|
TR/Vundo.FUL.9.A Okay, wahrscheinlich soll man nicht zweimal dasselbe thema posten aber dennoch. Zwar wurde schon von Mitch 84 die Lösung dieses Problems beschrieben aber dennoch kommt immer wieder antivir mit dem Virenalarm also hat es nicht funktioniert und ich will eigentlich nicht meine Festplatte formatieren weil ich zu viele Daten darauf habe die gesichert sein müssen und ich will die nicht verlieren. Also bin ich für jede Lösung dankbar ausser halt formatieren. Hier der Log von Combofix: ComboFix 08-11-19.08 - rick 2008-11-20 20:25:33.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1595 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\rick\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-10-20 bis 2008-11-20 )))))))))))))))))))))))))))))) . 2008-11-17 08:34 . 2008-11-17 08:34 <DIR> d-------- c:\programme\CleanUp! 2008-11-14 08:57 . 2008-11-14 08:57 <DIR> d-------- c:\programme\Avira . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-20 18:05 --------- d--h--w c:\programme\InstallShield Installation Information 2008-11-20 18:05 --------- d-----w c:\programme\Spiele 2008-11-06 22:15 --------- d-----w c:\programme\Spyware Terminator 2008-11-06 22:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator 2008-11-06 22:13 --------- d-----w c:\dokumente und einstellungen\rick\Anwendungsdaten\Spyware Terminator 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-08 17:43 47,104 ----a-w c:\windows\system32\KMVIDC32.DLL 2008-09-28 08:38 --------- d-----w c:\dokumente und einstellungen\rick\Anwendungsdaten\SPORE 2008-09-27 15:58 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-09-27 15:58 --------- d--h--r c:\dokumente und einstellungen\rick\Anwendungsdaten\SecuROM 2008-09-27 15:12 --------- d-----w c:\dokumente und einstellungen\rick\Anwendungsdaten\Nero 2008-09-27 15:11 --------- d-----w c:\programme\Gemeinsame Dateien\Nero 2008-09-27 15:09 --------- d-----w c:\programme\Nero 2008-09-27 15:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero 2008-09-25 05:16 --------- d-----w c:\programme\ICQ6 2007-03-07 18:00 0 -c--a-w c:\dokumente und einstellungen\rick\Anwendungsdaten\wklnhst.dat . ((((((((((((((((((((((((((((( snapshot@2008-11-17_ 8.56.21.26 ))))))))))))))))))))))))))))))))))))))))) . - 2007-10-05 14:28:53 53,248 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX.AudioVideoPlayback\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.AudioVideoPlayback.dll + 2008-11-20 18:10:46 53,248 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX.AudioVideoPlayback\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.AudioVideoPlayback.dll - 2007-10-05 14:28:53 12,800 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX.Diagnostics\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Diagnostics.dll + 2008-11-20 18:10:46 12,800 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX.Diagnostics\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Diagnostics.dll - 2007-10-05 14:28:53 473,600 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX.Direct3D\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Direct3D.dll + 2008-11-20 18:10:46 473,600 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX.Direct3D\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Direct3D.dll - 2007-10-05 14:28:52 577,024 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2907.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll + 2008-11-20 18:10:47 577,024 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2907.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll - 2007-10-05 14:28:54 145,920 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX.DirectDraw\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectDraw.dll + 2008-11-20 18:10:47 145,920 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX.DirectDraw\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectDraw.dll - 2007-10-05 14:28:54 159,232 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX.DirectInput\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectInput.dll + 2008-11-20 18:10:47 159,232 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX.DirectInput\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectInput.dll - 2007-10-05 14:28:54 364,544 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX.DirectPlay\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectPlay.dll + 2008-11-20 18:10:48 364,544 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX.DirectPlay\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectPlay.dll - 2007-10-05 14:28:54 178,176 