|
Log-Analyse und Auswertung: Invasion von sys-DateienWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.08.2006, 21:59 | #1 |
| Invasion von sys-Dateien wertes forum, hab seit monaten diese sys-dateien drauf die einfach sich nicht löschen lassen und ich finde auch mit google nicht einen hinweis. ein freund meinte vielleicht ist ein anderes verdecktes exe aktiv und wir haben im task-manager das meiste deaktiviert ohne den geringsten erfolg. hat jemand eine idee? danke vielmol. das säckel Logfile of HijackThis v1.99.1 Scan saved at 21:13:17, on 14.08.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\atievxx.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\snmp.exe C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\programme\u-storage tools2.70\ustorage.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tools2.70\ustorage.exe sys_auto_run C:\Programme\U-Storage Tools2.70 O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - Startup: BLRVICNJ.sys O4 - Startup: BOLUJQEW.sys O4 - Startup: CKARXECA.sys O4 - Startup: DXONWEHO.sys O4 - Startup: EIAUMWHU.sys O4 - Startup: FANPRKOQ.sys O4 - Startup: FVCJNNEX.sys O4 - Startup: FVMEIGJX.sys O4 - Startup: GACBGHLK.sys O4 - Startup: GFTIMJNE.sys O4 - Startup: GMMMJITQ.sys O4 - Startup: GRGKIFQO.sys O4 - Startup: HNXKTNTX.sys O4 - Startup: HSIAMMVX.sys O4 - Startup: JDLGDQQI.sys O4 - Startup: JKAIWOJW.sys O4 - Startup: LPXBBDVE.sys O4 - Startup: MNPAPPGV.sys O4 - Startup: MNUFCPPG.sys O4 - Startup: MQFADBNV.sys O4 - Startup: NKPBONAI.sys O4 - Startup: NTEFBNKG.sys O4 - Startup: NVUNIWJB.sys O4 - Startup: OWXENJEG.sys O4 - Startup: QEVKMVHC.sys O4 - Startup: QUJBAALD.sys O4 - Startup: QWMEMIJD.sys O4 - Startup: REFLMULE.sys O4 - Startup: RGBTUOBA.sys O4 - Startup: RVMSNIMU.sys O4 - Startup: SVDAFEUR.sys O4 - Startup: TBNQBMPG.sys O4 - Startup: TQTRUTCD.sys O4 - Startup: UBVOTXFS.sys O4 - Startup: UWVPKXRS.sys O4 - Startup: WBMEXFRA.sys O4 - Startup: WQBKLAJO.sys O4 - Startup: XEDEAPMA.sys O4 - Startup: XVRASPRO.sys O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: APORFVIW.sys O4 - Global Startup: ATQMLHTQ.sys O4 - Global Startup: ATSFMJVI.sys O4 - Global Startup: BKDCWGVN.sys O4 - Global Startup: CFBMEWPA.sys O4 - Global Startup: CKQQCLQN.sys O4 - Global Startup: DGWBUAEV.sys O4 - Global Startup: DMBTDIFP.sys O4 - Global Startup: EGDTQFIV.sys O4 - Global Startup: FASPHIKC.sys O4 - Global Startup: FXDTBRLI.sys O4 - Global Startup: GSIVFISJ.sys O4 - Global Startup: GTNNHTKK.sys O4 - Global Startup: HWGTKTTA.sys O4 - Global Startup: IXOSODPX.sys O4 - Global Startup: KPIPIKOH.sys O4 - Global Startup: OPIJHCGO.sys O4 - Global Startup: OQRARTAN.sys O4 - Global Startup: OQSTLBON.sys O4 - Global Startup: PEJTGRXU.sys O4 - Global Startup: PPEGLLTD.sys O4 - Global Startup: PVGFWFFW.sys O4 - Global Startup: PWJNHJJB.sys O4 - Global Startup: PWUCAAAG.sys O4 - Global Startup: QRAGTEHQ.sys O4 - Global Startup: QRLWGGFV.sys O4 - Global Startup: QVNCKJVU.sys O4 - Global Startup: REUDEEAK.sys O4 - Global Startup: SHWQCWLE.sys O4 - Global Startup: SOPFACIN.sys O4 - Global Startup: SSQNMRDJ.sys O4 - Global Startup: SWULHMBJ.sys O4 - Global Startup: TFVIKXDQ.sys O4 - Global Startup: TGMNSSDJ.sys O4 - Global Startup: TKDWLBQX.sys O4 - Global Startup: VJSPPOTG.sys O4 - Global Startup: WORFSUOV.sys O4 - Global Startup: XATUCERE.sys O4 - Global Startup: XRTDEWAD.sys O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE (file missing) O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WKQAGSRQSW - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\WKQAGSRQSW.exe |
15.08.2006, 09:05 | #2 |
| Invasion von sys-Dateien Hallo,
__________________sieht seltsam aus, lass mal eine von den sys Dateien hier überprüfen und poste das Ergebnis. Außerdem postest du mal ein Log von F-Secure Blacklight. Grüße Wildone |
16.08.2006, 11:08 | #3 |
| Invasion von sys-Dateien Danke Wildone,
__________________leider hat weder die auswerung bei virustotal noch der scan mit dem blbeta.exe was gebracht. kein treffer. bei der hijackthis-auswertung im netz ebenfalls nix. ähm, ja. bin etwas ratlos. Sacke |
16.08.2006, 17:05 | #4 |
| Invasion von sys-Dateien erledigt. hab durch ein programm schließlich den ort und ordner der dateien im autostart gefunden. die waren nicht sichtbar und darum nicht zu markieren, so hab ich den ganzen Autostart-Ordner mit norton leer-geschreddert. auch nach neustart wird nix mehr angezeigt. uff. grüße, dis säckel |
16.08.2006, 17:52 | #5 | |
| Invasion von sys-Dateien @Sacke Zitat:
PP |
Themen zu Invasion von sys-Dateien |
adobe, aktiv, antivirus, bho, computer, exe, explorer, forum, google, hijack, hijackthis, internet, internet explorer, löschen, microsoft, monitor, programme, software, symantec, system, system32, task-manager, temp, windows, windows xp |