben: Code: C:\WINDOWS.0\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.Auch die Einträge Code: O4 - Startup: ChkDisk.dllDa bleibt nichts anderes übrig alles alles nacheinander noch mal durchzuführen, allerdings komplett offline... Lade Dir vorher noch Combofix runter und drucke Dir den Rest hier aus: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Weiterhin: http://www.funkytoad.com/content/view/13/ Lade die Datei "HostsXpert" auspacken und führe zuerst ein Backup des aktullen Hostsfiles durch. Danach "Restore MS Hosts". Neu booten, Hostfile nochmals kontrolliern und Internet ausprobieren. Falls das Internet nichtmehr läuft, altes Hostfile ("Restore") zurückholen und den Inhalt vom Hostsfile posten (ggf. packen). Systemwiederherstellung löschen http://www.systemwiederherstellung-d...indows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. Bitte nach Download aller Tools offline gehen... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\ADMINI~1\protect.dll,_IWMPEvents@16Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Danach MAM laufen lassen... Jetzt RSIT laufen lassen * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Online gehen und alle Logs und ein HJ-Log posten! (Sowas hardnäckiges ist mir schon länger nicht mehr begegnet) Chris |
Hi, Werde ich natürlich alles machen. Schonmal Danke für deine Mühe und alles und immer daran denken: "Ein Optimist sieht in einem Problem eine Aufgabe, ein Pessimist sieht in einer Aufgabe ein Problem" :) Ich werde dann alles Posten bis dann. MfG |
Hi, bis morgen, lasst Euch zeit (Gruß an den Papi :singsing:)... chris |
So Chris jetzt gehts rund :aplaus: habe alles gemacht, natürlich nach dem ich das internet gekappt habe :rolleyes: Hier die Logfiles, ich glaube es hat was gebracht, MaM hat z.B.: nur noch einen Virus gefunden :aplaus: Hier eine Log.txt -Datei (weiss nicht mehr welches Programm :/): Logfile of random's system information tool 1.06 (written by random/random) Run by Administrator at 2009-04-29 18:34:47 Microsoft Windows XP Professional Service Pack 2 System drive C: has 7 GB (29%) free of 23 GB Total RAM: 1023 MB (76% free) HijackThis download failed ======Scheduled tasks folder====== C:\WINDOWS.0\tasks\Google Software Updater.job C:\WINDOWS.0\tasks\GoogleUpdateTaskMachine.job ======Registry dump====== [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe [2004-11-11 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C46 Series] C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE [2004-01-13 99840] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2006-11-07 185896] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "BITS"=3 C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart ChkDisk.dll ChkDisk.lnk - C:\WINDOWS.0\system32\rundll32.exe [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\BitComet\BitComet.exe"="C:\Programme\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client" "C:\Programme\Nero\Nero 7\Nero ShowTime\ShowTime.exe"="C:\Programme\Nero\Nero 7\Nero ShowTime\ShowTime.exe:*:Enabled:Nero ShowTime" "C:\Programme\Mozilla Firefox\FIREFOX.EXE"="C:\Programme\Mozilla Firefox\FIREFOX.EXE:*:Enabled:Firefox" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10a3e50f-77b0-11db-a1cf-00138f16108d}] shell\AutoRun\command - H:\start.exe /checksection [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48346ffc-7353-11db-a4b6-806d6172696f}] shell\AutoRun\command - F:\autorun.EXE auto ======File associations====== .scr - config - ======List of files/folders created in the last 1 months====== 2009-04-29 18:34:49 ----D---- C:\Programme\trend micro 2009-04-29 18:34:47 ----D---- C:\rsit 2009-04-29 17:56:30 ----D---- C:\WINDOWS.0\temp 2009-04-29 17:56:29 ----A---- C:\ComboFix.txt 2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\zip.exe 2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\vFind.exe 2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\SWXCACLS.exe 2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\SWSC.exe 2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\SWREG.exe 2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\sed.exe 2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\NIRCMD.exe 2009-04-29 17:53:08 ----A---- C:\WINDOWS.0\grep.exe 2009-04-29 17:53:05 ----D---- C:\WINDOWS.0\ERDNT 2009-04-29 17:53:05 ----D---- C:\ComboFix 2009-04-29 17:53:02 ----D---- C:\Qoobox 2009-04-29 15:36:53 ----A---- C:\WINDOWS.0\system32\lmppcsetup.exe 2009-04-28 20:08:34 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-04-28 20:08:28 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-04-28 20:08:28 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes 2009-04-28 11:24:22 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pidle ======List of files/folders modified in the last 1 months====== 2009-04-29 18:32:04 ----A---- C:\WINDOWS.0\SchedLgU.Txt 2009-04-29 17:55:32 ----A---- C:\WINDOWS.0\System.ini 2009-04-29 10:43:38 ----A---- C:\WINDOWS.0\NeroDigital.ini 2009-04-28 13:51:18 ----A---- C:\WINDOWS.0\ntbtlog.txt ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS.0\system32\DRIVERS\amdk7.sys [2004-11-11 41472] R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS.0\system32\drivers\cdrbsdrv.sys [2004-03-08 13567] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS.0\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R2 ACEDRV07;ACEDRV07; \??