| |
| |||||||
Log-Analyse und Auswertung: PC dreht durch!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
06.04.2008, 13:29
| #1 |
| |  PC dreht durch! Wollte mir vor ein paar tagen, fällt es mir auf, das ich immer wieder eine spy antiviren werbung bekomme und das dingen immer im hintergrund mit läuft! ich habe schon im abgesicherten modus kaspersky laufen lassen er hat nichts gefunden! was kann ich tun? Running processes: X:\WINDOWS\System32\smss.exe X:\WINDOWS\system32\winlogon.exe X:\WINDOWS\system32\services.exe X:\WINDOWS\system32\lsass.exe X:\WINDOWS\system32\svchost.exe X:\WINDOWS\System32\svchost.exe X:\WINDOWS\Explorer.EXE X:\WINDOWS\system32\spoolsv.exe X:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe X:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe X:\WINDOWS\System32\nvsvc32.exe X:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe X:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe X:\WINDOWS\system32\ctfmon.exe X:\Programme\Windows Live\Messenger\msnmsgr.exe X:\WINDOWS\system32\wuauclt.exe X:\WINDOWS\system32\rundll32.exe X:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE X:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVP] "X:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "X:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [BMd37b352a] Rundll32.exe "X:\WINDOWS\system32\qnuruguy.dll",s O4 - HKCU\..\Run: [CTFMON.EXE] X:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "X:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] X:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] X:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] X:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] X:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - X:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - X:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - X:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - X:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - X:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - X:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - X:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - X:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - X:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - X:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: X:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - X:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - X:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - X:\WINDOWS\System32\nvsvc32.exe |
|
06.04.2008, 13:34
| #2 | |
| Administrator > Competence Manager  | PC dreht durch!Hallo maese und  Fixen/Löschen mit Hijackthis Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen: Zitat:
Der Rechner startet nun neu... CCleaner Temporäre Dateien mit CCleaner bereinigen Download CCleaner und installiere ihn, (klicke die Toolbar weg!). Danach CCleaner starten und => unter options settings => german einstellen.
ComboFix
__________________ |
|
06.04.2008, 14:00
| #3 |
| | PC dreht durch! Nun hab ich dank deiner anleitung alles so weit gemacht und einen report bekommen!
__________________was mache ich damit? ComboFix 08-04-04.1 - Boss 2008-04-06 14:41:05.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.703 [GMT 2:00] ausgeführt von:: X:\Dokumente und Einstellungen\Boss\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . X:\WINDOWS\BMd37b352a.xml X:\WINDOWS\cookies.ini X:\WINDOWS\pskt.ini X:\WINDOWS\system32\appugaxd.dll X:\WINDOWS\system32\eqseqitj.ini X:\WINDOWS\system32\ixdipbiv.ini X:\WINDOWS\system32\jtiqesqe.dll X:\WINDOWS\system32\lfqbotrg.dll X:\WINDOWS\system32\mcrh.tmp X:\WINDOWS\system32\mktvblpe.dll X:\WINDOWS\system32\qAyxxyay.ini X:\WINDOWS\system32\qAyxxyay.ini2 X:\WINDOWS\system32\qnuruguy.dll X:\WINDOWS\system32\vibpidxi.dll X:\WINDOWS\system32\xuegwbjc.dll X:\WINDOWS\system32\yayxxyAq.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-03-06 bis 2008-04-06 )))))))))))))))))))))))))))))) . 