|
Hilfe Phising-Attacke wsnpoem Trojaner! Hallo zusammen, meine Name ist Sebastian und ich brauche eure Hilfe. Ich habe von meiner Bank die Info bekommen das auf mein Online Konton eine Phising-Attacke verübt wurde. Es soll sich um den trojaner wenpoem handeln. Ich bin mir jedoch nicht sicher ober sich auf meinem, oder einem anderen Rechner befindent, da ich von mehreren (unter anderm Arbeit und der meines Bruder) Rechnern online-banking mache. Als Virensoftware habe ich antivir auf meinem Rechner. Habe ein logfile erstellt. Bitte helft mir. Danke. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:46:47, on 02.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Pielot\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Optimizer] C:\T-Cont\ConK.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 7603 bytes |
Habe eben mit antivir gescant: antivir sagt folgendes Der Suchlauf über die ausgewählten Dateien wird begonnen: Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Festplatte> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Einen wsnpoem Ordern finde ich auf meinem Rechner nicht! |
Hallo, kann sich bitte jemand mein logfile durchlesen? Ich habe davon leider keine Ahnung! Danke. |
Hi, das HJ-Log gibt nicht viel her! 1.) Datfind Starte diese Batchdatei datfind.bat (http://board.protecus.de/download.php?id=224413.datFind.bat) danach öffnet sich ein Notepad/Editor Fenster. Kopiere diese erstellte Textdatei ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie ist nach Datum geordnet. (kürze die Textdatei je Verzeichnis auf die letzten 3 Monate !) 2.) Download SDFix (http://downloads.andymanchesta.com/R...ools/SDFix.exe) zum Desktop Starte im abgesicherten Modus: Systemwiederherstellung deaktivieren in Windows XP SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklicke die RunThis.bat Schreibe: Y, folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts “SophosReport.txt” der jetzt auf Deinem Desktop steht in diesen Thread. 3. Escan Arbeite das hier ab und poste alles ausser Coockies! http://www.trojaner-board.de/42731-escan-anleitung.html Chris |
Hallo, danke für deine Hilfe! Anbei der report zu Punkt 1. (Datfind) . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datentr„ger in Laufwerk C: ist Festplatte Volumeseriennummer: 64F9-9276 Verzeichnis von C:\WINDOWS\system32 05.11.2007 22:59 1.158 wpa.dbl 05.11.2007 22:59 58.727 vsconfig.xml 02.11.2007 21:20 4.212 zllictbl.dat 02.11.2007 15:56 384.930 perfh009.dat 02.11.2007 15:56 396.586 perfh007.dat 02.11.2007 15:56 65.866 perfc007.dat 02.11.2007 15:56 54.614 perfc009.dat 02.11.2007 15:56 911.074 PerfStringBackup.INI 28.09.2007 06:19 18.089.592 MRT.exe 29.08.2007 17:09 249.852 TZLog.log 21.08.2007 07:16 683.520 inetcomm.dll 20.08.2007 10:55 232.960 webcheck.dll 20.08.2007 10:55 105.984 url.dll 20.08.2007 10:55 824.832 wininet.dll 20.08.2007 10:55 1.152.000 urlmon.dll 20.08.2007 10:55 102.400 occache.dll 20.08.2007 10:55 671.232 mstime.dll 20.08.2007 10:55 193.024 msrating.dll 20.08.2007 10:55 3.584.512 mshtml.dll 20.08.2007 10:55 477.696 mshtmled.dll 20.08.2007 10:55 52.224 msfeedsbs.dll 20.08.2007 10:55 459.264 msfeeds.dll 20.08.2007 10:55 267.776 iertutil.dll 20.08.2007 10:55 27.648 jsproxy.dll 20.08.2007 10:55 1.824.768 inetcpl.cpl 20.08.2007 10:55 44.544 iernonce.dll 20.08.2007 10:55 6.058.496 ieframe.dll 20.08.2007 10:55 384.512 iedkcs32.dll 20.08.2007 10:55 383.488 ieapfltr.dll 20.08.2007 10:55 230.400 ieaksie.dll 20.08.2007 10:55 132.608 extmgr.dll 20.08.2007 10:55 153.088 ieakeng.dll 20.08.2007 10:55 214.528 dxtrans.dll 20.08.2007 10:55 63.488 icardie.dll 20.08.2007 10:55 124.928 advpack.dll 17.08.2007 11:19 13.824 ieudinit.exe 17.08.2007 11:19 