Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   netstat.exe geht nicht zu löschen (https://www.trojaner-board.de/27979-netstat-exe-geht-loeschen.html)

Russell 30.03.2006 21:44
netstat.exe geht nicht zu löschen
 
hallo,


ich hoffe ihr könnt mir hier weiterhelfen. ich bekomme seit ca. 4 wochen immer diese nervige ilead.itak.it werbung. mittlerweile habe ich schon in erfahrung gebracht das die netstat.exe der übeltäter ist nur diese datei kommt nach löschung innerhalb von 5 sekunden immer wieder. selbst wenn man eine txt datei unter gleichen namen schreibgeschützt anlegt wird diese überschrieben. ich weiß wirklich nicht mehr weiter. diese exe ist wirklich eine harte nuss.

hoffe auf hilfe.

irrlicht 30.03.2006 21:56
Hallo Russell,
mach ein Hijack This Logfile und einen EScan.Die Downloads und Anleitungen dazu findest du unter "Anleitungen,FAQ,Links" hier auf der Startseite.
Beachte genauestens die Vorgehensweise bei Beiden !
Poste die Logfiles beide hier.
Irrlicht

Russell 30.03.2006 21:59
Logfile of HijackThis v1.99.1
Scan saved at 22:46:35, on 30.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
D:\***\Verschiedenes\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\***\Verschiedenes\AVWUPSRV.EXE
C:\Programme\Trojancheck 6\tcguard.exe
D:\***\Verschiedenes\AVGNT.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\***\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\taskmgr.exe
D:\***\Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\***\Verschiedenes\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Rulez\Verschiedenes\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\***\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\***\Verschiedenes\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\***\Verschiedenes\AVWUPSRV.EXE
O23 - Service: Microsoft (c) SQL Server (MSSQL SERVER) - Unknown owner - c:\windows\system32\svrany.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Programme\OfficeUpdate11\Cabs\msapi.exe" /service (file missing)

irrlicht 30.03.2006 22:21
Hallo Russell,
das hatten wir schon mal :
Suchbegriff: 192.168.2.1
Adresse: whois.arin.net
Suchergebnis:


OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 192.168.0.0 - 192.168.255.255
CIDR: 192.168.0.0/16
NetName: IANA-CBLK1
NetHandle: NET-192-168-0-0-1
Parent: NET-192-0-0-0-0
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: This block is reserved for special purposes.
Comment: Please see RFC 1918 for additional information.
Comment:
RegDate: 1994-03-15
Updated: 2002-09-16

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org
Das kommt raus bei dem hier :
O17 - HKLM\System\CCS\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
Was aht dich davon abgehalten das Service Pack 2 zu installieren ?
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Nun warten wir mal den EScan ab.......
Irrlicht

Russell 30.03.2006 22:27
im moment hab ich schon 70 fehler und 21 critical objekts.

Russell 30.03.2006 23:37
na klasse jetzt habe ich einen escan durchgeführt aber konnte den logfile nicht abspeichern weil er zu groß war.

Thu Mar 30 23:41:31 2006 => ERROR!!! Invalid Entry WebCheck = %system%\webcheck.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad). No Action Taken.

Thu Mar 30 23:41:33 2006 => ERROR!!! Invalid Entry {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %system%\webcheck.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.

Thu Mar 30 23:41:43 2006 => ERROR!!! Invalid Entry c:\windows\system32\svrany.exe in SYSTEM\CurrentControlSet\Services\MSSQL SERVER...

Thu Mar 30 23:41:45 2006 => ERROR!!! Invalid Entry "C:\Programme\OfficeUpdate11\Cabs\msapi.exe" /service in SYSTEM\CurrentControlSet\Services\r_server...

