|
4. bei rapidshare - wieder zu gross http://rapidshare.de/files/12952997/sys.txt.html Suse |
*RootkitRevealer* Soll ich das einfach runterladen und starten? Kann ich da irgendwas falsch machen? Mein Englisch reicht leider nicht für die Beschreibungen auf der Seite, ich versteh nix. Danke, Suse |
Zitat:
Lade Dir Rootkitrevealer, starte das Programm, klicke auf Scan und dann mach gar nichts am Rechner, bis der Scan zu Ende ist. Danach das Log speichern (File -> Save) und hier posten. |
Hier RootKit - log bei rapidshare: http://rapidshare.de/files/12955698/RootkitReveal.txt.html |
Oha, imho ist das ein ausgewachsener Rootkit. |
Hallo, sehe ich auch so, bin mir aber über die weitergehende Vorgehensweise nicht im klaren (Überprüfung der Dateien), vielleicht weiß Sabina mehr. Mir würde nur einfallen die Dateien mit einer KnoppixCD zu überprüfen, aber mal abwarten was Sabina meint. Aus meiner Sicht sollte das System neu aufgesetzt werden, aber auch da warte ich Sabinas sichtweise der Dinge ab. Grüße Wildone |
??? :confused: hört sich nicht gut an! Suse |
wusste ich es doch ;)...da gibt es einen Dienst und fetten Rootkit obendrein..... Apropos --> http://virus-protect.org/artikel/spyware/apropos1.html Allerdings scheint es eine neue Variante zu sein........... 1. Schritt: aproposfix http://swandog46.geekstogo.com/aproposfix.exe lade aproposfix.exe --> klicke RunThis.bat klicke "enter" und warte, bis sich das Fenster schliesst. dann kopiere die log.txt ab. der 2.Schritt kommt danach ;) ..wird aber wahrscheinlich nicht mehr notwendig sein.. Problem geloest, falls der Fix funktioniert. Wenn nicht, bekommen wir es dennoch weg. ;) ----------------------------------------------------------------------- C:\System Volume Information\_restore{07D7BC8F-8040-4C3C-85C5-ED3B84D81E06}\RP35\A0019025.dll C:\WINDOWS\system32\drivers\proanarp.sys C:\WINDOWS\system32\odfbjsel.exe C:\Programme\Xeroctor C:\Programme\Xeroctor\Cache C:\Programme\Xeroctor\Cache\dns C:\Programme\Xeroctor\Cache\index C:\Programme\Xeroctor\data.bin C:\Programme\Xeroctor\dmbccoin.exe C:\Programme\Xeroctor\PDXUTJADCPC.dll C:\Programme\Xeroctor\resping6.exe C:\Programme\Xeroctor\resping6.lgg C:\Programme\Xeroctor\WAI.dll HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_RSPSC HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_RTLPI32 HKLM\SYSTEM\ControlSet003\Services\rtl8139 HKLM\SYSTEM\ControlSet003\Services\RTLpi32 HKLM\SOFTWARE\CvTVsADtcN39 HKLM\S-1-5-21-2255585776-910089136-1440489552-1007\Software\CvTVsADtcN39 HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153} HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C} HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034} HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9} HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0} HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145} HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19} HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D} HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5} HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F} HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC} HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84} C:\RECYCLER\NPROTECT\02774951.dll C:\RECYCLER\NPROTECT\02777706 |
Sysinternals: Posted: 10 February 2006 at 11:51am | IP Logged It looks like you have something similar to Spyware.Apropos (aka Wingenerics). The name Wingenerics ain't there but it fits a similar pattern. It confuses by using random names for its folder and many files. Start with http://www.sysinternals.com/Forum/fo...s.asp?TID=2077 for other people's experiences. Essentially you would need to reboot in safe mode and rename the hidden drivers that RKR finds in C:\WINDOWS\system32\drivers\ and C:\WINDOWS\system32\. See How to delete WinGenerics from system? The other entries are Norton Protected Recycle, and the System Restore folders making an update. Deckt sich wohl. |
Guten Morgen! @Sabina Deinen Optimismus möcht ich haben..... :) hier das log.file Log of AproposFix v1.1 ************ Running from directory: C:\PopUp's Hilfe\aprospos\aproposfix ************ Warning: batch running in normal mode, not Safe Mode! In normal mode the fix WILL NOT WORK! Warning: C:\WINDOWS\regedit.com present! Registry entries found: ************ No service found! Removing hidden folder: No folder found! Deleting files: Backing up files: Done! Removing registry entries: REGEDIT4 Done! Finished! Ich starte den PC jetzt nochmal und schau was passiert! Danke, Suse |
Ich habe gerade die Cookies gecheckt, leider sind die alten Bekannten wieder da. *winfixer, errorsafe* :kloppen: Es kam zwar noch kein PUP, aber das ist dann ja nur eine Frage der Zeit! PC hatte ich nach aprosposfix neu gestartet. Soll ich das fix doch mal im abgesicherten Modus starten? Suse |
