Invasion von sys-Dateien
 

wertes forum,

hab seit monaten diese sys-dateien drauf die einfach sich nicht löschen lassen und ich finde auch mit google nicht einen hinweis. ein freund meinte vielleicht ist ein anderes verdecktes exe aktiv und wir haben im task-manager das meiste deaktiviert ohne den geringsten erfolg. hat jemand eine idee? danke vielmol.

das säckel


Logfile of HijackThis v1.99.1
Scan saved at 21:13:17, on 14.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\programme\u-storage tools2.70\ustorage.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tools2.70\ustorage.exe sys_auto_run C:\Programme\U-Storage Tools2.70
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: BLRVICNJ.sys
O4 - Startup: BOLUJQEW.sys
O4 - Startup: CKARXECA.sys
O4 - Startup: DXONWEHO.sys
O4 - Startup: EIAUMWHU.sys
O4 - Startup: FANPRKOQ.sys
O4 - Startup: FVCJNNEX.sys
O4 - Startup: FVMEIGJX.sys
O4 - Startup: GACBGHLK.sys
O4 - Startup: GFTIMJNE.sys
O4 - Startup: GMMMJITQ.sys
O4 - Startup: GRGKIFQO.sys
O4 - Startup: HNXKTNTX.sys
O4 - Startup: HSIAMMVX.sys
O4 - Startup: JDLGDQQI.sys
O4 - Startup: JKAIWOJW.sys
O4 - Startup: LPXBBDVE.sys
O4 - Startup: MNPAPPGV.sys
O4 - Startup: MNUFCPPG.sys
O4 - Startup: MQFADBNV.sys
O4 - Startup: NKPBONAI.sys
O4 - Startup: NTEFBNKG.sys
O4 - Startup: NVUNIWJB.sys
O4 - Startup: OWXENJEG.sys
O4 - Startup: QEVKMVHC.sys
O4 - Startup: QUJBAALD.sys
O4 - Startup: QWMEMIJD.sys
O4 - Startup: REFLMULE.sys
O4 - Startup: RGBTUOBA.sys
O4 - Startup: RVMSNIMU.sys
O4 - Startup: SVDAFEUR.sys
O4 - Startup: TBNQBMPG.sys
O4 - Startup: TQTRUTCD.sys
O4 - Startup: UBVOTXFS.sys
O4 - Startup: UWVPKXRS.sys
O4 - Startup: WBMEXFRA.sys
O4 - Startup: WQBKLAJO.sys
O4 - Startup: XEDEAPMA.sys
O4 - Startup: XVRASPRO.sys
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: APORFVIW.sys
O4 - Global Startup: ATQMLHTQ.sys
O4 - Global Startup: ATSFMJVI.sys
O4 - Global Startup: BKDCWGVN.sys
O4 - Global Startup: CFBMEWPA.sys
O4 - Global Startup: CKQQCLQN.sys
O4 - Global Startup: DGWBUAEV.sys
O4 - Global Startup: DMBTDIFP.sys
O4 - Global Startup: EGDTQFIV.sys
O4 - Global Startup: FASPHIKC.sys
O4 - Global Startup: FXDTBRLI.sys
O4 - Global Startup: GSIVFISJ.sys
O4 - Global Startup: GTNNHTKK.sys
O4 - Global Startup: HWGTKTTA.sys
O4 - Global Startup: IXOSODPX.sys
O4 - Global Startup: KPIPIKOH.sys
O4 - Global Startup: OPIJHCGO.sys
O4 - Global Startup: OQRARTAN.sys
O4 - Global Startup: OQSTLBON.sys
O4 - Global Startup: PEJTGRXU.sys
O4 - Global Startup: PPEGLLTD.sys
O4 - Global Startup: PVGFWFFW.sys
O4 - Global Startup: PWJNHJJB.sys
O4 - Global Startup: PWUCAAAG.sys
O4 - Global Startup: QRAGTEHQ.sys
O4 - Global Startup: QRLWGGFV.sys
O4 - Global Startup: QVNCKJVU.sys
O4 - Global Startup: REUDEEAK.sys
O4 - Global Startup: SHWQCWLE.sys
O4 - Global Startup: SOPFACIN.sys
O4 - Global Startup: SSQNMRDJ.sys
O4 - Global Startup: SWULHMBJ.sys
O4 - Global Startup: TFVIKXDQ.sys
O4 - Global Startup: TGMNSSDJ.sys
O4 - Global Startup: TKDWLBQX.sys
O4 - Global Startup: VJSPPOTG.sys
O4 - Global Startup: WORFSUOV.sys
O4 - Global Startup: XATUCERE.sys
O4 - Global Startup: XRTDEWAD.sys
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WKQAGSRQSW - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\WKQAGSRQSW.exe

Hallo,
sieht seltsam aus, lass mal eine von den sys Dateien hier überprüfen und poste das Ergebnis. Außerdem postest du mal ein Log von F-Secure Blacklight.



Grüße Wildone

Danke Wildone,

leider hat weder die auswerung bei virustotal noch der scan mit dem blbeta.exe was gebracht. kein treffer. bei der hijackthis-auswertung im netz ebenfalls nix. ähm, ja. bin etwas ratlos.
Sacke

erledigt. hab durch ein programm schließlich den ort und ordner der dateien im autostart gefunden. die waren nicht sichtbar und darum nicht zu markieren, so hab ich den ganzen Autostart-Ordner mit norton leer-geschreddert. auch nach neustart wird nix mehr angezeigt. uff.
grüße, dis säckel

@Sacke

Wo ist dein XP SP2?
PP