Thu Mar 30 23:42:04 2006 => System found infected with rapidblaster Spyware/Adware ({01fc5803-8644-45d7-877b-5a3924d8ecc4})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with istbar Spyware/Adware ({aa8c93e1-7e5f-497e-b67c-cc8fe2a40d3b})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with exact advertising Spyware/Adware ({0a8ce102-fa03-4612-9bee-7fe5452f4cb1})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with rapidblaster Spyware/Adware ({15e7d23b-736e-46fa-bffd-cbec4126befd})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with istbar Spyware/Adware ({2ddd90d6-f153-4ea7-a324-4b2d83d1027e})! Action taken: No Action Taken.
Thu Mar 30 23:42:05 2006 => System found infected with istbar Spyware/Adware ({9ce15eb5-6b39-4656-9e1f-2d219ee42e0e})! Action taken: No Action Taken.
Thu Mar 30 23:42:06 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\webspecials !!!
Thu Mar 30 23:42:06 2006 => Object "web specials Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:06 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Mar 30 23:42:06 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:06 2006 => Offending Key found: HKCU\Software\kazaa !!!
Thu Mar 30 23:42:06 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\nail.exe
Thu Mar 30 23:42:07 2006 => System found infected with aurora Spyware/Adware (nail.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\imgconv.dll
Thu Mar 30 23:42:07 2006 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\k.exe
Thu Mar 30 23:42:07 2006 => System found infected with media pass Spyware/Adware (k.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\poller.exe
Thu Mar 30 23:42:07 2006 => System found infected with aurora Spyware/Adware (poller.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\vp.dat
Thu Mar 30 23:42:07 2006 => System found infected with deskad.service Spyware/Adware (vp.dat)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending Folder found: C:\Programme\clocksync
Thu Mar 30 23:42:07 2006 => Object "clocksync Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\uppicsvr.exe
Thu Mar 30 23:42:07 2006 => System found infected with delfin media viewer Spyware/Adware (uppicsvr.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:13 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\outlook logging\firstrun.log
Thu Mar 30 23:42:13 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.

Thu Mar 30 23:42:13 2006 => Offending Folder found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temp.fr89ec\navhelper
Thu Mar 30 23:42:13 2006 => Object "navhelper Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:13 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\uppicsvr.exe
Thu Mar 30 23:42:13 2006 => System found infected with delfin media viewer Spyware/Adware (uppicsvr.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:16 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsv\keys.dat
Thu Mar 30 23:42:16 2006 => System found infected with startsurfing Spyware/Adware (keys.dat)! Action taken: No Action Taken.

Thu Mar 30 23:43:19 2006 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AbetterInternet.zip is Not Scanned
Thu Mar 30 23:43:19 2006 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AbetterInternet.zip not Scanned. Possibly password protected...
Thu Mar 30 23:43:19 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip
Thu Mar 30 23:43:19 2006 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
Thu Mar 30 23:43:19 2006 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip not Scanned. Possibly password protected...
Thu Mar 30 23:43:19 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BlazeFindBrowserhelper.zip
Thu Mar 30 23:43:19 2006 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BlazeFindBrowserhelper.zip is Not Scanned
Thu Mar 30 23:43:19 2006 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BlazeFindBrowserhelper.zip not Scanned. Possibly password protected...
Thu Mar 30 23:43:19 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BlazeFindBrowserhelper1.zip





Fri Mar 31 00:26:13 2006 => Total Objects Scanned: 53101
Fri Mar 31 00:26:13 2006 => Total Critical Objects: 43
Fri Mar 31 00:26:13 2006 => Total Disinfected Objects: 0
Fri Mar 31 00:26:13 2006 => Total Objects Renamed: 0
Fri Mar 31 00:26:13 2006 => Total Deleted Objects: 0
Fri Mar 31 00:26:13 2006 => Total Errors: 74
Fri Mar 31 00:26:13 2006 => Time Elapsed: 00:45:22
Fri Mar 31 00:26:13 2006 => Virus Database Date: 3/28/2006
Fri Mar 31 00:26:13 2006 => Virus Database Count: 184466

MightyMarc 30.03.2006 23:49
Mal total OT: hab ja noch nie gesehen, dass jemand mit einer 192.168.x.x IP ne whois-Abfrage macht...

You made my day.

Russell 30.03.2006 23:51
Zitat:
Zitat von MightyMarc
Mal total OT: hab ja noch nie gesehen, dass jemand mit einer 192.168.x.x IP ne whois-Abfrage macht...

You made my day.
ich versteh nicht ganz???

MightyMarc 31.03.2006 00:00
Zitat:
Zitat von Russell
ich versteh nicht ganz???
Eine whois-Abfrage liefert Dir den Namen des Eigentümers einer bestimmten IP oder Domain. 192.168.x.x, wie auch 10.x.x.x 172.16.x.x und 169.254.x.x sind private IP-Adressen, was bedeutet, dass sie im Internet nicht auftauchen und deswegen auch eine whois-Abfrage kein Ergebnis liefern kann.

http://de.wikipedia.org/wiki/Private_IP-Adresse
http://de.wikipedia.org/wiki/Whois

Russell 31.03.2006 00:05
Zitat:
Zitat von MightyMarc
Eine whois-Abfrage liefert Dir den Namen des Eigentümers einer bestimmten IP oder Domain. 192.168.x.x, wie auch 10.x.x.x 172.16.x.x und 169.254.x.x sind private IP-Adressen, was bedeutet, dass sie im Internet nicht auftauchen und deswegen auch eine whois-Abfrage kein Ergebnis liefern kann.

http://de.wikipedia.org/wiki/Private_IP-Adresse
http://de.wikipedia.org/wiki/Whois
ich sollte einen logfile machen und hier posten. das habe ich getan. ich bin leider kein fachmann.

dartus 31.03.2006 00:07
@MightyMarc,

:daumenhoc

dartus

MightyMarc 31.03.2006 00:19
Der kurze Off Topic Kommentar von mir ist etwas ausgeartet. Sorry. Der Kommentar war nicht an Dich gerichtet, sondern an irrlicht.