63.488 ie4uinit.exe 17.08.2007 08:34 161.792 ieakui.dll . . . Datentr„ger in Laufwerk C: ist Festplatte Volumeseriennummer: 64F9-9276 Verzeichnis von C:\DOKUME~1\Pielot\LOKALE~1\Temp 05.11.2007 23:03 104.633 datfind.txt 05.11.2007 18:11 271 wecerr.txt 05.11.2007 17:45 1.384 jusched.log 05.11.2007 17:40 32.768 RMS3.tmp 05.11.2007 17:40 32.768 RMS4.tmp 04.11.2007 21:48 0 aax3F.tmp 04.11.2007 21:46 0 aax3E.tmp 04.11.2007 21:46 0 aax3C.tmp 04.11.2007 21:46 0 aax3B.tmp 04.11.2007 21:46 0 aax39.tmp 04.11.2007 21:45 0 aax38.tmp 04.11.2007 21:45 0 aax36.tmp 04.11.2007 21:44 0 aax35.tmp 04.11.2007 21:43 0 aax33.tmp 04.11.2007 21:43 0 aax32.tmp 04.11.2007 21:39 0 aax30.tmp 04.11.2007 21:39 0 aax2F.tmp 04.11.2007 21:39 0 aax2D.tmp 04.11.2007 21:38 0 aax2C.tmp 04.11.2007 21:38 0 aax2B.tmp 04.11.2007 21:38 0 aax29.tmp 04.11.2007 21:37 0 aax28.tmp 04.11.2007 21:37 0 aax27.tmp 04.11.2007 21:37 0 aax25.tmp 04.11.2007 21:36 0 aax24.tmp 04.11.2007 21:36 0 aax23.tmp 04.11.2007 17:28 729 TWAIN.LOG 04.11.2007 17:24 2 Twain001.Mtx 04.11.2007 17:24 156 Twunk001.MTX 04.11.2007 17:24 0 Twunk002.MTX 04.11.2007 09:09 32.768 ~DF4993.tmp 03.11.2007 18:45 4.286 xprt6ebf.ico 03.11.2007 18:33 4.286 xprt6bed.ico 03.11.2007 17:59 32.768 ~DFFB8E.tmp 03.11.2007 00:34 32.768 ~DF178B.tmp 35 Datei(en) 279.587 Bytes 0 Verzeichnis(se), 11.174.621.184 Bytes frei . . . Datentr„ger in Laufwerk C: ist Festplatte Volumeseriennummer: 64F9-9276 Verzeichnis von C:\WINDOWS 05.11.2007 22:59 0 0.log 05.11.2007 22:59 1.499.150 WindowsUpdate.log 05.11.2007 22:59 157 wiadebug.log 05.11.2007 22:59 50 wiaservc.log 05.11.2007 22:59 2.048 bootstat.dat 05.11.2007 19:11 32.626 SchedLgU.Txt 04.11.2007 21:48 116 NeroDigital.ini 03.11.2007 18:32 54.156 QTFont.qfn 03.11.2007 18:27 171.163 setupapi.log 02.11.2007 21:37 227 system.ini 02.11.2007 21:37 486 win.ini 02.11.2007 19:45 2.911 KB893803v2Uninst.log 02.11.2007 19:45 209.767 ntdtcsetup.log 02.11.2007 19:45 164.414 iis6.log 02.11.2007 19:45 347.562 comsetup.log 02.11.2007 19:45 400.013 tsoc.log 02.11.2007 19:45 1.374 imsins.log 02.11.2007 19:45 56.328 ocmsn.log 02.11.2007 19:44 498.432 ocgen.log 02.11.2007 19:44 51.130 msgsocm.log 02.11.2007 19:44 1.041.150 FaxSetup.log 02.11.2007 19:44 1.917 imsins.BAK 02.11.2007 15:55 37 r007 09.10.2007 18:44 18.929 KB933729.log 09.10.2007 18:44 94.391 updspapi.log 09.10.2007 18:42 28.624 KB939653-IE7.log 09.10.2007 18:42 14.815 KB941202.log 14.09.2007 14:38 73.728 ALCFDRTM.VER 08.09.2007 12:55 170 wininit.ini 02.09.2007 20:33 1.409 QTFont.for 29.08.2007 17:09 26.193 KB933360.log 19.08.2007 12:16 187 muveeapp.INI 15.08.2007 17:53 11.295 spupdsvc.log 15.08.2007 17:46 12.862 EPISMG00.SWB 15.08.2007 17:07 24.464 KB936021.log 15.08.2007 17:07 30.064 KB938828.log 15.08.2007 17:07 23.249 KB921503.log 15.08.2007 17:07 29.046 KB938829.log 15.08.2007 17:06 27.802 KB937143-IE7.log 15.08.2007 17:05 15.752 KB938127-IE7.log 15.08.2007 17:05 289.990 msxml4-KB936181-enu.LOG 15.08.2007 17:05 10.014 KB936782.log 15.08.2007 17:05 57.771 wmsetup.log . . . Datentr„ger in Laufwerk C: ist Festplatte Volumeseriennummer: 64F9-9276 Verzeichnis von C:\WINDOWS\temp 05.11.2007 22:59 409 WGANotify.settings 05.11.2007 22:59 256 ZLT00403.TMP 05.11.2007 22:59 256 ZLT003ff.TMP 05.11.2007 22:59 255 WGAErrLog.txt 04.11.2007 09:05 256 ZLT037a6.TMP 04.11.2007 09:05 256 ZLT037a3.TMP 03.11.2007 00:33 256 ZLT061cc.TMP 03.11.2007 00:33 256 ZLT061c9.TMP 02.11.2007 19:01 0 T30DebugLogFile.txt 9 Datei(en) 2.200 Bytes 0 Verzeichnis(se), 11.174.604.800 Bytes frei . . . Datentr„ger in Laufwerk C: ist Festplatte Volumeseriennummer: 64F9-9276 Verzeichnis von C:\WINDOWS\Downloaded Program Files 21.10.2007 21:40 2.305 kavwebscan.inf 28.08.2007 