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX.DirectSound\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectSound.dll + 2008-11-20 18:10:48 178,176 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX.DirectSound\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectSound.dll - 2007-10-05 14:28:53 223,232 -c--a-w c:\windows\assembly\GAC\Microsoft.DirectX\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.dll + 2008-11-20 18:10:45 223,232 ----a-w c:\windows\assembly\GAC\Microsoft.DirectX\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.dll - 2005-03-18 15:23:10 53,248 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.AudioVideoPlayback.dll + 2005-03-18 16:23:10 53,248 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.AudioVideoPlayback.dll - 2005-03-18 15:23:10 12,800 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.Diagnostics.dll + 2005-03-18 16:23:10 12,800 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.Diagnostics.dll - 2005-03-18 15:23:14 473,600 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.Direct3D.dll + 2005-03-18 16:23:14 473,600 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.Direct3D.dll - 2005-03-18 15:23:10 145,920 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectDraw.dll + 2005-03-18 16:23:10 145,920 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectDraw.dll - 2005-03-18 15:23:10 159,232 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectInput.dll + 2005-03-18 16:23:10 159,232 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectInput.dll - 2005-03-18 15:23:14 364,544 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectPlay.dll + 2005-03-18 16:23:14 364,544 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectPlay.dll - 2005-03-18 15:23:12 178,176 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectSound.dll + 2005-03-18 16:23:12 178,176 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectSound.dll - 2005-03-18 15:23:14 223,232 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.dll + 2005-03-18 16:23:14 223,232 -c--a-w c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.dll . -- Snapshot auf jetziges Datum zurückgesetzt -- . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-11 7626752] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-11 86016] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952] "IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696] "SpywareTerminator"="c:\progra~1\SPYWAR~1\SpywareTerminatorShield.exe" [2008-05-06 1817600] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136] "NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328] "nwiz"="nwiz.exe" [2006-07-11 c:\windows\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-06-01 c:\windows\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360] c:\dokumente und einstellungen\rick\Startmen\Programme\Autostart\ PowerReg Scheduler V3.exe [2007-10-26 225280] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Acer WLAN 11g USB Dongle.lnk - c:\programme\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472] Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Spiele\\Cossacks - Back To War\\dmcr.exe"= "c:\\WINDOWS\\system32\\dplaysvr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Spiele\\EA Games\\Command & Conquer Die ersten 10 Jahre\\Command & Conquer(tm) Generals Zero Hour\\generals.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\Programme\\Spiele\\Microsoft Games\\Dungeon Siege\\DungeonSiege.exe"= "c:\\Programme\\Spiele\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"= "c:\\Programme\\Spiele\\2K Games\\Dungeon Siege 2 Broken World\\DungeonSiege2.exe"= "c:\\Programme\\Spiele\\KochMedia\\PremiumSkatdeLuxe\\Skat.exe"= "c:\\Programme\\Spiele\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"= "c:\\Programme\\Spiele\\EA Games\\Command & Conquer Die ersten 10 Jahre\\Command & Conquer(tm) Generals\\game.dat"= "c:\\Programme\\Spiele\\Empire Interactive\\FlatOut2\\FlatOut2.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\Spiele\\Sierra\\FEAR\\fpupdate.exe"= "c:\\Programme\\Spiele\\Sierra\\FEAR\\FEAR.exe"= "c:\\Programme\\Spiele\\Sierra\\FEAR\\FEARMP.exe"= R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\c:\windows\system32\drivers\sp_rsdrv2.sys [2008-02-28 141312] R3 int15.sys;int15.sys;\??\c:\acer\Empowering Technology\eRecovery\int15.sys [2006-12-27 69632] S3 cdiskdun;cdiskdun;\??\c:\dokume~1\rick\LOKALE~1\Temp\cdiskdun.sys [] S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);c:\windows\system32\DRIVERS\zd1211Bu.sys [2005-10-28 402432] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcff8e4c-6073-11dd-b65e-00192127296e}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe NOTEBOOK-464A73.vbs . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\rick\Anwendungsdaten\Mozilla\Firefox\Profiles\kvc4lnag.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - c:\programme\Java\jre1.5.0_10\bin\NPJava11.dll FF -: plugin - c:\programme\Java\jre1.5.0_10\bin\NPJava12.dll FF -: plugin - c:\programme\Java\jre1.5.0_10\bin\NPJava13.dll FF -: plugin - c:\programme\Java\jre1.5.0_10\bin\NPJava14.dll FF -: plugin - c:\programme\Java\jre1.5.0_10\bin\NPJava32.dll FF -: plugin - c:\programme\Java\jre1.5.0_10\bin\NPJPI150_10.dll FF -: plugin - c:\programme\Java\jre1.5.0_10\bin\NPOJI610.dll FF -: plugin - d:\programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll FF -: plugin - d:\programme\DivX\DivX Web Player\npdivx32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-20 20:27:06 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation Scanne versteckte Prozesse... c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe [440] 0x89048A20 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable c:\windows\system32\.4eab3cbb9a018abf Scan erfolgreich abgeschlossen versteckte Dateien: 5 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf] "ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: c:\windows\explorer.exe -> c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.core.dll . Zeit der Fertigstellung: 2008-11-20 20:27:51 ComboFix-quarantined-files.txt 2008-11-20 19:27:45 ComboFix2.txt 2008-11-20 16:34:48 ComboFix3.txt 2008-11-17 07:57:00 Vor Suchlauf: 21 Verzeichnis(se), 66.988.105.728 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 66,975,780,864 Bytes frei 180 --- E O F --- 2008-04-25 04:38:43 Und hier der Log von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. Error: file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" Deletion of file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. und nun frag ich mich was ich falsch gemacht habe bei Avenger, weil ihr seht ja das überall error steht. Also bitte vll könnt ihr mir helfen!!! Danke vorab schon mal. Mfg Dooley |
lass mal vorher cleanup laufen. du hast auf jeden fall einträge in deinen temporären internet-dateien. http://virus-protect.org/index.html <--- hier kannst du ihn z.b. runter laden. nennt sich dort Ccleaner ;-) |
in den avenger musst du es so eingeben: Files to Delete: c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a01 8abf.exe c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9 a018abf.tmp c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp c:\windows\system32\.4eab3cbb9a018abf [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf] "ImagePath"="c:\windows\system32\.4eab3cbb9a018abf \4eab3cbb9a018abf.exe" |
Clean up habe ich vorher laufen lassen, aber ich mach nochmal alles angefangen mit clean up bis avenger wenn gehts antworte ich dann gleich ma so in 5- 10 min. Hoff mal das du dann noch on bist!!! Danke für die zeitige antwort!!! |
Scheint wieder nicht geklappt zu haben!!! Hier die Log Datei von Avenger alles so gemacht wie gesagt. Mit abgesicherten Modus usw. Nur noch mal eine frage. Müssen Avenger und Combofix auf dem Desktop sein oder funktionieren die auch so??? Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. Error: file "c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a01 8abf.exe" not found! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a01 8abf.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9 a018abf.tmp" not found! Deletion of file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9 a018abf.tmp" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp" deleted successfully. File "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp" deleted successfully. File "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp" deleted successfully. Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""ImagePath"="c:\windows\system32\.4eab3cbb9a01 8abf \4eab3cbb9a018abf.e" Deletion of file ""ImagePath"="c:\windows\system32\.4eab3cbb9a01 8abf \4eab3cbb9a018abf.e" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. Er zeigt ja an das er was gelöscht hat aber avenger kam trotzdem mit fehlermeldungen!!! |
ist er denn noch drauf? also meldet avira ihn noch? wenn nicht lass mal noch antivir zur vorsicht eine vollständige systemprüfung machen. |
Ich mach grad die Überprüfung bis jetzt hat antivir sich nicht gemeldet. Mal was anderes Combofix deaktiviert doch den autostart von den Laufwerken. Wie kriege ich den wieder an??? |
