|
Plagegeister aller Art und deren Bekämpfung: Windows\System32\ problemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.09.2008, 08:37 | #1 |
| Windows\System32\ problem Ciao, also ich hab am Wochenende miteinmal auf meinem Bildschirm ein Fensterchen bekommen von Antivir da stande irgendwas mit "Trojaner tr/virtl.1974" ich bin dann auf Löschen gegangen aber das brachte rein gar nichts.. OK Ich hab dann mein System XP runtergefahren und mein zweites System Vista gestartet und darüber den Trojaner versucht zu löschen. Nun es kamm 3 x das Fenster zwecks Trojaner und irgendwelche [svchosl.exe] ich hab es dann gelöscht keine Ahnung ob diese Datei wichtig war? Nun hab ich das Problem wenn ich mein System XP neu hochfahre bekomme ich son schmales langes Fenster wo drine steht " Windows\System32\oobe\svchost.exe " konnte nicht ausgeführt werden. Nun meine Frage hab ich da irgendwelche WICHTIGEN - DATEIN gelöscht die mir jetzt in meinem System fehlen ? Ich hatte im netz nachgesehen nach diesem Troja Pferdchen aber leider nichts dazu gefunden was müsste ich jetzt tun ? P.S. Mein System ansich läuft weiter Super und ich hab auch keine weiteren Meldungen mehr über diesen Trojaner bekommen wie geschrieben nur wenn ich den Rechner neu hochfahre das ich diese Meldung [Windows\System32\oobe\svchost.exe] erhalte. Wenn ich jetzt mein System neu aufsetzen würde und auch wieder das Antivir neu installiere kann es sein das ich dann wieder dieses Troja Pferdchen bekomme ? Denn es kam ja durch ein Update oder nachdem ich ein Update mit Antivir gemacht habe erst. Gruß maestro75 |
01.09.2008, 09:29 | #2 |
/// AVZ-Toolkit Guru | Windows\System32\ problem Halli hallo maestro75
__________________Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Konfiguriere AntiVir aggressiv und führe einen Vollscan im abgesicherten Modus unter XP durch. Poste das log! So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung
__________________ |
01.09.2008, 10:09 | #3 |
| Windows\System32\ problem [edit]
__________________bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] Geändert von maestro75 (01.09.2008 um 10:35 Uhr) Grund: zeilenumbruch vergessen :) |
01.09.2008, 10:18 | #4 | |
/// AVZ-Toolkit Guru | Windows\System32\ problem Das log ist zerstückelt. Zitat:
[EDIT] Jetzt sind noch aktive Links drinn. Die bitte auch editieren! Und poste bitte immer alle logs! Der AntiVir Bericht fehlt noch..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (01.09.2008 um 11:04 Uhr) |
01.09.2008, 11:00 | #5 |
| Windows\System32\ problem So hierder Antivir log.. Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 1. September 2008 11:15 Es wird nach 1583963 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Computername: Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 12:36:36 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:53:28 ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24.08.2008 11:12:47 ANTIVIR3.VDF : 7.0.6.93 209920 Bytes 30.08.2008 11:51:41 Engineversion : 8.1.1.23 AEVDF.DLL : 8.1.0.5 102772 Bytes 02.04.2008 12:36:34 AESCRIPT.DLL : 8.1.0.68 315770 Bytes 18.08.2008 22:15:49 AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 13:58:46 AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 07:24:52 AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 13:58:46 AEOFFICE.DLL : 8.1.0.22 192890 Bytes 18.08.2008 22:15:48 AEHEUR.DLL : 8.1.0.50 1388918 Bytes 18.08.2008 22:15:48 AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 12:08:42 AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 22:15:47 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 12:02:16 AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 12:02:16 AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 09:20:50 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 04.08.2008 15:01:52 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 1. September 2008 11:15 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '28373' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HiJackThis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MultiRes.