09:39 2.635.280 ImageUploader4.ocx 28.08.2007 09:39 378 ImageUploader4.inf 09.11.2006 14:36 5.019 swflash.inf 15.06.2006 17:33 1.132.192 EPUWALcontrol.dll 09.05.2006 15:51 539 EPUWALcontrol.inf 02.12.2005 16:00 264 WebCamPlayerOCX.inf 02.12.2005 15:40 506.880 WebCamPlayerOCX.ocx 14.11.2005 21:54 65 desktop.ini 30.06.2005 12:38 218.816 ExentCtl.ocx 19.04.2005 13:55 6.580 editLive4.inf 19.04.2005 13:55 210.226 editLive4.chm 19.04.2005 13:54 2.782.976 editLive4.ocx 19.04.2005 13:54 61.440 editLive4common.exe 16.11.2003 00:28 129.024 GSM_codec.dll 25.07.2002 16:13 24.576 dwusplay.dll 25.07.2002 16:13 196.608 dwusplay.exe 25.07.2002 16:05 172.032 isusweb.dll 18 Datei(en) 8.085.200 Bytes 0 Verzeichnis(se), 11.174.600.704 Bytes frei . . . Und zu Punkt 2. (SDFix) SDFix: Version 1.113 Run by Pielot on 05.11.2007 at 23:37 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-05 23:46:47 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:8bf662e6 "s2"=dword:8302bf7d "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:bc,bc,79,be,72,fa,f8,86,d1,23,a5,01,a5,b9,3b,e8,f0,e7,c1,79,51,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:bc,bc,79,be,72,fa,f8,86,d1,23,a5,01,a5,b9,3b,e8,f0,e7,c1,79,51,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast" "C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"="C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe:*:Enabled:Microsoft Flight Simulator" "C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server" "C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer" "C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "C:\\Programme\\BuddyW\\BuddyW.exe"="C:\\Programme\\BuddyW\\BuddyW.exe:*:Enabled:BuddyW" "C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Files with Hidden Attributes: Sun 5 Feb 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Wed 16 Nov 2005 26,624 A..H. --- "C:\Eigene Dateien Magda\Sachunterricht\Strom\~WRL0005.tmp" Wed 16 Nov 2005 53,248 A..H. --- "C:\Eigene Dateien Magda\Sachunterricht\Strom\~WRL1548.tmp" Sun 13 Jun 2004 40,960 A..H. --- "C:\Eigene Dateien Magda\Uni\Deutsch\~WRL0706.tmp" Tue 6 Jun 2006 315 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti2D.tmp" Sun 8 May 2005 69,632 A..H. --- "C:\Eigene Dateien Magda\UB\Mathe\1. UB Zauberquadrat\~WRL0002.tmp" Mon 23 Oct 2006 248,832 ...H. --- "C:\Eigene Dateien Magda\UB\Mathe\UPP\~WRL1846.tmp" Sun 22 Oct 2006 58,880 ...H. --- "C:\Eigene Dateien Magda\UB\Mathe\UPP\~WRL3651.tmp" Mon 23 Oct 2006 70,144 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL1350.tmp" Wed 21 Feb 2007 21,504 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL1670.tmp" Wed 21 Feb 2007 76,800 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL2045.tmp" Mon 23 Oct 2006 63,488 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL2370.tmp" Wed 21 Feb 2007 19,456 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL2949.tmp" Fri 6 Jul 2007 857 ...HR --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak" Sun 5 Feb 2006 4,348 A..H. --- "C:\Dokumente und Einstellungen\Pielot\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak" Sun 5 Feb 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Pielot\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak" Sun 5 Feb 2006 400 A.SH. --- "C:\Dokumente und Einstellungen\Pielot\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak" Thu 9 Nov 2006 1,046,528 ...H. --- "C:\Eigene Dateien Magda\UB\Mathe\UPP\Entwurf\~WRL3521.tmp" Wed 8 Nov 2006 18,371,072 ...H. --- "C:\Eigene Dateien Magda\UB\Sachunterricht\UPP\Entwurf\~WRL0032.tmp" Wed 8 Nov 2006 16,501,760 ...H. --- "C:\Eigene Dateien Magda\UB\Sachunterricht\UPP\Entwurf\~WRL2844.tmp" Finished! |