hab gerade etwas gesehen: das letzte gehört zusammen und avenger hat es als 2 dateien genommen da sie untereinander stehen. die datei heißt so: [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a01 8abf \4eab3cbb9a018abf.exe" es ist also eine zusammenhängende datei... ich hoffe du weißt was ich meine... |
Oh stimmt, hab ich falsch kopiert!!! Ist das jetzt irgendwie ausschlaggebend??? Weil Antivir meldet nix!!! Könnte das so jetzt auch reichen oder muss ich wieder alles neu machen begonnen mit cleanup bis avenger und nun das richtige script??? Oder reicht das auch so oder kann ich gar einfach nur avenger öffnen und das so eingeben??? Danke auf jedenfall dafür das du mir geholfen hast und auch so easey, ich hoffe mal ich habe dich nicht zu sehr zugespamt!!! |
das ist auf jeden fall wichtig. denke aber es reicht wenn du diesen einen eintrag nochmal durch avenger schiebst. hier noch mal wie er sein muss: [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf \4eab3cbb9a018abf.exe" (ist der eintrag in deiner registry) |
Sprich File to Delete: [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\2 74f37b8f1e7d707] "ImagePath"="c:\windows\system32\.274f37b8f1e7d707 \274f37b8f1e7d707.exe" was meinst du mit registry |
genau, nur das der eintrag halt hintereinander geschrieben ist, damit es eine datei ergibt ;-) Files to Delete: [HKEY_LOCAL_MACHINE\system...u.s.w. (darf keine 2 reihen ergeben) |
Sorry bin irgendwie zu blöd dafür schreib mal den Script wie es genau sein soll. Hab nochmal combofix gemacht hab auch das in einer Zeile gehabt. aber guck mal bitte. Combofix: Scanne versteckte Prozesse... c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe [612] 0x891128F8 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable c:\windows\system32\.4eab3cbb9a018abf Scan erfolgreich abgeschlossen versteckte Dateien: 2 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf] "ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: c:\windows\explorer.exe -> c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.core.dll . Zeit der Fertigstellung: 2008-11-20 22:26:45 ComboFix-quarantined-files.txt 2008-11-20 21:26:38 ComboFix2.txt 2008-11-20 20:50:25 ComboFix3.txt 2008-11-20 20:11:08 ComboFix4.txt 2008-11-20 19:27:52 ComboFix5.txt 2008-11-20 21:21:04 Vor Suchlauf: 22 Verzeichnis(se), 66.818.138.112 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 66,806,599,680 Bytes frei 156 --- E O F --- 2008-04-25 04:38:43 und avenger Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. Error: file "c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a01 8abf.exe" not found! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a01 8abf.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. hab diesmal nur die unteren teile kopiert wäre nett wenn du mir ein genaues script schreibst danke. |
ok, er ist noch drauf... das ist das problem mit dem registry-eintrag ;-) also: Files to Delete: c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a01 8abf.exe c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9 a018abf.tmp c:\windows\system32\.4eab3cbb9a018abf [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe" wichtig: alles nach [HKEY_LOCAL_MACHINE\... muss eine zeile im fenster von avenger ergeben! versuchs einfach nochmal ;-) |
klappt nicht hier Log datei so eingegeben wie du aufgeschrieben. Aber warum??? was stimmt nicht Avenger Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. Error: file "c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a01 8abf.exe" not found! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a01 8abf.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9 a018abf.tmp" not found! Deletion of file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9 a018abf.tmp" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf \4eab3cbb9a018abf.exe"" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf \4eab3cbb9a018abf.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. |
ok, sieht eigentlich gut aus. geh mal auf start-->ausführen--->regedit eingeben--->[HKEY_LOCAL_MACHINE--->system--->ControlSet001--->Services--->4 eab3cbb9a018abf] <--- diesen ordner rechtsklick und dann löschen. |
Okay wech isses antivir sagt nix hab hier aber noch mal eine weitere Log datei, nach dem wo überall failed stand. Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. File "c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe" deleted successfully. File "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp" deleted successfully. Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf \4eab3cbb9a018abf.exe"" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf \4eab3cbb9a018abf.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. So kann erstmal damit so leben ansonsten melde ich mich nochmal bei dir. Vielen dank auf jedenfall, das du dir so viel zeit genommen hast usw. hoffe mal der Trojaner is wech. Datei gelöscht wie du gesagt hast. Und nur nochmal zur info diese Log datei ist entstanden bevor ich manuell den Ordner gelöscht habe. Mfg Dooley |