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DIManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '47' Prozesse mit '47' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '66' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Windows_XP> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\cmdow.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491fb908.qua' verschoben! C:\WINDOWS\system32\drivers\atapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <Vista_Ultimate> D:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'E:\' <Archiv> Ende des Suchlaufs: Montag, 1. September 2008 11:57 Benötigte Zeit: 42:03 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 19771 Verzeichnisse wurden überprüft 394422 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 394417 Dateien ohne Befall 1420 Archive wurden durchsucht 4 Warnungen 1 Hinweise 28373 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
01.09.2008, 11:52 | #6 | |
| Windows\System32\ problemZitat:
Geändert von maestro75 (01.09.2008 um 12:09 Uhr) |
01.09.2008, 12:42 | #7 | |
/// AVZ-Toolkit Guru | Windows\System32\ problemZitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.09.2008, 13:11 | #8 |
| Windows\System32\ problem So ich hoffe das ich jetzt alles beseitigt habe ? Hier der log von HijackThis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:03:19, on 01.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows NT\Zubehör\Systemtools\DIManager\DIManager.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Adobe\Distillr\Acrotray.exe C:\Programme\Imaging\Acronis\TrueImageMonitor.exe C:\Programme\Imaging\Acronis\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\system32\MultiRes.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Gemeinsame Dateien\Fomatik\TrueImageTryStartService.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\oobe\svchost.exe O1 - Hosts: 127.0.0.2 mpa.one.microsoft.com O1 - Hosts: 127.255.255.255 iw2.slysoft.com # slysoft anydvd O1 - Hosts: 127.255.255.255 h3.slysoft.com # slysoft anydvd O1 - Hosts: 127.255.255.255 update.slysoft.com # slysoft anydvd O1 - Hosts: 127.255.255.255 slysoft.com # slysoft anydvd O1 - Hosts: 127.255.255.255 sb2slysoft.com # slysoft anydvd O1 - Hosts: 127.255.255.255 ns6.gandi.net # slysoft anydvd O1 - Hosts: 127.255.255.255 ev1slysoft.com # slysoft anydvd O1 - Hosts: 127.255.255.255 iw2.slysoft.com # slysoft anydvd O1 - Hosts: 127.255.255.255 reverse.privatedns.com # slysoft anydvd O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WINDOWS\Java\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\googletoolbar2.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DIManager] C:\Programme\Windows NT\Zubehör\Systemtools\DIManager\DIManager.exe /auto O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Imaging\Acronis\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Imaging\Acronis\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: MultiRes.lnk = C:\WINDOWS\system32\MultiRes.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - res://C:\Programme\Adobe\PDFConvert\IEShellExt.dll /500 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Java\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Java\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b}/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} /default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} /NvidiaSmartScan.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe -- End of file - 10942 bytes Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 1. September 2008 11:15 Es wird nach 1583963 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Computername: Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 12:36:36 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:53:28 ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24.08.2008 11:12:47 ANTIVIR3.VDF : 7.0.6.93 209920 Bytes 30.08.2008 11:51:41 Engineversion : 8.1.1.23 AEVDF.DLL : 8.1.0.5 102772 Bytes 02.04.2008 12:36:34 AESCRIPT.DLL : 8.1.0.68 315770 Bytes 18.08.2008 22:15:49 AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 