|
"search daily" Bitte Log File überprüfen Hallo Leute, habe folgendes Problem beim öffnen von google suchergebnissen öffnet sich meistens "www.search-daily.com" hat jemand eine ahnung was das ist. Beim Spywaredoctor habe ich schon den Trojan.Nuklus gefunden und entfernt.Zurzeit benutze ich Firefox dort hab ich das Problem bis jetzt noch nicht.Wäre euch dankbar wenn ihr mir helfen könntet. Vielen Dank tobsen87 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:19:06, on 17.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - (no file) O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6665 bytes |
Hi, eine Auffälligkeit: c:\windows\system32\connapih.dll ist BHO und ist bei Logon eingetragen Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll was nicht sein kann bzw. sehr ungewöhnlich ist... Und dann gibt es noch ein weiteres BHO (BrowserhelperObject), C:\WINDOWS\system32\cdmodemo.dll Es gibt Hinweise auf "ADSPY/Yatool.A", darum kümmern wir uns später... Daher onlinecheck: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Zitat:
chris |
Danke für die schnelle Antwort so hier hab ich jetz mal gemacht hoffe du kannst mir weiterhelfen. C:\WINDOWS\SYSTEM32\connapih.dll Datei ConnAPIh.dll empfangen 2007.12.17 00:48:03 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - TR/Crypt.Morphine.Gen Authentium - - - Avast - - - AVG - - Obfustat.ACUA BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - Suspicious File eTrust-Vet - - - Ewido - - - FileAdvisor - - - Fortinet - - - F-Prot - - - F-Secure - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - VirTool:Win32/Obfuscator.Q NOD32v2 - - - Norman - - - Panda - - Suspicious file Prevx1 - - - Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - Trojan.Crypt.Morphine.Gen weitere Informationen MD5: d603fa7d866891263f42f333867834cd C:\WINDOWS\system32\cdmodemo.dll Datei cdmodemo.dll empfangen 2007.12.18 09:16:55 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - TR/Spy.BZub.NGP.7 Authentium - - - Avast - - - AVG - - BHO.CVX BitDefender - - Trojan.Spy.Bzub.NGP CAT-QuickHeal - - - ClamAV - - - DrWeb - - Trojan.DownLoader.38058 eSafe - - - eTrust-Vet - - Win32/Kvol!generic Ewido - - - FileAdvisor - - - Fortinet - - - F-Prot - - - F-Secure - - BZub.ARU Ikarus - - Trojan-PWS.Win32.Lmir Kaspersky - - - McAfee - - - Microsoft - - Trojan:Win32/Boaxxe.C NOD32v2 - - - Norman - - BZub.ARU Panda - - Trj/Downloader.RKS Prevx1 - - Trojan.DoS.Win32.Opdos Rising - - - Sophos - - - Sunbelt - - Trojan-Spy.Bzub.NGP Symantec - - Trojan.Adclicker TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - Trojan.Spy.BZub.NGP.7 weitere Informationen MD5: b9c228372922f8901791e9c11274d5c7 |
Hi, bitte das hier abarbeiten, danach ein neues HJ-Log (nenne vorher die HJ-Exe auf test.com um). Also: Avenger http://filepony.de/download-the_avenger/ Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträgen Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat:
|
Vielen Dank für deine schnelle Hilfe.Hier die LogFile. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:50:48, on 18.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe E:\tuneup2004\MemOptimizer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe -- End of file - 6475 bytes |
Hi, hast Du das Logfile vor Ausführung von Avenger und HJ gemacht? Es sind nämlich alle Einträge nach- wie vor da! Hat Avenger bzw. HJ einen Fehler gebracht? chris |
Hab ich danach gemacht. Hier die Logfile von Avenger.Bei HJ war nix. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\skakhtvw ******************* Script file located at: \??\C:\WINDOWS\rlstkafr.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file c:\windows\system32\connapih.dll for deletion Deletion of file c:\windows\system32\connapih.dll failed! Could not process line: c:\windows\system32\connapih.dll Status: 0xc0000022 Could not open file C:\WINDOWS\system32\cdmodemo.dll for deletion Deletion of file C:\WINDOWS\system32\cdmodemo.dll failed! Could not process line: C:\WINDOWS\system32\cdmodemo.dll Status: 0xc0000022 Could not open registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks for deletion Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks failed! Status: 0xc0000022 Completed script processing. ******************* Finished! Terminate. |
Hi, shit, Avenger wird blockiert! Trenne den Rechner vom Internet, schalte eventuell mitlaufende Virenscanner aus und probiere es dann noch mal im abgesicherten Modus... Poste das Avenger-Log! Chris |