\C:\WINDOWS.0\system32\drivers\ACEDRV07.sys [] R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS.0\System32\Drivers\ElbyCDIO.sys [2005-04-21 10624] R3 ati2mtag;ati2mtag; C:\WINDOWS.0\system32\DRIVERS\ati2mtag.sys [2004-08-04 701952] R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS.0\system32\drivers\cmuda.sys [2003-10-17 754560] R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS.0\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS.0\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS.0\system32\DRIVERS\hidusb.sys [2001-08-17 9600] R3 pfc;Padus ASPI Shell; C:\WINDOWS.0\system32\drivers\pfc.sys [2006-11-22 10368] R3 SISNIC;SiS-PCI-Fast Ethernet- Adaptertreiber; C:\WINDOWS.0\system32\DRIVERS\sisnic.sys [2004-08-03 32768] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS.0\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS.0\system32\DRIVERS\usbehci.sys [2004-11-11 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS.0\system32\DRIVERS\usbhub.sys [2004-11-11 57600] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS.0\system32\DRIVERS\usbohci.sys [2004-11-11 17024] S3 catchme;catchme; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys [] S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS.0\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704] S3 giveio;giveio; \??\C:\WINDOWS.0\system32\giveio.sys [] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS.0\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS.0\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 vaxscsi;vaxscsi; C:\WINDOWS.0\System32\Drivers\vaxscsi.sys [2007-10-24 223128] S4 IntelIde;IntelIde; C:\WINDOWS.0\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-08-29 238888] S2 gupdate1c985ca63aedee4;Google Update Service (gupdate1c985ca63aedee4); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-03 133104] S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-01-06 536872] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576] S4 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424] S4 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-03-14 779824] S4 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-03-12 271920] -----------------EOF----------------- HJT: Logfile of HijackThis v1.99.1 Scan saved at 17:50:24, on 29.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS.0\system32\wscntfy.exe C:\WINDOWS.0\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - Startup: ChkDisk.dll O4 - Startup: ChkDisk.lnk = ? O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe combofix: ComboFix 09-04-28.07 - Administrator 29.04.2009 17:54.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.778 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\fbk.sts c:\programme\Gemeinsame Dateien\uninstall information c:\windows.0\system32\ak1.exe c:\windows.0\system32\config\systemprofile\protect.dll c:\windows.0\system32\loader49.exe c:\windows.0\system32\prnet.tmp c:\windows.0\system32\remowoka.exe c:\windows.0\system32\yhs783ijfo3fe.dll c:\windows.0\Temp\871167000.exe c:\windows.0\Temp\872573250.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-4-29 )))))))))))))))))))))))))))))) . 2009-04-29 13:36 . 2009-04-29 13:51 27648 ----a-w c:\windows.0\system32\lmppcsetup.exe 2009-04-28 18:08 . 2009-04-28 18:08 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-04-28 18:08 . 2009-04-06 13:32 15504 ----a-w c:\windows.0\system32\drivers\mbam.sys 2009-04-28 18:08 . 2009-04-06 13:32 38496 ----a-w c:\windows.0\system32\drivers\mbamswissarmy.sys 2009-04-28 18:08 . 2009-04-28 18:08 -------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes 2009-04-28 18:08 . 2009-04-28 18:08 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-04-28 09:24 . 2009-04-28 09:24 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\pidle . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2006-10-22 11:58 . 2006-10-22 11:58 774144 ----a-w c:\programme\RngInterstitial.dll 2004-11-06 12:44 . 2000-09-06 07:36 271 --sh--w c:\programme\desktop.ini 2005-05-13 15:12 . 2005-05-13 15:12 217073 --sha-r c:\windows.0\meta4.exe 2005-10-13 19:27 . 2005-10-13 19:27 422400 --sha-r c:\windows.0\x2.64.exe 2005-10-24 09:13 . 2005-10-24 09:13 66560 --sha-r c:\windows.0\MOTA113.exe 2005-06-26 13:32 . 2005-06-26 13:32 616448 --sha-r c:\windows.0\system32\cygwin1.dll 2005-06-21 20:37 . 