Hi, hattest Du "Daemon tools" installiert (wegen den Hidden-Keys)... Scheint aber immer noch sauber zu sein, kannst Du das ESCAN-Log noch posten? (Sdfix würde wnpoem erkennen und beseitigen, wenn es da wäre...) Chris |
Hmmm.... wenn ich dich richtig verstehe, dann , müßte mein Rechner sauber sein? Ein Freund hat sich auf meinem Rechner bei ebay eingeloogt, seit gestern ist nun auch sein ebay Account geknackt. Nicht das der Virus doch noch auf meinem Rechner ist...:confused: |
Hmm, dann könnte es was Neues sein, was noch nicht erkannt wird... Rootkit, Blackice: Rootkit Hook Analyzer-F-Secure BlackLight-RootkitRevealer-IceSword-Gmer Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen Slientrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Dann als letztes noch Counterspy: scanne und poste den scanreport (stelle vorher alles auf "remove" ConterSpy Poste auch dieses Log.... Chris |
Hi, bitte las Online das hier mal prüfen: C:\T-Cont\ConK.exe virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html chris |
Probier bitte mal das kostenlose McAfee Rootkit Detective und benenne die Datei ntos.exe mit dem Tool um. Anschließend soll ein Vierenscanner den Trojaner finden können. Ich konnte es (gott sei dank) noch nicht selber testen. Vielleicht hilfts. |
Zitat:
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 39 und 56 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.7.0 2007.11.06 - AntiVir 7.6.0.30 2007.11.06 - Authentium 4.93.8 2007.11.05 - Avast 4.7.1074.0 2007.11.05 - AVG 7.5.0.503 2007.11.06 - BitDefender 7.2 2007.11.06 - CAT-QuickHeal 9.00 2007.11.06 - ClamAV 0.91.2 2007.11.06 - DrWeb 4.44.0.09170 2007.11.06 - eSafe 7.0.15.0 2007.10.28 - eTrust-Vet 31.2.5270 2007.11.05 - Ewido 4.0 2007.11.06 - FileAdvisor 1 2007.11.06 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.06 - F-Secure 6.70.13030.0 2007.11.06 - Ikarus T3.1.1.12 2007.11.06 - Kaspersky 7.0.0.125 2007.11.06 - McAfee 5157 2007.11.06 - Microsoft 1.3007 2007.11.06 - NOD32v2 2641 2007.11.06 - Norman 5.80.02 2007.11.06 - Panda 9.0.0.4 2007.11.06 - Prevx1 V2 2007.11.06 - Rising 20.17.12.00 2007.11.06 - Sophos 4.23.0 2007.11.06 - Sunbelt 2.2.907.0 2007.11.02 - Symantec 10 2007.11.06 - TheHacker 6.2.9.117 2007.11.06 - VBA32 3.12.2.4 2007.11.06 - VirusBuster 4.3.26:9 2007.11.06 - Webwasher-Gateway 6.0.1 2007.11.06 - weitere Informationen File size: 15360 bytes MD5: 02af459599585d8e30b62bbca5ad5e56 SHA1: dfbe7dab5c26beab74835b4bf532cb34d35c8375 |
Zitat:
|
Hi, das die ntos.exe nicht gefunden wird, ist genau das Problem! ntos.exe und wnpoem gehören mit audio.dll und video.dll zusammen, und dies alles ist nicht zu finden... Gehe bitte noch vor, wie weiter unten von mir beschrieben (Rootkitscann durchführen, Silentrunner etc.) Chris |
Hi, habe das Programm runtergeladen und dann? Was/wie soll ich scannen? Nach dem scan steht da: Scan complete. Hidden registry keys/values: 15 |
Hi, poste das Log von BlackLight: Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen ..- chris |
Hallo, also ich habe McAfee® Rootkit Detective auf chip heruntergeladen. Habe die Datei entpackt, auf dem Desktop habe ich jetzt einen McAfee® Rootkit Detective Ordern mit einer exe datei. Diese habe ich gestartet und habe meinen Rechner gescant. Danach habe ich in meinem Ordner den McAfee® Rootkit Detective Report in einer Textdatei. Hier der Inhalt: McAfee(R) Rootkit Detective 1.1 scan report On 09-11-2007 at 17:26:37 OS-Version 5.1.2600 Service Pack 2.0 ==================================== Object-Type: SSDT-hook Object-Name: ZwConnectPort Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwCreateFile Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwCreateKey Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwCreatePort Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwCreateProcess Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwCreateProcessEx Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwCreateSection Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwCreateThread Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwCreateWaitablePort Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwDeleteFile Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwDeleteKey Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwDeleteValueKey Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwDuplicateObject Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwEnumerateKey Object-Path: C:\WINDOWS\system32\drivers\sptd.sys Object-Type: SSDT-hook Object-Name: ZwEnumerateValueKey Object-Path: C:\WINDOWS\system32\drivers\sptd.sys Object-Type: SSDT-hook Object-Name: ZwLoadKey2 Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwOpenFile Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwOpenKey Object-Path: C:\WINDOWS\system32\drivers\sptd.sys Object-Type: SSDT-hook Object-Name: ZwOpenProcess Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwOpenThread Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwQueryKey Object-Path: C:\WINDOWS\system32\drivers\sptd.sys Object-Type: SSDT-hook Object-Name: ZwQueryValueKey Object-Path: C:\WINDOWS\system32\drivers\sptd.sys Object-Type: SSDT-hook Object-Name: ZwRenameKey Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwReplaceKey Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwRequestWaitReplyPort Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwRestoreKey Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwSecureConnectPort Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwSetInformationFile Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwSetValueKey Object-Path: C:\WINDOWS\system32\vsdatant.sys Object-Type: SSDT-hook Object-Name: ZwTerminateProcess Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwWriteVirtualMemory Object-Path: (NULL) Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_POWER Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_READ Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE Object-Path: Object-Type: IRP-hook Object-Name: \Driver\Tcpip->IRP_MJ_CLEANUP Object-Path: \SystemRoot\System32\vsdatant.sys Object-Type: IRP-hook Object-Name: \Driver\Tcpip->IRP_MJ_INTERNAL_DEVICE_CONTROL Object-Path: \SystemRoot\System32\vsdatant.sys Object-Type: IRP-hook Object-Name: \Driver\Tcpip->IRP_MJ_DEVICE_CONTROL Object-Path: \SystemRoot\System32\vsdatant.sys Object-Type: IRP-hook Object-Name: \Driver\Tcpip->IRP_MJ_CLOSE Object-Path: \SystemRoot\System32\vsdatant.sys Object-Type: IRP-hook Object-Name: \Driver\Tcpip->IRP_MJ_CREATE Object-Path: \SystemRoot\System32\vsdatant.sys Object-Type: Registry-value Object-Name: (Default) Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Unable to access registry key Object-Type: Registry-key Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Hidden Object-Type: Registry-value Object-Name: (Default) Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Unable to access registry key Object-Type: Registry-value Object-Name: h0 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Hidden Object-Type: Registry-value Object-Name: khjeh Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Hidden Object-Type: Registry-value Object-Name: s1 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Hidden Object-Type: Registry-value Object-Name: s2 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Hidden Object-Type: Registry-value Object-Name: g0 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Hidden