Glaube hat wieder nich funktioniert. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\rjkjtqaa ******************* Script file located at: \??\C:\WINDOWS\system32\fxnufbvp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file c:\windows\system32\connapih.dll for deletion Deletion of file c:\windows\system32\connapih.dll failed! Could not process line: c:\windows\system32\connapih.dll Status: 0xc0000022 Could not open file C:\WINDOWS\system32\cdmodemo.dll for deletion Deletion of file C:\WINDOWS\system32\cdmodemo.dll failed! Could not process line: C:\WINDOWS\system32\cdmodemo.dll Status: 0xc0000022 File registry keys to delete not found! Deletion of file registry keys to delete failed! Could not process line: registry keys to delete Status: 0xc0000034 Could not open file HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks for deletion Deletion of file HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks failed! Could not process line: HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks Status: 0xc000003a Completed script processing. ******************* Finished! Terminate. |
Hi, okay, Killbox: KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html oder http://www.wintotal.de/Software/index.php?id=4101 Options: Delete on Reboot --> anhaken reinkopieren: c:\windows\system32\connapih.dll C:\WINDOWS\system32\cdmodemo.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten Poste auch hier das Log, Virenscanner etc. abschalten. Die Killbox meldet sofort, wenn Ihre Einträge wieder entfernt werden... Dann haben wir allerdings ein Problem... chris |
Pocket Killbox version 2.0.0.881 Running on Windows XP as bp_tobsen(Administrator) was started @ Dienstag, Dezember 18, 2007, 4:37 PM # 1 [Delete on Reboot] Path = c:\windows\system32\connapih.dll # 2 [Delete on Reboot] Path = C:\WINDOWS\system32\cdmodemo.dll PendingFileRenameOperations Registry Data has been Removed by External Process! @ 4:37:55 PM Killbox Closed(Exit) @ 4:38:03 PM __________________________________________________ |
Hi, genau das habe ich erwartet, die netten Viecher überwachen den Rechner und wenn was für sie "unbekömmliches" kommt, wird es entfernt... Kannst Du von einer CD booten und die Dateien dann per Hand umbennen? Bei der neuen Ct ist eine Notefall-CD dabei.... Chris Ps.: Okay, combofix: In diesem Fall: Schwereres Geschütz: Combofix (Link im Anhang); Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Falls das nicht klappt: 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: c:\windows\system32\connapih.dll C:\WINDOWS\system32\cdmodemo.dll 2. Schleppe diese Datei zur ComboFix.exe und lasse sie dort fallen. ComboFix wird jetzt starten und die Datei ausfuehren Nach Neustart des Rechners, poste das log von ComboFix. |
Ich hol mir schnell die ct hoffe die gibts hier noch. Ist das Problem noch zu lösen oder ist es zu krass. Welche Daten soll ich dann umbenennen.Danke echt für deine Hilfe. |
Hi, nenne die beiden Dateien: c:\windows\system32\connapih.dll C:\WINDOWS\system32\cdmodemo.dll um, in dem Du z. B. ein .vir anhängst: c:\windows\system32\connapih.dll.vir C:\WINDOWS\system32\cdmodemo.dll.vir Dann findet Windows sie nicht mehr und kann sie nicht starten (was zu Fehlermeldungen führen kann). Auf der CD ist auch Antivir drauf, das wie folgt einstellen und über die Festplatte laufen lassen, alles in Qurantäne verschieben lassen, da dort mit der Heuristik gearbeitet wird und die Fehlerkennung hoch ist: Stelle Avira wie folgt ein: http://www.trojaner-board.de/showthread.php?t=54192 Führe einen Systemscan durch und poste das Ergebnis! So, bin jetzt weg aber morgen wieder zu erreichen (ca. 07:30 uhr)... chris |
ComboFix 07-12-18.1 - bp_tobsen 2007-12-18 16:54:16.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.231 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\bp_tobsen\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\plus32.ocx C:\WINDOWS\system32\connapih.dll . . . . Nicht in der Lage zu löschen . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_GRNAETZI -------\grnaetzi ((((((((((((((((((((((( Dateien erstellt von 2007-11-18 bis 2007-12-18 )))))))))))))))))))))))))))))) . 2007-12-18 16:00 . 2007-12-18 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Phone Browser 2007-12-18 15:59 . 2006-04-08 14:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-12-18 15:59 . 2007-12-18 16:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-12-18 15:59 . 2006-04-08 15:00 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-12-17 21:19 . 2007-12-17 21:19 <DIR> d-------- C:\Programme\Trend Micro 2007-12-17 20:24 . 2007-12-17 20:24 0 --a------ C:\WINDOWS\nsreg.dat 2007-12-16 17:38 . 2007-12-17 20:03 <DIR> d-------- C:\Programme\Spyware Doctor 2007-12-16 17:38 . 2007-12-16 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\bp_tobsen\Anwendungsdaten\PC Tools 2007-12-16 17:38 . 