2005-06-21 20:37 45568 --sha-r c:\windows.0\system32\cygz.dll 2005-10-07 17:14 . 2005-10-07 17:14 308224 --sha-r c:\windows.0\system32\avisynth.dll 2004-01-24 22:00 . 2004-01-24 22:00 70656 --sha-r c:\windows.0\system32\i420vfw.dll 2005-02-28 11:16 . 2005-02-28 11:16 240128 --sha-r c:\windows.0\system32\x.264.exe 2005-07-14 10:31 . 2005-07-14 10:31 27648 --sha-r c:\windows.0\system32\AVSredirect.dll 2006-04-27 08:24 . 2006-04-27 08:24 2945024 --sha-r c:\windows.0\system32\Smab.dll . ------- Sigcheck ------- [-] 2004-11-11 10:00 359040 09EB23A4567BDD56D9580A059E616E23 c:\windows.0\system32\drivers\tcpip.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2004-11-11 15360] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ ChkDisk.dll [2009-4-28 24064] ChkDisk.lnk - c:\windows.0\system32\rundll32.exe [2004-11-11 33792] c:\windows.0\system32\config\systemprofile\Startmen\Programme\Autostart\ ChkDisk.dll [2009-4-29 24064] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ ChkDisk.dll [2009-4-28 24064] ChkDisk.lnk - c:\windows.0\system32\rundll32.exe [2004-11-11 33792] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ ChkDisk.dll [2009-4-28 24064] ChkDisk.lnk - c:\windows.0\system32\rundll32.exe [2004-11-11 33792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "BITS"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\BitComet\\BitComet.exe"= "c:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"= "c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= R2 gupdate1c985ca63aedee4;Google Update Service (gupdate1c985ca63aedee4);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 133104] R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows.0\system32\DRIVERS\fwlanusb.sys [2006-04-05 264704] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10a3e50f-77b0-11db-a1cf-00138f16108d}] \Shell\AutoRun\command - H:\start.exe /checksection [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48346ffc-7353-11db-a4b6-806d6172696f}] \Shell\AutoRun\command - F:\autorun.EXE auto . Inhalt des "geplante Tasks" Ordners 2009-04-29 c:\windows.0\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-11-03 13:32] 2009-04-29 c:\windows.0\Tasks\GoogleUpdateTaskMachine.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 05:40] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKU-Default-Run-Windows Resurections - c:\windows.0\TEMP\b3pp0e9.exe HKU-Default-Run-autochk - c:\windows.0\system32\config\SYSTEM~1\protect.dll . ------- Zusätzlicher Suchlauf ------- . uDefault_Search_URL = hxxp://www.google.com/ie uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://www.google.com/search?q=%s FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\j7pqmxun.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.freenet.de/freenet/ FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\j7pqmxun.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll FF - plugin: c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\myVRnpapi\npmyvr.dll FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJPI150_10.dll FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPOJI610.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPMCult3DP.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npracplug.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-29 17:55 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-2a86-29ed-f758fa634c9f}\InprocServer32*] "Class"=hex:2c,f3,de,f8,42,65,ef,73,74,05,2b,c4,55,6d,b8,ca,27,2e,08,b9,41,07, a5,b2,c5,4e,61,91,eb,c8,44,b0,6c,07,7b,d5,51,db,3e,fd,4e,a2,af,ef,c5,b5,81,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS.0\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-31a2-2fff-c63dfa634c9f}\InprocServer32*] "Class"=hex:22,29,e1,ee,bf,92,0e,e7,dc,42,09,b7,94,50,a5,64,f7,c5,d2,37,7f,86, 7a,b2,19,d2,fa,51,53,94,fd,fa,81,f0,90,22,8d,2e,bf,07,4e,b0,e8,bb,21,8b,56,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS.0\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-6edb-0d3d-1829fa634c9f}\InprocServer32*] "Class"=hex:77,f3,8c,43,5d,96,da,a0,83,f5,29,1e,49,3c,00,c1,57,97,a8,86,6a,80, 21,87,48,68,b6,14,c3,2e,c7,21,2b,78,db,16,a3,5c,bc,54,7a,18,d1,c8,aa,51,12,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS.0\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-92ab-2c33-651cfa634c9f}\InprocServer32*] "Class"=hex:af,08,7c,ad,e4,ce,08,fb,20,7c,43,45,8f,ae,10,79,e6,d1,f8,f1,c8,13, b4,5b,ea,71,ac,dd,74,32,b6,44,e6,f0,66,3a,ad,56,48,83,62,4e,62,0f,18,a9,43,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS.0\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-a01d-218c-6d49fa634c9f}\InprocServer32*] "Class"=hex:8e,0e,cb,b2,01,6c,67,ea,b1,ce,15,85,b7,2a,e1,85,16,a5,1e,ee,2f,ac, a4,46,19,79,00,91,79,34,ff,e3,cc,51,d2,4f,2d,31,f2,bd,7d,37,6c,95,16,4c,61,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS.0\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-cce5-509d-dfe0fa634c9f}\InprocServer32*] "Class"=hex:0f,ec,78,38,e3,c1,28,8e,43,62,d2,80,39,5f,82,1c,b3,b5,66,6b,a8,4f, a5,ca,d3,ac,82,29,88,46,12,c2,b8,ad,41,b5,4d,2e,23,bd,df,9c,88,e0,84,58,20,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS.0\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-f372-844d-5a5ffa634c9f}\InprocServer32*] "Class"=hex:09,81,ce,f1,11,77,b2,21,be,71,00,23,05,bb,a3,c5,3a,0f,d6,41,f9,11, 10,07,f1,e6,d8,15,f9,32,6b,21,58,02,14,32,ad,48,19,fb,87,64,6f,03,76,c3,60,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS.0\\system32\\OLE32.