Startseite verändert - http://ssearch.biz entfernen |
|
---|---|
23.07.2004, 16:30
Member
Themenstarter Beiträge: 15 |
|
|
|
23.07.2004, 16:50
Member
Beiträge: 1095 |
#32
Hi Murphy
Hatte dich schon vermisst Wir haben hier schon ein bißchen Vorarbiet geleistet. Dein Mail kam übrigens nicht an, kannst du die Trotzdem nochmal senden bzw. die Addy überprüfen. So nun zum Prob Versuch mal den Dienst (Systemsteuerung/Verwaltung/Dienste) Oder Start ausführen/services.msc pnpsvc zu finden Stellt dann mal auf deaktiviert und starte den Rechner neu. Schau ob der Dienst gestartet wurde. Wenn nicht ist alles OK dann sollest du die DLL löschen können. Wenn nicht müssen wir härter durchgreifen Hast du zufällig eine 2. Betriebssystem auf em Rechner? Wenn ja kannst du wie unten beschrieben vorgehen. Hier poste ich mal den Text der EMail, die mir derjenige geschickt hat der auch die 4 DLL' gefunden hat. @Vol... Tschulidigung das ich dir Vorgreife, aber Murphy braucht die Anweisungen. Zitat Ich habe Win 2000 - und der netsvcs Befehl ist richtig - das ist schonGruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
23.07.2004, 16:58
...neu hier
Beiträge: 2 |
#33
Moin zusammen,
hier nun der oben erwähnte 'mitlesende User' - die Dateien waren von mir paff scheint mit seinen vermutungen richtig zu liegen - bei mir konnte ich unter Annahme des obigen den Hijacker loswerden. Aber lieber von vorne .. Plattform: Win2000P SP4 Verhalten des Hijackers: Bei Neustart sowie beim neuen Öffnen eines Fensters (CTRL-N) des Internet Explorers wird versucht zuerst kurz die eigentliche Homepage anzuzeigen - Ergebnis: 'konnte nicht geöffnet werden' - und dann die http://ssearch.biz/?wmid=1010. Bei einem erneuten click auf den Homepage-Button klappt alles wieder normal. Desweiteren sind die Back und Forward-Buttons nicht anwählbar (allerdings die entsprechenden Shortcuts ALT-Pfeilvorwärts bzw. ALT-Pfeilrückwerts). Scanner: Weder Hijackthis noch S&D, Adaware, Findnfix, BHODeamon noch der CWShredder haben etwas entdeckt oder etwas fixen können. Erkennungsmerkmale: Im Ereignislog finden sich einträge eines Dienstes namens pnpsvc mit dem Inhalt "Die Beschreibung der Ereigniskennung (100) in (pnpsvc) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Ereignisinformationen: pnpsvc." Was ist passiert: Bei mir hat sich ein Dienst namens pnpsvc eingeschlichen, der per svchost gestartet wird. Die Details des Dienstes lauten (wie schon oben gesagt) : 'Plug and Play svc service' (Name) 'Provides plug and play svc devices support' (Beschreibung) automatisch (Starttyp) 'C:\WINNT\system32\svchost.exe -k netsvcs' (Befehl) nutzt das lokale Systemkonto inkl. 'Datenaustausch zwischen Dienst und Desktop zulassen' hat keine Abhängigkeiten Dieser Dienst startet die Gruppe netsvcs, die in der Registry eingetragen ist und zu denen u.a. auch der Dienst pnpsvc gehört, dessen Service DLL die eigentliche schädlich dll enthält. In der Registry ist pnpsvc bei mir in den folgenden Schlüsseln zu finden: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC\0000\\Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC\0000\Control\\ActiveService HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\\Sources HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Enum\\0 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc bzw. selbiges unter den ControlSets 002 und Current (also HKLM\SYSTEM\ControlSet002\* und HKLM\SYSTEM\CurrentControlSet\*) Bei den Keys *\pnpsvc\Parameters findet sich dann auch ein Value mit dem Namen 'ServiceDll' und dem Inhalt 'c:\winnt\system32\behknqtw.dll' selbiges auch bei den keys *\Application\pnpsvc im Value Namens 'EventMessageFile'. Diese DLL (BEHKNQTW.dll) existiert auch unter anderem Namen aber exakter Dateigröße (67kb) und Erstellungsdatum (29.01.2000 19:35) im selben Verzeichnis: CFILORUX.dll LORUX[^a.dll NQTWZ]`c.dll Ich nehme an, daß die weiteren DLLs zur Absicherung und Fortpflanzung dienen - aber genaues weiß ich nicht. Außerdem existiert eine Datei namens pnpsvc.inf in C:\WINNT\system32. Aufgrund der Registry-Einträge nehme ich an, daß sich der Dienst bei dieversen Netzwerk-Events immer wieder selbst aufruft