hi, also ich hab bei internetoptionen die cookie einstellung gemacht seit dem bekomme ich sie nicht mehr ob das richtig ist kann ich dir aber nicht sagen weil ich selbst so unerfahren bin. lg paranoit |
Ich hab den abgesicherten Modus gestartet, mit aprosposfix bearbeitet, und hier ist das Resultat: Log of AproposFix v1.1 ************ Running from directory: C:\PopUp's Hilfe\aprospos\aproposfix ************ Warning: C:\WINDOWS\regedit.com present! Registry entries found: [HKEY_LOCAL_MACHINE\Software\CvTVsADtcN39] @="y sIBaZTUUTUUVUyvvyhtlTUUTjWU:pukv:zULRLM7FaZU6KBO7KLUIKH3G3KIVLRL" "Device"="\\\\.\\ROORAME" "DriverPath"="C:\\WINDOWS\\system32\\drivers\\proanarp.sys" "DriverName"="RTLpi32" "HideUninstallerName"="C:\\Programme\\Xeroctor\\dmbccoin.exe" "UninstallerPath"="C:\\WINDOWS\\system32\\lfeewdev.exe" "UninstallerRegKey"="HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C6A6E1E2-64CF-4DC2-BBAA-34ECCA4E2E7C}" "UninstallerParams"="/CTUN" "HDll"="C:\\WINDOWS\\system32\\corsacct.dll" "ServerAddress"="adchannel.contextplus.net" "LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html" "PartnerId"="CP.IST2" "InstallationId"="{Xcbba2e8-a320-06f7-38cb-c1cf21dba46b}" "PageFiltering"=dword:00000001 "ClientName"="C:\\Programme\\Xeroctor\\resping6.exe" ************ Removing hidden service: Service RTLpi32 removed. Removing hidden folder: Deletion of folder Xeroctor succeeded! Deleting files: Deletion of file C:\WINDOWS\system32\drivers\proanarp.sys succeeded! Deletion of file C:\WINDOWS\system32\odfbjsel.exe succeeded! Deletion of file C:\WINDOWS\system32\corsacct.dll succeeded! Deletion of file C:\WINDOWS\system32\lfeewdev.exe succeeded! Backing up files: Done! Removing registry entries: REGEDIT4 [-HKEY_CURRENT_USER\Software\CvTVsADtcN39] [-HKEY_LOCAL_MACHINE\Software\CvTVsADtcN39] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C6A6E1E2-64CF-4DC2-BBAA-34ECCA4E2E7C}] Done! Finished! Ich hab zwar keine Ahnung, aber das sieht schon besser aus als das erste, finde ich...... :confused: :( :daumenhoc Weiterer Bericht folgt! Gruss, Suse |
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\CvTVsADtcN39] [-HKEY_LOCAL_MACHINE\S-1-5-21-2255585776-910089136-1440489552-1007\Software\CvTVsADtcN39] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}] --------------------------------------------------------------------------------------------------------- Den folgenden Text in den Editor kopieren und als fix.bat Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an @ECHO OFF attrib -s -r -h C:\WINDOWS\system32\drivers\proanarp.sys attrib -s -r -h C:\WINDOWS\pvcqN attrib -s -r -h C:\WINDOWS\system32\odfbjsel.exe attrib -s -r -h C:\WINDOWS\system32\ODFBJSEL.lgg attrib -s -r -h C:\Programme\Xeroctor\Cache\dns attrib -s -r -h C:\Programme\Xeroctor\Cache\index attrib -s -r -h C:\Programme\Xeroctor\Cache attrib -s -r -h C:\Programme\Xeroctor\data.bin attrib -s -r -h C:\Programme\Xeroctor\dmbccoin.exe attrib -s -r -h C:\Programme\Xeroctor\PDXUTJADCPC.dll attrib -s -r -h C:\Programme\Xeroctor\resping6.exe attrib -s -r -h C:\Programme\Xeroctor\resping6.lgg attrib -s -r -h C:\Programme\Xeroctor\WAI.dll attrib -s -r -h C:\Programme\Xeroctor del C:\WINDOWS\system32\drivers\proanarp.sys del C:\WINDOWS\pvcqN del C:\WINDOWS\system32\odfbjsel.exe del C:\WINDOWS\system32\ODFBJSEL.lgg del C:\Programme\Xeroctor\Cache del C:\Programme\Xeroctor\Cache\dns del C:\Programme\Xeroctor\Cache\index del C:\Programme\Xeroctor\data.bin del C:\Programme\Xeroctor\dmbccoin.exe del C:\Programme\Xeroctor\PDXUTJADCPC.dll del C:\Programme\Xeroctor\resping6.exe del C:\Programme\Xeroctor\resping6.lgg del C:\Programme\Xeroctor\WAI.dll del C:\Programme\Xeroctor exit ------------------------------------------------------------------------------------------ In den abgesicherten Modus starten.(F8 druecken, wenn der PC startet) - Die fix.bat Datei auf dem Desktop doppelklicken. - Die Datei "fixme.reg" auf dem Desktop doppelklicken (und der Registry beifuegen) dann scanne noch mal mit Rootkitrevealer ;) --------------------------------------------------------------------------------- dann folgendes: hast du eine Realtek -Netzwerkkarte ? Es ist wichtig zu wissen, ehe wir irgendeinen Dienst loeschen. |
die beiden kopiert und gspeichert. - Die Datei "fixme.reg" auf dem Desktop doppelklicken (und der Registry beifuegen) wie macht man das? -------------------------------- Netzwerkadapter (Systemsteuerung - Hardware): -1394-Netzwerkadapter -Realtek RTL 1839/810x Family Fast Ethernet NIC ---------------------------------------------------- Bis jetzt kein PUP mehr! Suse |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board