Object-Type: Registry-value Object-Name: h0 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Hidden Object-Type: Registry-key Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Hidden Object-Type: Registry-value Object-Name: (Default) Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Unable to access registry key Object-Type: Registry-key Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Hidden Object-Type: Registry-value Object-Name: (Default) Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Unable to access registry key Object-Type: Registry-value Object-Name: h0 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Hidden Object-Type: Registry-value Object-Name: khjeh Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Status: Hidden Object-Type: Registry-value Object-Name: s1 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Hidden Object-Type: Registry-value Object-Name: s2 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Hidden Object-Type: Registry-value Object-Name: g0 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Hidden Object-Type: Registry-value Object-Name: h0 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg Status: Hidden Object-Type: Process Object-Name: jusched.exe Pid: 3316 Object-Path: C:\Programme\Java\jre1.6.0_02\bin\jusched.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 1332 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: sched.exe Pid: 712 Object-Path: C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe Status: Visible Object-Type: Process Object-Name: System Idle Process Pid: 0 Object-Path: Status: Visible Object-Type: Process Object-Name: E_FATIAEE.EXE Pid: 3412 Object-Path: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 1304 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: atiptaxx.exe Pid: 2916 Object-Path: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe Status: Visible Object-Type: Process Object-Name: explorer.exe Pid: 1616 Object-Path: C:\WINDOWS\Explorer.EXE Status: Visible Object-Type: Process Object-Name: System Pid: 4 Object-Path: Status: Visible Object-Type: Process Object-Name: services.exe Pid: 904 Object-Path: C:\WINDOWS\system32\services.exe Status: Visible Object-Type: Process Object-Name: SOUNDMAN.EXE Pid: 3076 Object-Path: C:\WINDOWS\SOUNDMAN.EXE Status: Visible Object-Type: Process Object-Name: iexplore.exe Pid: 2332 Object-Path: C:\Programme\Internet Explorer\iexplore.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 1092 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 1216 Object-Path: C:\WINDOWS\System32\svchost.exe Status: Visible Object-Type: Process Object-Name: alg.exe Pid: 2456 Object-Path: C:\WINDOWS\System32\alg.exe Status: Visible Object-Type: Process Object-Name: SynTPEnh.exe Pid: 3016 Object-Path: C:\Programme\Synaptics\SynTP\SynTPEnh.exe Status: Visible Object-Type: Process Object-Name: zlclient.exe Pid: 3388 Object-Path: C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe Status: Visible Object-Type: Process Object-Name: iexplore.exe Pid: 3144 Object-Path: C:\Programme\Internet Explorer\iexplore.exe Status: Visible Object-Type: Process Object-Name: Rootkit_Detecti Pid: 3300 Object-Path: C:\Dokumente und Einstellungen\Pielot\Desktop\McafeeRootkitDetective\Rootkit_Detective.exe Status: Visible Object-Type: Process Object-Name: avgnt.exe Pid: 3364 Object-Path: C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe Status: Visible Object-Type: Process Object-Name: spoolsv.exe Pid: 2000 Object-Path: C:\WINDOWS\system32\spoolsv.exe Status: Visible Object-Type: Process Object-Name: lsass.exe Pid: 916 Object-Path: C:\WINDOWS\system32\lsass.exe Status: Visible Object-Type: Process Object-Name: ati2evxx.exe Pid: 1536 Object-Path: C:\WINDOWS\SYSTEM32\Ati2evxx.exe Status: Visible Object-Type: Process Object-Name: csrss.exe Pid: 824 Object-Path: C:\WINDOWS\system32\csrss.exe Status: Visible Object-Type: Process Object-Name: GoogleToolbarNo Pid: 3460 Object-Path: C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 732 Object-Path: C:\WINDOWS\System32\svchost.exe Status: Visible Object-Type: Process Object-Name: vsmon.exe Pid: 1352 Object-Path: C:\WINDOWS\system32\ZoneLabs\vsmon.