und kontrolliert, ob in der Registry noch alles so ist, wie er möchte - diese Events werden dann auch in der Ereignisanzeige von Windows 2000 angezeigt. Nun das Wichtigste, wie bin ich Ihn losgeworden .. Zuerst habe ich sowohl die pnpsvc.inf als auch die DLLs CFILORUX.dll, LORUX[^a.dll, NQTWZ]`c.dll gelöscht - also alle dieser DLLs, die sich löschen lassen. Die BEHKNQTW.dll konnte nicht gelöscht werden, weil sie benutzt wurde - logisch, der Dienst läuft ja. Also - da sich der Dienst auch in der Registry unter SAFEBOOT eingetragen hat nehme ich an, daß er auch im abgesicherten Modus versucht zu starten (ich habe aber keine Ahnung, ob das stimmt - ich bin kein Windows-Registry-Crack - habe ich mit einem alternativen Betriebssystem neu gebootet (bei mir eine andere Windows Installation auf der Platte, knoppix oder die Systemwiederherstellungsconsole sollte ebenfall funktionieren) und die letzte der DLLs gelöscht. Dann habe ich im abgesicherten modus nochmal neu gebootet und zuerst den Dienst pnpsvc deaktiviert und dann alle Vorkommen des pnpsvc in der Registry gelöscht. HIERBEI ABER VORSICHT! Die Einträge HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc müssen wohl komplett gelöscht werden. In den Einträgen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\\Sources muß im Value der Wert pnpsvc entfernt werden - der Rest gehört wohl da hin! Selbiges natürlich auch unter den ControlSets 002 und Current (also HKLM\SYSTEM\ControlSet002\* und HKLM\SYSTEM\CurrentControlSet\*) Für obiges aber keine Garantie - nicht das hinterher jemand meckert, ich hätte seine Installation zerschossen! Vor dem Ändr der Registry bitte auch immer ein Backup anlegen! Anschließend habe ich nochmals neu gebootet und dann war ich die Pest los. Anscheinend habe ich mir dieses Teil über eine Sicherheitslücke in der JAVA VM eingefangen - ANTIVIR hat jedenfalls im besagten Ereignislog einen entsprechenden Eintrag direkt 20 Sek. vor dem ersten Auftauchen des pnpsvc Dienstes gemacht. Warum ich diese Meldung nicht gesehen habe oder ob ich sie einfach weggeklict habe, kann ich im nachhinneinnicht mehr sagen. So - ich hoffe obiges hilft auch jemand anderem! cu fly PS.: Kein problem mit dem posten meiner mail - mußte nur eben ans Telefon und da war mein ganzes Geschreibsel schon wieder futsch |
|
|
23.07.2004, 17:00
Member
Beiträge: 13 |
#34
hallo hatte die auswertungen in einem neuen theard geschickt. danke . gruss ac
|
|
|
23.07.2004, 18:16
Member
Beiträge: 1095 |
#35
@murphy
Probiere mal folgendes Lade dir die Datei Killbox.exe runter http://home8.inet.tele.dk/fbj/ASW.htm Auf der Seite ist auch eine Anleitung , allerdings dänisch (glaube ich ) Starten und den grünen Pfeil links unten Drücken. Unter "Browse" die DLL auswählen, so das sder Pfad dann im Textfeld steht Dann "AddFile" im Unteren Teil drücken Dann Remove on Reboot. Selbstverständlich vorher alle Fenster schließen !! Dann bootet der Rechner neu und löscht die Datei bevor Sie geladen weden kann. Hoffe das funktioniert ? Alles ohne Gewähr Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
23.07.2004, 18:22
Member
Beiträge: 13 |
#36
hallo hier sind meine daten mit dem problem mit der startseite. danke. gruss ac
Logfile of HijackThis v1.98.0 Scan saved at 16:59:36, on 23.07.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\JADOHIDB.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\MSHTA.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.262.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {C9168A21-D41C-11D8-9244-0040231C71FF} - C:\WINDOWS\SYSTEM\EDIM.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [LexStart] Lexstart.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [DNSCache] C:\WINDOWS\SYSTEM\JADOHIDB.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O12 - Plugin for .cfm: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0740cd2d85f5de4af705/netzip/RdxIE601_de.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab |
|
|
23.07.2004, 18:32
Member
Beiträge: 1095 |
#37
Zitat ac01_de posteteanderer Thread ist schon beantwortet Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.07.2004 um 18:33 Uhr von paff editiert.