2007-12-18 16:28 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-12-16 17:38 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-12-16 17:38 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-12-16 17:38 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-12-16 17:38 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-12-16 17:38 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-12-16 17:36 . 2007-12-17 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2007-12-16 17:17 . 2007-12-16 17:17 256 --a------ C:\WINDOWS\adaway.lic 2007-12-14 16:43 . 2007-12-14 16:43 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll 2007-12-14 16:43 . 2007-12-14 16:43 741,632 --a------ C:\WINDOWS\system32\kqgpbpmq.dat 2007-12-14 16:43 . 2007-12-14 16:43 246,545 --a------ C:\WINDOWS\system32\libssl32.dll 2007-12-14 16:43 . 2007-12-14 16:43 119,552 --a------ C:\WINDOWS\system32\llcsbaxv.dat 2007-12-14 16:43 . 2007-12-14 16:43 42,240 --a------ C:\WINDOWS\system32\kxgpnrji.dat 2007-12-14 16:43 . 2007-12-14 16:43 36,096 --a------ C:\WINDOWS\system32\pymohqls.dat 2007-12-14 16:43 . 2007-12-14 16:43 35,072 --a------ C:\WINDOWS\system32\ikqualhr.dat 2007-12-14 16:29 . 2007-12-14 16:36 <DIR> d-------- C:\WINDOWS\system32\AppCert 2007-12-14 16:29 . 2007-12-18 16:56 83,456 --a------ C:\WINDOWS\system32\connapih.dll 2007-12-14 16:29 . 19,456 C:\WINDOWS\system32\drivers\brwadndm.dat 2007-12-14 16:28 . 2002-08-29 13:00 84,992 --a------ C:\WINDOWS\system32\cdmodemo.dll 2007-11-22 17:37 . 2007-11-23 19:55 29 --a------ C:\WINDOWS\AudACM.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-18 15:58 22,575,648 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-12-18 15:57 46,904 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-12-18 15:57 455,712 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-12-18 15:57 307,580 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-12-16 16:36 --------- d-----w C:\Programme\Google 2007-11-08 21:27 --------- d-----w C:\Programme\MSN Messenger 2007-10-24 14:48 --------- d-----w C:\Dokumente und Einstellungen\bp_tobsen\Anwendungsdaten\AdobeUM 2005-05-11 21:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6DB9DF30-ED61-421D-8607-9DAB7D70EC1F}] 2007-12-18 16:56 83456 --a------ c:\windows\system32\connapih.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9BEE2A7-EEE3-4971-8F30-78CC54AC4677}] 2002-08-29 13:00 84992 --a------ C:\WINDOWS\system32\cdmodemo.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "TuneUp MemOptimizer"="E:\tuneup2004\MemOptimizer.exe" [2004-11-09 20:16] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-16 17:37] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="RunDll32 cmicnfg.cpl" [] "NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2006-03-09 14:29 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "kis"="E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2006-03-24 19:09] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=E:\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer] 2005-03-31 08:30 1106944 --a------ C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Programme\Messenger\msmsgs.exe /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck] C:\WINDOWS\system32\dumprep 0 -u [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "PcSync"=E:\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog "Steam"=E:\Valve\Steam\\Steam.exe -silent "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "DAEMON Tools-1033"="E:\daemon.exe" -lang 1033 "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "HP Software Update"=E:\Drucker\HP\HP Software Update\HPWuSchd2.exe "HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe "PCSuiteTrayApplication"=E:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_07\bin\jusched.exe R0 kwspborh;kwspborh;C:\WINDOWS\system32\drivers\brwadndm.dat [] R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 16:34] R2 vcool;vcool;C:\WINDOWS\system32\vcool.sys [2002-11-27 14:55] S3 Ca100v;Smart Cam, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca100v.sys [2002-08-30 05:35] S3 drhard;DRHARD;C:\WINDOWS\System32\DRIVERS\DRHARD.SYS [2005-12-01 09:49] S3 RushTopDevice;RushTopDevice;E:\MSI\Core Center\RushTop.sys [] S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\system32\Drivers\Bulk100.sys [2002-07-26 01:19] . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-18 16:58:52 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180] -> C:\WINDOWS\system32\AppCert\prx93f.dll . Zeit der Fertigstellung: 2007-12-18 17:00:21 - machine was rebooted |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board