2008-04-06 13:35 . 2008-04-06 13:35 <DIR> d-------- X:\Programme\Trend Micro 2008-04-06 03:18 . 2008-04-06 03:18 <DIR> d-------- X:\Programme\Smart Projects 2008-04-06 03:05 . 2008-04-06 03:06 <DIR> d-------- X:\Programme\Gemeinsame Dateien\Adobe 2008-04-05 22:09 . 2008-04-05 22:09 <DIR> d-------- X:\WINDOWS\Sun 2008-04-05 20:05 . 2008-04-05 20:06 <DIR> d-------- X:\Dokumente und Einstellungen\Boss\Anwendungsdaten\VMware 2008-04-05 19:47 . 2008-04-05 20:07 <DIR> d-------- X:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware 2008-04-05 19:47 . 2008-04-05 19:47 <DIR> d-------- X:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware 2008-04-05 19:47 . 2008-03-04 13:22 10,240 -ra------ X:\WINDOWS\system32\drivers\vmnet.sys 2008-04-05 19:47 . 2008-03-04 13:22 9,600 -ra------ X:\WINDOWS\system32\drivers\vmnetadapter.sys 2008-04-05 19:47 . 2008-03-04 13:22 5,120 -ra------ X:\WINDOWS\system32\vnetinst.dll 2008-04-05 16:24 . 2007-09-05 23:22 289,144 --a------ X:\WINDOWS\system32\VCCLSID.exe 2008-04-05 16:24 . 2006-04-27 16:49 288,417 --a------ X:\WINDOWS\system32\SrchSTS.exe 2008-04-05 16:24 . 2008-03-09 01:15 86,528 --a------ X:\WINDOWS\system32\VACFix.exe 2008-04-05 16:24 . 2008-03-05 22:29 82,432 --a------ X:\WINDOWS\system32\IEDFix.exe 2008-04-05 16:24 . 2003-06-05 20:13 53,248 --a------ X:\WINDOWS\system32\Process.exe 2008-04-05 16:24 . 2004-07-31 17:50 51,200 --a------ X:\WINDOWS\system32\dumphive.exe 2008-04-05 16:24 . 2007-10-03 23:36 25,600 --a------ X:\WINDOWS\system32\WS2Fix.exe 2008-04-03 10:33 . 2008-04-03 10:33 91,700 --a------ X:\WINDOWS\system32\drivers\klin.dat 2008-04-03 10:33 . 2008-04-03 10:33 85,860 --a------ X:\WINDOWS\system32\drivers\klick.dat 2008-04-03 10:32 . 2008-04-03 10:32 <DIR> d-------- X:\Programme\Kaspersky Lab 2008-04-03 10:32 . 2008-04-03 10:32 <DIR> d-------- X:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-04-03 10:32 . 2008-04-06 14:19 <DIR> d-------- X:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-04-03 10:32 . 2008-04-06 14:45 3,403,040 --ahs---- X:\WINDOWS\system32\drivers\fidbox.dat 2008-04-03 10:32 . 2008-04-06 14:44 49,760 --ahs---- X:\WINDOWS\system32\drivers\fidbox.idx 2008-04-03 10:32 . 2008-04-06 14:44 33,056 --ahs---- X:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-03 10:32 . 2008-04-06 14:44 4,808 --ahs---- X:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-01 22:47 . 2008-04-05 16:55 670 --a------ X:\WINDOWS\system32\tmp.reg 2008-04-01 20:43 . 2008-04-03 10:22 1,608,561 ---hs---- X:\WINDOWS\system32\ivgismcp.ini 2008-04-01 08:19 . 2008-04-01 08:19 <DIR> d-------- X:\WINDOWS\Downloaded Installations 2008-04-01 08:19 . 2008-04-01 08:19 <DIR> d-------- X:\Programme\D-Tools 2008-04-01 08:19 . 2004-08-22 16:31 155,136 --a------ X:\WINDOWS\system32\drivers\d347bus.sys 2008-04-01 08:19 . 2004-08-22 16:31 5,248 --a------ X:\WINDOWS\system32\drivers\d347prt.sys 2008-03-31 20:36 . 2008-04-01 08:55 1,597,294 ---hs---- X:\WINDOWS\system32\hmrvypvo.ini 2008-03-29 22:38 . 2008-03-29 22:40 <DIR> d-a------ X:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-03-24 10:25 . 2007-07-30 20:19 271,224 --a------ X:\WINDOWS\system32\mucltui.dll 2008-03-24 10:25 . 2007-07-30 20:19 207,736 --a------ X:\WINDOWS\system32\muweb.dll 2008-03-24 10:25 . 2007-07-30 20:18 30,072 --a------ X:\WINDOWS\system32\mucltui.dll.mui 2008-03-23 14:41 . 2008-04-03 21:11 <DIR> d-------- X:\Dokumente und Einstellungen\Boss\Contacts 2008-03-23 14:40 . 2008-03-23 14:40 <DIR> d----c--- X:\WINDOWS\system32\DRVSTORE 2008-03-23 14:28 . 2008-04-05 23:32 <DIR> d-------- X:\Programme\Windows Live 2008-03-23 14:28 . 2008-03-23 14:39 <DIR> d--hsc--- X:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-03-23 14:28 . 2008-03-23 14:28 <DIR> d-------- X:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-03-22 11:06 . 2008-03-22 11:06 <DIR> d-------- X:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle 2008-03-22 11:03 . 