|
|
|
23.07.2004, 18:46
Member
Beiträge: 13 |
#38
hallo pfaff, hallo murphy. besten dank für den tip. habe zwei verdächtige bzw. sehr verdächtige datein gefunden eine ist genau 64 kb und ist vom 29. Jan 2000 um 19.35, d.h. die zweite datei ist es auch. name der datein NQTWZ]c.dll = 67 kb. zweite datei EHKNQTWZ.dll größe 0 kb, sonst beide gleichabgelegt in C:windows/system.
nun ist nur die frage wie soll ich die datein löschen. manuel oder gibts eine extra software dafür ??? vorab schon mal besten dank. gruss ac |
|
|
23.07.2004, 19:19
Member
Beiträge: 1095 |
#39
@ac01_de
Schau mal meinen Post von 18:16 an. Ist aber nur eine Idee. Weiß nicht obs futzt. gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.07.2004 um 19:19 Uhr von paff editiert.
|
|
|
23.07.2004, 19:52
Member
Themenstarter Beiträge: 15 |
#40
Hallo,
also, ich habe die killbox.exe geladen. Allerdings konnte ich die besagte .dll nicht in das Fenster unten bekommen. Also habe ich versucht, sie mit dem Button "Find and kill this file" zu löschen. Dann stand da, das die Datei gelöscht sei. Dem war aber nicht so. Ich habe auch kein zweites BS. Der Dienst lässt sich nicht deaktivieren. Was soll ich jetzt machen? |
|
|
23.07.2004, 20:01
Member
Beiträge: 1095 |
#41
@murphy
Schau dir mal das an http://home8.inet.tele.dk/fbj/TheKillBoxBrugsanvisning.htm Dann scrolle zum 2 Bild Erst oben mit "Browse" die Datei auswählen Dann den Knopf drücken auf den im Bild der "Rote Pfeil" zeigt. Dann öffnet sich der untere Teil Dann dort Drücken wo der Rote Kreis ist "Add File" Dann wird die Datei nach unten übernommen Dann "Remove on Reboot" drücken Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.07.2004 um 20:02 Uhr von paff editiert.
|
|
|
23.07.2004, 20:07
Member
Themenstarter Beiträge: 15 |
|
|
|
23.07.2004, 20:11
Member
Beiträge: 1095 |
#43
Zitat Murphy posteteWann zeigt es das an? __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
23.07.2004, 20:29
Member
Beiträge: 13 |
#44
@ pfaff, murphy. besten dank für die hilfe.