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 920 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: ati2evxx.exe Pid: 1076 Object-Path: C:\WINDOWS\system32\Ati2evxx.exe Status: Visible Object-Type: Process Object-Name: winlogon.exe Pid: 860 Object-Path: C:\WINDOWS\SYSTEM32\winlogon.exe Status: Visible Object-Type: Process Object-Name: MDM.EXE Pid: 736 Object-Path: C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE Status: Visible Object-Type: Process Object-Name: ctfmon.exe Pid: 3404 Object-Path: C:\WINDOWS\system32\ctfmon.exe Status: Visible Object-Type: Process Object-Name: smss.exe Pid: 772 Object-Path: C:\WINDOWS\System32\smss.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 1176 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: avguard.exe Pid: 2044 Object-Path: C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe Status: Visible Object-Type: Process Object-Name: wdfmgr.exe Pid: 1300 Object-Path: C:\WINDOWS\system32\wdfmgr.exe Status: Visible Scan complete. Hidden registry keys/values: 15 |
Hallo, nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach. Datei Commander 8.3 öffnen. Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen, Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. :) Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie. Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann. Danach Rechner runterfahren und neu starten. Mehr nicht, das Einfache liegt so nah. Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen. :headbang: Viele Grüße |
Hallo, habe das Programm runtergeladen und habe es wie beschrieben versucht. Beim löschen resistenter Dateien schreibt er Der Quellpfad existiert nicht! D.h. wenn ich C:\WINDOWS\system32\ntos.exe eingebe? Was nun? |
Dann gehe auf en rechten Button und gehe in das Verzreichnis deines AKTIVEN Windows, und ergänze hinter dem Verzeichnis „system32“ ntos.exe. Im Übrigen habe ich auch alle Datein in Optionen beim Explorer auf SICHTBAR gestellt. |
Hi, er findet keine ntos.exe... |
Hast du sie im Process Explorer? |
Ich habe ntos.exe NICHT gelöscht, sondern umbenannt, das geschieht erst beim herunterfahren. V.G. |
Im Explorer finde ich sie auch nicht. |
Zitat:
V.G. |
Na dann weiß ich auch nicht mehr weiter... Was hat denn da meinen Rechner ausgespäht und ist es noch da? |
Hallo also mein online Banking wurde gespeert... [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] |
Hallöle an Alle. Was ist das denn für ein Thread hier? Backdoor => Neuaufsetzten, ntos = Backdoor => Neuaufsetzten.! Setzte deinen Rechner also umgehen neu auf SchwesterC und ändere danach alle Zugangsdaten und Passwörter. Eine Anleitung findest du in meiner Signatur. @spilot: Um welchen Rechner geht es nun? Stammen alle bisherigen logs von diesem Rechner um den es hier geht? Wie lautet die korrekte Benachrichtigung deiner Bank? Hast du deinen Acc sperren lassen oder wurde das automatisch gemacht? Frank's Ansatz dürfte nicht funktionieren und nur für noch mehr Kuddelmuddel im System sorgen.. PS: Warum wird bei einem so eindeutigen Befall noch eine Bereinigung versucht?? (und noch dazu eine die nicht funktioniert) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board