2008-03-22 11:03 <DIR> d-------- X:\Programme\VOB 2008-03-22 11:03 . 2002-08-28 12:09 611,840 --a------ X:\WINDOWS\system32\vobhw.dll 2008-03-22 11:03 . 1998-10-29 17:45 306,688 --a------ X:\WINDOWS\IsUninst.exe 2008-03-22 11:03 . 2002-09-26 18:34 153,088 --a------ X:\WINDOWS\system32\IWUninstall.exe 2008-03-22 11:03 . 2000-04-27 13:31 19,456 --a------ X:\WINDOWS\system32\asapi.dll 2008-03-22 11:03 . 2002-04-17 21:27 11,264 --a------ X:\WINDOWS\system32\drivers\asapi.sys 2008-03-22 11:01 . 2008-03-22 11:02 <DIR> d-------- X:\Programme\Steinberg 2008-03-20 15:21 . 2008-04-06 14:16 <DIR> d-------- X:\Dokumente und Einstellungen\Boss\Anwendungsdaten\LimeWire 2008-03-20 15:20 . 2008-03-21 14:26 <DIR> d-------- X:\Programme\Java 2008-03-20 15:20 . 2008-02-22 03:33 69,632 --a------ X:\WINDOWS\system32\javacpl.cpl 2008-03-20 15:19 . 2008-03-20 15:19 <DIR> d-------- X:\Programme\Gemeinsame Dateien\Java 2008-03-19 14:40 . 2008-03-19 14:40 <DIR> d--h----- X:\WINDOWS\system32\GroupPolicy 2008-03-18 22:12 . 2008-03-28 22:45 69 --a------ X:\WINDOWS\NeroDigital.ini 2008-03-18 22:10 . 2008-03-18 22:10 <DIR> d-------- X:\Programme\Gemeinsame Dateien\Nero 2008-03-18 22:09 . 2008-03-18 22:09 <DIR> d-------- X:\Programme\Gemeinsame Dateien\LightScribe 2008-03-18 22:05 . 2004-07-26 18:16 1,568,768 --------- X:\WINDOWS\system32\ImagX7.dll 2008-03-18 22:05 . 2004-07-26 18:16 476,320 --------- X:\WINDOWS\system32\ImagXpr7.dll 2008-03-18 22:05 . 2004-07-26 18:16 471,040 --------- X:\WINDOWS\system32\ImagXRA7.dll 2008-03-18 22:05 . 2004-07-26 18:16 262,144 --------- X:\WINDOWS\system32\ImagXR7.dll 2008-03-18 22:05 . 2001-07-09 12:50 155,648 --a------ X:\WINDOWS\system32\NeroCheck.exe 2008-03-18 22:05 . 2000-06-26 12:45 106,496 --a------ X:\WINDOWS\system32\TwnLib20.dll 2008-03-18 22:04 . 2008-03-18 22:05 <DIR> d-------- X:\Programme\Gemeinsame Dateien\Ahead 2008-03-18 22:04 . 2008-03-18 22:05 <DIR> d-------- X:\Programme\Ahead 2008-03-18 22:01 . 2008-03-18 22:01 <DIR> d-------- X:\Programme\Vlc 2008-03-17 21:21 . 2004-08-04 00:08 26,496 --a--c--- X:\WINDOWS\system32\dllcache\usbstor.sys 2008-03-17 19:12 . 2008-03-17 19:15 <DIR> d-------- X:\Programme\ICQ6 2008-03-17 19:12 . 2008-03-20 17:53 <DIR> d-------- X:\Dokumente und Einstellungen\Boss\Anwendungsdaten\ICQ 2008-03-17 16:16 . 2008-03-17 16:16 127 --a------ X:\WINDOWS\MusicStudio.INI 2008-03-17 16:09 . 2008-03-17 21:40 <DIR> d-------- X:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX 2008-03-17 16:08 . 2008-03-17 21:40 <DIR> d-------- X:\WINDOWS\system32\MAGIX 2008-03-17 16:08 . 2007-12-04 15:20 700,416 --a------ X:\WINDOWS\system32\mgxoschk.dll 2008-03-17 16:08 . 2008-03-17 16:09 6,768 --a------ X:\WINDOWS\mgxoschk.ini 2008-03-17 13:30 . 2008-03-17 13:31 <DIR> d-------- X:\WINDOWS\system32\de-de 2008-03-17 13:29 . 2007-08-13 19:54 33,792 --a--c--- X:\WINDOWS\system32\dllcache\custsat.dll 2008-03-17 13:20 . 2008-03-17 13:22 <DIR> d-------- X:\WINDOWS\system32\NtmsData 2008-03-17 13:19 . 2008-04-05 12:25 <DIR> d-------- X:\Programme\SFT Loader 2008-03-17 13:05 . 2007-07-09 15:11 584,192 -----c--- X:\WINDOWS\system32\dllcache\rpcrt4.dll 2008-03-17 13:00 . 2008-03-17 13:00 <DIR> d--hs---- X:\Dokumente und Einstellungen\Boss\UserData . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-05 21:33 --------- d-----w X:\Programme\Logitech 2008-03-17 17:13 --------- d--h--w X:\Programme\InstallShield Installation Information 2008-03-17 10:18 --------- d-----w X:\Programme\Microsoft Hardware 2008-03-17 10:12 21,035 ----a-w X:\WINDOWS\system32\drivers\AegisP.sys 2008-03-17 10:12 --------- d-----w X:\Programme\Nonbrand 2008-03-17 10:09 --------- d-----w X:\Programme\Gemeinsame Dateien\Logitech 2008-03-17 10:02 --------- d-----w X:\Programme\AvRack 2008-03-17 10:01 --------- d-----w X:\Programme\Gemeinsame Dateien\InstallShield 2008-03-17 09:56 --------- d-----w X:\Programme\microsoft frontpage 2008-03-17 09:55 --------- d-----w X:\Programme\Online-Dienste 2008-03-17 09:53 --------- d-----w X:\Programme\Gemeinsame Dateien\Dienste 2008-02-08 16:35 23,604 ----a-w X:\WINDOWS\system32\drivers\klopp.