13:58:46 AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 07:24:52 AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 13:58:46 AEOFFICE.DLL : 8.1.0.22 192890 Bytes 18.08.2008 22:15:48 AEHEUR.DLL : 8.1.0.50 1388918 Bytes 18.08.2008 22:15:48 AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 12:08:42 AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 22:15:47 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 12:02:16 AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 12:02:16 AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 09:20:50 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 04.08.2008 15:01:52 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 1. September 2008 11:15 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '28373' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HiJackThis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MultiRes.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DIManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '47' Prozesse mit '47' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '66' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Windows_XP> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\cmdow.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491fb908.qua' verschoben! C:\WINDOWS\system32\drivers\atapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <Vista_Ultimate> D:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'E:\' <Archiv> Ende des Suchlaufs: Montag, 1. September 2008 11:57 Benötigte Zeit: 42:03 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 19771 Verzeichnisse wurden überprüft 394422 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 394417 Dateien ohne Befall 1420 Archive wurden durchsucht 4 Warnungen 1 Hinweise 28373 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Geändert von maestro75 (01.09.2008 um 13:36 Uhr) |
01.09.2008, 13:40 | #9 | |
/// AVZ-Toolkit Guru | Windows\System32\ problem Sauber. So wollen wir das haben.. Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.09.2008, 14:29 | #10 |
| Windows\System32\ problem Ich hab die oobe nicht gefunden daher hab ich aus dem Ordner oobe die msoobe gescannt Hier die Datei svochst.exe Code:
ATTFilter AhnLab-V3 2008.8.29.0 2008.09.01 - AntiVir 7.8.1.23 2008.09.01 - Authentium 5.1.0.4 2008.09.01 - Avast 4.8.1195.0 2008.08.31 - AVG 8.0.0.161 2008.09.01 - BitDefender 7.2 2008.09.01 - CAT-QuickHeal 9.50 2008.08.29 - ClamAV 0.93.1 2008.09.01 - DrWeb 4.44.0.09170 2008.09.01 - eSafe 7.0.17.0 2008.08.31 - eTrust-Vet 31.6.6062 2008.09.01 - Ewido 4.0 2008.09.01 - F-Prot 4.4.4.56 2008.09.01 - F-Secure 7.60.13501.0 2008.09.01 - Fortinet 3.14.0.0 2008.09.01 - GData 19 2008.09.01 - Ikarus T3.1.1.34.0 2008.09.01 - K7AntiVirus 7.10.435 2008.09.01 - Kaspersky 7.0.0.125 2008.09.01 - McAfee 5373 2008.08.29 - Microsoft 1.3807 2008.08.25 - NOD32v2 3404 2008.09.01 - Norman 5.80.02 2008.09.01 - Panda 9.0.0.4 2008.08.31 - PCTools 4.4.2.0 2008.09.01 - Prevx1 V2 2008.09.01 - Rising 20.60.01.00 2008.09.01 - Sophos 4.33.0 2008.09.01 - Sunbelt 3.1.1592.1 2008.08.30 - Symantec 10 2008.09.01 - TheHacker 6.3.0.6.069 2008.09.01 - TrendMicro 8.700.0.1004 2008.09.01 - VBA32 3.12.8.4 2008.08.31 - ViRobot 2008.9.1.1359 2008.09.01 - VirusBuster 4.5.11.0 2008.08.31 - Webwasher-Gateway 6.6.2 2008.09.01 - weitere Informationen File size: 14336 bytes MD5...: 4fbc75b74479c7a6f829e0ca19df3366 SHA1..: 97c7c354c12b89c797740b35ed81879be58f3deb SHA256: a42568851b48fb9924b3fe18c8a0f3ceecd850254257cfe6c5f168c08f408ef0 SHA512: bc2d1f29a85285863f80aa5ccdf5bd4fa0b2ef58a3c3aa56a541e4227b87fb4a da91930eead4ef4b7cd072100201361c84f34ed1dd78547a08f4ea5a56752202 PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1002509 timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653 .data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2 .rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882 ( 4 imports ) > ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW > KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook > ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid > RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening ( 0 exports ) Code:
ATTFilter AhnLab-V3 2008.8.29.0 2008.09.01 - AntiVir 7.8.1.23 2008.09.01 - Authentium 5.1.0.4 2008.09.01 - Avast 4.8.1195.0 2008.08.31 - AVG 8.0.0.161 2008.09.01 - BitDefender 7.2 2008.09.01 - CAT-QuickHeal 9.50 2008.08.29 - ClamAV 0.93.1 2008.09.01 - DrWeb 4.44.0.09170 2008.09.01 - eSafe 7.0.17.0 2008.08.31 - eTrust-Vet 31.6.6062 2008.09.01 - Ewido 4.0 2008.09.01 - F-Prot 4.4.4.56 2008.09.01 - F-Secure 7.60.13501.0 2008.09.01 - Fortinet 3.14.0.0 2008.09.01 - GData 19 2008.09.01 - Ikarus T3.1.1.34.0 2008.09.01 - K7AntiVirus 7.10.435 2008.09.01 - Kaspersky 7.0.0.125 2008.09.01 - McAfee 5373 2008.08.29 - Microsoft 1.3807 2008.08.25 - NOD32v2 3404 2008.09.01 - Norman 5.80.02 2008.09.01 - Panda 9.0.0.4 2008.08.31 - PCTools 4.4.2.0 2008.09.01 - Prevx1 V2 2008.09.01 - Rising 20.60.01.00 2008.09.01 - Sophos 4.33.0 2008.09.01 - Sunbelt 3.1.1592.1 2008.08.30 - Symantec 10 2008.09.01 - TheHacker 6.3.0.6.069 2008.09.01 - TrendMicro 8.700.0.1004 2008.09.01 - VBA32 3.12.8.4 2008.08.31 - ViRobot 2008.9.1.1359 2008.09.01 - VirusBuster 4.5.11.0 2008.08.31 - Webwasher-Gateway 6.6.2 2008.09.01 - weitere Informationen File size: 29184 bytes MD5...: e18e517226ac8a6df3a1c8e42bbeac08 SHA1..: 61a558b2416727dec2172a7fad66e5dc65e8029d SHA256: c737478b0aa7d687568d5e34b88ce5a9c494eaf7d79fd62c7a920bf3f844d275 SHA512: 734a764eb355ea29eced090ad95621cc23196402e7521eb0207e79fda2f58e31 0d229b71040ce24ad46afd100d6ae1615c98da6d452baa127be625dbabe2bea2 PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1001255 timedatestamp.....: 0x48025295 (Sun Apr 13 18:36:05 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x684 0x800 4.75 c82c0080253645ba39290b4ba1250197 .data 0x2000 0xc 0x200 0.18 39fac03fafbc599446e00ecca0e3b7db .rsrc 0x3000 0x62bc 0x6400 5.00 5aec26b0a852cd1f5a2c77d65c9b1b3e ( 3 imports ) > ADVAPI32.dll: RegOpenKeyExW, RegSetValueExW > KERNEL32.dll: ExitProcess, GetLastError, FreeLibrary, GetCommandLineW, GetProcAddress, LoadLibraryW, WritePrivateProfileStringW, ExpandEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime > USER32.dll: wsprintfW ( 0 exports ) ThreatExpert info: htp://ww.co/report.aspx?md5=e18e517226ac8a6df3a1c8e42bbeac08 |
01.09.2008, 14:43 | #11 | ||
/// AVZ-Toolkit Guru | Windows\System32\ problemZitat:
An die Ergebnisse glaube ich im Leben nicht.. Bei dir läuft ein IRC Bot. Lade uns die C:\WINDOWS\System32\oobe\svchost.exe biite auf den Server hoch. Anleitung Upload Channel Danach gehts für dich hier weiter: Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.09.2008, 15:25 | #12 |
| Windows\System32\ problem MBR Log Code:
ATTFilter device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
01.09.2008, 17:04 | #13 |
/// AVZ-Toolkit Guru | Windows\System32\ problem Gut, dann kannst du weiter machen..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.09.2008, 17:14 | #14 |
| Windows\System32\ problem mit was weiter machen ich hab ja diese MBR gemacht und keinen Fehler gefunden somit brauch ich ja da das andere ja nicht mehr machen oder ? Sry wenn ich mich hier etwas glatt anstelle aber ich hab keine Ahnung von viren & co kann sein das ich manchmal hier was falsch mache oder nicht verstehe... und was sagst zu meiner Fehlenden oobe ? ich hab mit diese mbr.txt.bat runter geladen wenn ich sie öffne steht da drine @echo off mbr.exe - f ich hab kein plan wie ich das machen soll ? da dieses text duko ne text datei bleibt. Geändert von maestro75 (01.09.2008 um 17:31 Uhr) |
01.09.2008, 17:16 | #15 |
/// AVZ-Toolkit Guru | Windows\System32\ problem Du musst weiter machen mit dem Neuaufsetzten denn dein System ist kompromitiert.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
Themen zu Windows\System32\ problem |
ahnung, antivir, aufsetzen, bildschirm, datei, fehlen, frage, gelöscht, gestartet, keine ahnung, löschen, meldungen, neu, neu aufsetzen, problem, rechner, super, svchost.exe, system, system neu, system neu aufsetzen, system32, trojaner, update, versucht, vista, wichtig, wichtige, windows, woche |