|
system32 ordner weg und kein zugang ins regedit, wer zeit hat schaut mal rein hallo zusammen, mein problem s. titel mein notebook läuft ansonst ganz ok braucht ziemlich lang um hochzufahren jedoch keine weiteren störenden probleme. trotzdem will ich meinen ordner wieder haben!!!!! dank im voraus! Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
Hallo lass bitte mal diese Dateien : C:\WINDOWS\System32\zdablpu.exe C:\WINDOWS\System32\dirservice.exe C:\WINDOWS\System32\mspd.exe C:\WINDOWS\System32\diagcrypt.exe C:\WINDOWS\dll\rundll32.exe <-- bitte Pfad beachten hier Virustotal hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
hi, erstmal danke für deine hilfe "nochdigger" ! also folgende auswertung für C:\WINDOWS\System32\mspd.exe : File size: 389632 bytes MD5: a5ae20750b3cd9f16e851da7827250e1 SHA1: 5f22116cc75a9f0c926426e48be0587978ac2385 und kein ergebniss das war auch die einzige datei die ich finden konnte, der rest scheint zumindest für mich nicht sichtbar. über die suche hab ich noch den dll ordner finden können ( warum erscheint der nur über die suchfunktion, pfad:com/ms/dll ) aber keine rundll32 drin. aber habe eine rundll32 im system32 ordner gefunden und mal prüfen lassen viell. hilfts C:\WINDOWS\system32\rundll32.exe : File size: 33792 bytes MD5: 9082ad264d95541ddc7cb2ac6513dc0d SHA1: 59b60f0633c283feb42e5d30aea54d6c4555d176 kein ergebniss soll ich die mspd.exe löschen und den rest fixen??? gruß kris |
* versteckte Ordner und Dateien anzeigen lassen Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen: - Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg - Geschützte Systemdateien ausblenden -> Haken weg - Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden) - Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen |
@cleriker: schon alles getan, geht ja nur noch ums regedit!!! |
asoo, konnte dein Hijackfile nich mehr sehen, * Anleitung Avenger 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Files to delete C:\WINDOWS\System32\mspd.exe 3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten. 4.) Danach das System unverzüglich neu starten lassen 5.) Gehe in den Ordner c:\avenger. Dort findest du im Idealfall ein gezipptes Backup. Entzippe und versuche erneut den upload beider Dateien aus dem Archiv. 6.) Poste ausserdem den Inhalt der C:\avenger.txt Wie die Einträge der anderen Prozesse aussehen, kann ich ja leider nicht mehr erkennen. In der Reg-Bereinigung nimmt dir aber CCleaner einiges ab. * CCleaner - Lade dir den CCleaner runter - Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files - optional kannst du die gelöschten Einträge aus dem Fenster abkopieren und posten Poste anschließend bitte noch ein Hijackthislog nach Anleitung und am besten einen escan hinterher. * HijackThis - Scan - Lade dir das Tool hier runter -> Hijackthis 2.02 Final - Entpacke es in einen seperaten Ordner und benenne es um (z.b. C:\Programme\HijackThis\pruefung.com) - Führe die Datei aus und bestätige die Warnung mit "ok" - Wähle die Option "Do a System Scan and save a logfile" - poste den kompletten Inhalt des entstehenden LogFiles ->Entferne persönliche Informationen sowie aktive Links * MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) mfg Cleriker |
moin, @cleriker: sooo folgendes: habe die datei C:\WINDOWS\System32\mspd.exe manuell aus dem ordner gelöscht, schon bevor ich das mit dem avenger gelesen hab, ist aber noch im papierkorb. die dateien C:\WINDOWS\System32\zdablpu.exe C:\WINDOWS\System32\dirservice.exe C:\WINDOWS\System32\mspd.exe C:\WINDOWS\System32\diagcrypt.exe C:\WINDOWS\dll\rundll32.exe habe ich gefixed, jetzt taucht nur die rundll32.exe immer wieder auf. den ccleaner hab ich auch drüberlaufen lassen,leider auch bevor ich deinen beitrag gelesen hab, deswegen kein post der gelöschten einträge mehr möglich ( oder doch ?? ) dann hab ich wie beschrieben den escan gemacht ( ganze 4 stunden ), wo find ich denn jetzt diese find.bat, hab nach ihr gesucht aber nichts gefunden. jetzt nochmal den aktuellen logfile : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:21:55, on 28.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] REM C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143713999287 O17 - HKLM\System\CCS\Services\Tcpip\..\{C635F595-83C5-4EF6-B9EE-D31960C5EF07}: NameServer = 192.168.2.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\WINDOWS\dll\rundll32.exe (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 4943 bytes weiss garnicht wo dieser yahoo mist auf einmal herkommt! böses internet! danke im voraus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board