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(572) c:\windows.0\system32\sfc_os.dll . Zeit der Fertigstellung: 2009-04-29 17:56 ComboFix-quarantined-files.txt 2009-04-29 15:56 ComboFix2.txt 2006-12-17 10:33 Vor Suchlauf: 4.105.945.088 Bytes frei Nach Suchlauf: 7.048.282.112 Bytes frei 170 mam: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 2 29.04.2009 18:31:38 mbam-log-2009-04-29 (18-31-38).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 156920 Laufzeit: 27 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{C5C81DB8-E604-468E-AB1A-0BA9D8CA7DE0}\RP532\A0074831.exe (Adware.Cinmus) -> Quarantined and deleted successfully. So das müsste alles gewesen sein :) Ich hoffe das war's nun endlich :D Gruß ist angekommen und ein Dankeschön geht zurück! Zitat:
Bis denne werde heute Abend noch mal reinschneien MfG |
avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" deleted successfully. Error: file "C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" not found! Deletion of file "C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll" not found! Deletion of file "C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat" not found! Deletion of file "C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll" not found! Deletion of file "C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll" not found! Deletion of file "C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat" not found! Deletion of file "C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\DOKUME~1\ADMINI~1\protect.dll" not found! Deletion of file "C:\DOKUME~1\ADMINI~1\protect.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS.0\System32\ChkDisk.dll" not found! Deletion of file "C:\WINDOWS.0\System32\ChkDisk.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Der hat nicht mehr gepasst... 205Zeichen zuviel :D MfG |
Hi, wir werden noch in der Reg nach autostarteinträgen suchen müssen (ChkDisk.dll -> http://www.prevx.com/filenames/X119538921811398284-X1/CHKDISK.DLL.html) und die dann löschen... Weiterhin müssen die autoruns überprüft werden: [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{10a3e50f-77b0-11db-a1cf-00138f16108d}] shell\AutoRun\command - H:\start.exe /checksection [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{48346ffc-7353-11db-a4b6-806d6172696f}] shell\AutoRun\command - F:\autorun.EXE auto Und dann lassen wir noch Prevx los (siehe oberen Link)... chris |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS.0\system32\lmppcsetup.exe
Alle genannten Einträge sind versteckt und system, daher unbedingt den Explorer wie beschrieben einstellen! Sie gehören teilweise noch zu einem "fraulent security"-Programm oder zu einem Wurm... .....RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) ChkDisk.dll in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Scanne mit Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Hi, C:\WINDOWS.0\system32\lmppcsetup.exe: Zitat:
c:\windows.0\meta4.exe: Zitat:
c:\windows.0\x2.64.exe: Zitat:
c:\windows.0\MOTA113.exe: Zitat:
c:\windows.0\system32\sfc_os.dll: Zitat:
Der Rest folgt sogleich :) MfG |
Liste der Anhänge anzeigen (Anzahl: 1) Wenn ich nach dem Eintrag suceh und bestätige, dass der das Notepad öffnen soll, komm eine Fehlermeldung (Anhang). Werde nun erstmal die weiteren Schritte beenden ;) MfG |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, Hier ist der Scan, den du haben wolltest :) MfG |
Hi, ich kriege hier die Motten, die haben sich schon wieder im autostart eingenistet: Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Und noch mal MAM etc. chris |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, Log von MaM: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 2 30.04.2009 19:20:42 mbam-log-2009-04-30 (19-20-42).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 156608 Laufzeit: 28 minute(s), 25 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) avenger: Zitat:
Und im Anhang noch ein Screen von MaM :) MfG |
Hi, gut, dann lassen wir es mal dabei bewenden... Bitte besser aufpassen und mal ein Backup machen... So, bitte die Backups von Avenger (c:\avenger) hochladen, und zwar hier: http://www.file-upload.net/ Den Link dann als PrivateMail an mich, ich will mir den Rootkit anschauen... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board