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}] X:\WINDOWS\system32\yaywwVLE.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="X:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360] "msnmsgr"="X:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="X:\WINDOWS\system32\NvCpl.dll" [2005-06-15 11:20 6803456] "AVP"="X:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856] "Adobe Reader Speed Launcher"="X:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="X:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}"= X:\WINDOWS\system32\yaywwVLE.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yaywwVLE] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=X:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSVideo8"= VfWWDM32.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Steam\\steamapps\\ellypirelly1986\\counter-strike source\\hl2.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "X:\\Programme\\ICQ6\\ICQ.exe"= "X:\\Programme\\SFT Loader\\leecher.exe"= "D:\\emule\\emule.exe"= "X:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "X:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "E:\\limewire\\LimeWire.exe"= "X:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\German\\setup.exe"= R1 Asapi;Asapi;X:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27] R3 klim5;Kaspersky Anti-Virus NDIS Filter;X:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28] S3 SjyPkt;SjyPkt;X:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-06 14:45:39 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . X:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe X:\WINDOWS\System32\nvsvc32.exe X:\WINDOWS\System32\wdfmgr.exe X:\WINDOWS\system32\taskmgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-06 14:47:13 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-06 12:47:09 5 Verzeichnis(se), 33,353,490,432 Bytes frei 7 Verzeichnis(se), 33,571,614,720 Bytes frei . 2008-03-17 17:13:59 --- E O F --- |
|
06.04.2008, 14:09
| #4 |
| Administrator > Competence Manager | PC dreht durch!Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yaywwVLE
hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}
Files to delete:
X:\WINDOWS\system32\yaywwVLE.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Erstellung eines Hijacklog
Und nochmal einen neuen Scan mit Combofix durchführen!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. Geändert von Sunny (06.04.2008 um 14:23 Uhr) |
|
06.04.2008, 14:54
| #5 |
| | PC dreht durch! Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at X:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "X:\WINDOWS\system32\yaywwVLE.dll" not found! Deletion of file "X:\WINDOWS\system32\yaywwVLE.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yaywwVLE" deleted successfully. Error: registry key "hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}" not found! Deletion of registry key "hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
|
06.04.2008, 15:06
| #6 |
| Administrator > Competence Manager | PC dreht durch! Da war ein Leerzeichen zuviel in der CODE Box, versuch es nochmal mit dem Avenger: Code:
ATTFilter Registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}
hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}
Files to delete:
X:\WINDOWS\system32\yaywwVLE.dll
__________________ --> PC dreht durch! |
|
| Themen zu PC dreht durch! |
| abgesicherten modus, adobe, antiviren werbung, appinit_dlls, button, dateien, dll, file, hijack, hijackthis, hintergrund, hkus\s-1-5-18, icq, immer wieder, internet, internet explorer, internet security, kaspersky, messenger, micro, microsoft, nvidia, object, programme, rundll, security, shockwave, software, system, system32, werbung, windows |
Linear-Darstellung