hallo hatte alles so gemacht wie du es mir in dem anderen theard beschrieben hattest. habe also all die programme durchlaufen laufen. und sie da nach dem neustart und dem öffnen des ie ist die startseite verschwinden und es kommt auch vom av kein warnung mehr über den tr/small.dld.fo virus. scheint also weg zu sein, ich hoffe es. läuft alles normal. aber av hatte trotzdem nach 71 verseuchte archive gefunden ( fast alles coderun mit jar. endung ) sind die jetzt noch von bedeutung für mich oder kann ich damit leben ???? ich post trotzdem nochmal das ergebniss des logfile von av. alleso nochmal besten dank für die hilfe. grüsse ac logfile: rstellungsdatum der Reportdatei: 23.07.2004 19:57 AntiVir®/9x Personal Edition v6.26.00.01 vom 06.07.2004 VDF-Datei v6.26.0.41 (0) vom 23.07.2004 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 88054 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-WURGE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ EMail ___________________________________________ Plattform: Windows 98 Windows-Version: 4.10.2222 A Benutzername: - Prozessor: Pentium Arbeitsspeicher: 261400 KB frei Versionsinformationen: AVWIN.DLL : v6.26.01.01 507944 06.07.2004 14:42:54 AVEWIN32.DLL : v6.26.0.10 430592 21.07.2004 11:57:08 SYS_RW16.DLL : v6.19.0 12800 06.07.2004 10:51:50 SYS_RW32.DLL : v6.19.0 16384 06.07.2004 10:51:50 AVGCTRL.EXE : v6.26.00.00 81920 26.05.2004 14:42:10 AVGUARD.VXD : v6.26.0.10 371871 21.07.2004 10:45:20 AVPACK32.DLL : v6.22.00.24 299048 09.06.2004 16:05:52 AVGETVER.DLL : v6.22.00.00 24576 20.01.2004 14:13:58 AVWIN.DLL : v6.26.01.01 507944 06.07.2004 14:42:54 AVSHLEXT.DLL : v6.22.00.00 57344 20.01.2004 14:14:00 AVSched32.EXE : v6.23.00.00 110632 20.01.2004 14:13:58 AVSched32.DLL : v6.23.00.00 122880 20.01.2004 14:14:00 AVREG.DLL : v6.22.00.00 41000 20.01.2004 14:14:00 AVRep.DLL : v6.26.00.09 507944 23.07.2004 11:05:40 INETUPD.EXE : v6.26.00.01 200704 27.05.2004 12:50:44 INETUPD.DLL : v6.26.00.01 147456 27.05.2004 12:50:44 MFC42.DLL : v6.00.8665.0 995383 27.10.1999 14:35:32 MSVCRT.DLL : v6.00.8797.0 278581 07.03.2000 15:22:14 CTL3D32.DLL : v2.31.000 27136 21.08.1996 00:00:00 CTL3DV2.DLL : v2.31.000 27632 05.05.1999 22:22:00 Konfigurationsdaten: Name der Konfigurationsdatei: C:\PROGRAMME\AVPERSONAL\AVWIN.INI Name der Reportdatei: C:\PROGRAMME\AVPERSONAL\LOGFILES\AVWIN.LOG Startpfad: C:\PROGRAMME\AVPERSONAL Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [X] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\WINDOWS\TEMP [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/9x Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: hoch Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom Start des Suchlaufs: 23.07.2004 19:57 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\WINDOWS WIN386.SWP Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery AlexaRelated.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NewsUpdate5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetComGmbH.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NewsUpdate.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NewsUpdate1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NewsUpdate2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NewsUpdate3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NewsUpdate4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NewsUpdate6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Unknown9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WebDialer.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\WINDOWS\Temporary Internet Files\Content.IE5\CJQLMBSX coderunROVBb[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunROVLw[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRObAN[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\UDWLSHUJ coderunRPF20[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\CTILUTUF coderunROXck[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\O1K3M56P coderunRN5XH[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\U7Q9YHQF coderunROmL5[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\DXM7MP6E coderunRQbL1[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\YVXF7DRN coderunROe7A[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\56944WH5 coderunROe2S[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRPv8z[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\3ULSL9XG coderunRPHy6[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\IXFIBSIO coderunRNSWZ[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRNSXH[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\OPUXSXGJ coderunRN3A4[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRPdcw[1].jar ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\WINDOWS\Temporary Internet Files\Content.IE5\BNJISGMW