Da ich nicht weiter die Bereinigung stören will, schleich ich mich und hinterlasse die geordneten Logeinträge:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 30 23:42:04 2006 => System found infected with rapidblaster Spyware/Adware ({01fc5803-8644-45d7-877b-5a3924d8ecc4})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with istbar Spyware/Adware ({aa8c93e1-7e5f-497e-b67c-cc8fe2a40d3b})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with exact advertising Spyware/Adware ({0a8ce102-fa03-4612-9bee-7fe5452f4cb1})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with rapidblaster Spyware/Adware ({15e7d23b-736e-46fa-bffd-cbec4126befd})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with istbar Spyware/Adware ({2ddd90d6-f153-4ea7-a324-4b2d83d1027e})! Action taken: No Action Taken.
Thu Mar 30 23:42:05 2006 => System found infected with istbar Spyware/Adware ({9ce15eb5-6b39-4656-9e1f-2d219ee42e0e})! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with aurora Spyware/Adware (nail.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with media pass Spyware/Adware (k.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with aurora Spyware/Adware (poller.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with deskad.service Spyware/Adware (vp.dat)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with delfin media viewer Spyware/Adware (uppicsvr.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:13 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Thu Mar 30 23:42:13 2006 => System found infected with delfin media viewer Spyware/Adware (uppicsvr.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:16 2006 => System found infected with startsurfing Spyware/Adware (keys.dat)! Action taken: No Action Taken.
Thu Mar 30 23:42:06 2006 => Object "web specials Spyware/Adware" found in File System! Action Taken: No Action Taken.
Thu Mar 30 23:42:06 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Thu Mar 30 23:42:06 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => Object "clocksync Spyware/Adware" found in File System! Action Taken: No Action Taken.
Thu Mar 30 23:42:13 2006 => Object "navhelper Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\nail.exe
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\imgconv.dll
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\k.exe
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\poller.exe
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\vp.dat
Thu Mar 30 23:42:07 2006 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\uppicsvr.exe
Thu Mar 30 23:42:13 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\outlook logging\firstrun.log
Thu Mar 30 23:42:13 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\uppicsvr.exe
Thu Mar 30 23:42:16 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsv\keys.dat
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Mar 30 23:42:07 2006 => Offending Folder found: C:\Programme\clocksync
Thu Mar 30 23:42:13 2006 => Offending Folder found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temp.fr89ec\navhelper
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Mar 30 23:42:06 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\webspecials !!!
Thu Mar 30 23:42:06 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Mar 30 23:42:06 2006 => Offending Key found: HKCU\Software\kazaa !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

dartus 31.03.2006 00:49
Hallo Russell,

downloade Dir
Regseeker
Killbox
und
clearprog 1.4.1 final.

Starte "clearprog" -> Häkchen bei alles Löschen -> auf Löschen klicken

Bereinige mir Regseeker Deine Registry

Starte Killbox
Option "delete on reboot"
Kopiere folgede Datei in die Box:
C:\WINDOWS\nail.exe
C:\WINDOWS\System32\imgconv.dll
C:\WINDOWS\System32\k.exe
C:\WINDOWS\System32\poller.exe
C:\WINDOWS\System32\vp.dat
jeweils auf das weiße Kreuz mit rotem Hintergrund klicken und erst nach der letzten Datei die Frage nach einem Neustart bejahen.

dartus

Russell 31.03.2006 16:20
habe ich alles ausgeführt.


Logfile of HijackThis v1.99.1
Scan saved at 17:16:38, on 31.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\*\Verschiedenes\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\*\Verschiedenes\AVWUPSRV.EXE
C:\Programme\Trojancheck 6\tcguard.exe
D:\*\Verschiedenes\AVGNT.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\*\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\*\Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\*\Verschiedenes\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\*\Verschiedenes\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\*\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\*\Verschiedenes\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\*\Verschiedenes\AVWUPSRV.EXE
O23 - Service: Microsoft (c) SQL Server (MSSQL SERVER) - Unknown owner - c:\windows\system32\svrany.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Programme\OfficeUpdate11\Cabs\msapi.exe" /service (file missing)

Russell 31.03.2006 16:55
habe versucht netstat.exe mit killbox zu entfernen aber das ding kommt immer wieder.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:47 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131