sieht auf jeden fall gut aus! wenn du den ordner gelöscht hast denk ich mal wirst du jetzt alles weg haben... wenn nich meld dich einfach. ich schau hier morgen dann nochmal rein gn8 |
Sollte eigentlich weg sein, anitvir meldet sich nicht mehr mal abwarten was passiert. Habe aber jetzt anderes Prob wenn ich den autostart von den laufwerken aktivieren will muss ich ja ausführen und regedit eingeben aber das funktioniert nicht mehr dann zeigt er eine Fehler meldung mit regedit.exe - Fehler in Anwendung. Hab ich da durch Combofix und Avenger irgendwas in der registry verändert??? Kan ich das rückgängig machen??? Mfg Rick |
hi!ich fing mir den trojaner vor drei tagen ein. ich hab auch so ziemlich alles probiert, was ich hier im forum gefunden hab. nichts hat geholfen. heute hab ich dann mal knoppicillin bemüht. nach drei stunden hat sich das (durchaus gelungene) programm dann verabschiedet und ich stand wieder am anfang. dann hab ichs auch mal mit combofix und avenger probiert. kurz vorab: ich hatte und habe immer noch keinen dunst von den zwei diensten! jedoch konnte ich scheinbar den trojaner entfernen. jedenfalls zeigt mir der antivir keine meldung mehr!!!! zur lösung meines problems haben mir genau die erste threads hier viel geholfen. ich hab eig. alles nur kopiert (ich mein die verfahrensweise) und bin, wie gesagt, vermutlich "geheilt". nu hab ich aber ein problem. dieses sieht so aus: (ich poste nur mal den auszug aus der combofix log) catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-21 18:30:43 Windows 5.1.2600 Service Pack 2 FAT NTAPI detected NTDLL code modification: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation Scanne versteckte Prozesse... c:\windows\SYSTEM32\.8981E3FA3D9BACF8\8981E3FA3D9BACF8.EXE [460] 0x89EF3790 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\.8981e3fa3d9bacf8 Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet002\Services\8981e3fa3d9bacf8] "ImagePath"="c:\windows\system32\.8981e3fa3d9bacf8\8981e3fa3d9bacf8.exe" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: c:\windows\Explorer.exe -> c:\windows\system32\.8981e3fa3d9bacf8\8981e3fa3d9bacf8.core.dll -> ?:\windows\system32\SETUPAPI.dll -> ?:\windows\system32\SETUPAPI.dll . Zeit der Fertigstellung: 2008-11-21 18:31:30 ComboFix-quarantined-files.txt 2008-11-21 17:31:22 also die folder "c:\windows\system32\.8981e3fa3d9bacf8" konnte ich erfolgreich löschen. seitdem bestehen die 16 fehlermeldungen von antivir nicht mehr. (schön!!) mich stören eig. mehr die zwei letzten .dll dateien. genau die hier: -> ?:\windows\system32\SETUPAPI.dll -> ?:\windows\system32\SETUPAPI.dll . der punkt am ende gehört scheinbar dazu. ich frag mich, was das FRAGEZEICHEN, anstelle des laufwerkbuchstabens zu bedeuten hat. nachdem der pfad ja system32 ist, geh ich mal von c: aus, aber so ganz sicher bin ich mir da nicht. falls mir hierzu noch jmd. hilfestellung geben kann, wäre ich sehr dankbar. wenn nicht, bedanke ich mich für den beitrag und die verfasser! ich bin echt fast verzweifelt. ohne das forum wär ich wohl um ne neuinstall nicht herum gekommen. [[p.s. den registri eintrag [HKEY_LOCAL_MACHINE\system\ControlSet002\Services\8981e3fa3d9bacf8] "ImagePath"="c:\windows\system32\.8981e3fa3d9bacf8\8981e3fa3d9bacf8.exe" . konnt ich auch nicht erfolgreich löschen. dennoch läuft mein pc fehlerfrei! lediglich der eintrag: c:\windows\system32\.8981e3fa3d9bacf8\8981e3fa3d9bacf8.core.dll wurde vom avenger erfolgreich entfernt und seitdem läuft, wie gesagt, alles wieder normal.]] liebe grüße und dank, targin1 |
hallo leute hab das selbe problem mit TR/Vundo.FUL.9.A nur startet combofix bei mir nicht sagt immer: Läuft nur unter WIN2000 und XP (hab aber WIN2000) Hat noch einer ein anderes tool oder weiß jemand warum combofix nicht startet ? grüße colle |
Mein Problem mit dem Trojaner ist nun auch behoben habe schon lange keine Fehlermeldungen mehr bekommen. Ich kann mitchs eintrag zur entfernung von vundos nur empfehlen!!! Man muss zwar ein bissel sich reinfuchsen in die programme aber dann klappte es auch irgendwann. Also thx an Mitch und an das Forum, es erleichtert extrem den Kampf gegen Viren und diejenigen die solche in Umlauf bringen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board