coderunROgHu[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\C3G9S1UZ coderunRPCmx[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\PU39AXP1 coderunRI881[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRPTMg[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\WTIJSXI7 coderunRPRWk[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\41SX2HIL coderunRPg1c[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRPt6N[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\G9YVSTEN coderunRPmxg[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\0TMBOPQV coderunRPM4P[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunROVum[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRPSV2[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRPws7[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\STQ3KLQV coderunROV0T[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\8N0TUTG5 coderunRNS5V[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\CXOPKZSB coderunRN3A3[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunROo72[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRPRLk[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D dvdr70_001_fus_eng[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\WINDOWS\Temporary Internet Files\Content.IE5\0BKVMV21 coderunROV6k[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D coderunRQY7Q[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\WINDOWS\Temporary Internet Files\Content.IE5\N79SXZHM coderunRFOhO[1].jar ArchiveType: ZIP --> VerifierBug.class [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Classloader.D C:\RECYCLED DC1397.CAB ArchiveType: CAB (Microsoft) --> MediaTicketsInstaller.ocx [FUND!] Ist das Trojanische Pferd TR/Dldr.PurScan.B.1 C:\test o-clpd30.rar ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Ende des Suchlaufs: 23.07.2004 20:20 Benötigte Zeit: 23:47 min 1037 Verzeichnisse wurden durchsucht 53463 Dateien wurden geprüft 1 Warnung wurde ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 71 Viren bzw. unerwünschte Programme wurden gefunden [/u] |
|
|
23.07.2004, 20:33
Member
Themenstarter Beiträge: 15 |
#45
@paff
Wenn ich den Button "Add file" im unteren Fenster anklicke. Oben steht der Pfad in der Leiste und nachdem ich den Button angeklickt habe, erscheint die Meldung und die Leiste oben ist wieder leer. Ich hatte neulich auch schon mal mit "MoveOnBoot" versucht, eine .dll zu löschen. Hat auch nicht funktioniert. 01:49 Hurrrrrrrrrrrraaaaaaaa!!! Ich bin ihn los!!!!!!!!!!!! Dieser Beitrag wurde am 24.07.2004 um 01:51 Uhr von Murphy editiert.
|
|
|
ich hatte gestern den von paff geposteten thread gelesen und daraufhin meinen Ordner nach so einer Datei durchsucht. Gestern habe ich komischerweise nichts gefunden. Nachdem freakb aber heute schrieb, dass er was auf seinem System gefunden hat, suchte ich nochmal. Und siehe da, heute fand ich eine Datei mit Datum vom 29.01.2000 um 19:35. Bei mir heißt sie allerdings KNQTWZ]`.dll und ist 68096 Bytes groß. Ich habe versucht, sie zu löschen. Leider ohne Erfolg. Dann habe ich auch gleich die Registry durchsucht und werde gleich alle gefundenen Einträge posten. Wie ihr selbst gleich sehen werdet, fand der letzte Schreibzugriff am 17.07.2004 um 22:03 statt. Die Datei muss etwas mit dem Problem zu tun haben, denn genau zu diesem Zeitpunkt fing der ganze Mist bei mir an.
@ac01_de
Suche nochmal und weite die Suche ruhig auf das ganze System aus. Schaue in "Geändert am" einfach nach dem Datum: 29.01.2000. Vielleicht findest du ja jetzt was.
@paff
Wie kann ich die Datei löschen? Der Zugriff wird mir verweigert.
Hier nun die Registry-Einträge:
Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: EventMessageFile
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll
Wert 1
Name: TypesSupported
Typ: REG_DWORD
Daten: 0x7
Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Parameters
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: ServiceDll
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll
Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\pnpsvc
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: EventMessageFile
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll
Wert 1
Name: TypesSupported
Typ: REG_DWORD
Daten: 0x7
Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pnpsvc\Parameters
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: ServiceDll
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll
Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\pnpsvc
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: EventMessageFile
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll
Wert 1
Name: TypesSupported
Typ: REG_DWORD
Daten: 0x7
Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: ServiceDll
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll
Gruß Murphy