Scardclnt.exe evtl. befallen - wie entfernen ?? |
|
---|---|
25.04.2005, 23:56
Member
Beiträge: 11 |
|
|
|
26.04.2005, 13:25
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@ChOcO
•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SCardClnt Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) In Start - Ausführen eingeben: cmd In dem Kommandofenster die folgenden Befehle eingeben und nach jedem die Eingabetaste drücken: sc delete SCardClnt •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken reinkopieren: C:\WINDOWS\System32\SCardClnt.exe und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes" PC neustarten loesche die Eintraege, die ich weiter unten aufgefuehrt habe Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SCardClnt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SCardClnt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDCLNT [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardClnt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\SCardClnt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\SCardClnt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCARDCLNT HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SCardClnt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCardClnt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCardClnt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCARDCLNT HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardClnt Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit ----------------- •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
26.04.2005, 13:27
Member
Beiträge: 239 |
#3
C:\WINDOWS\System32\SCardClnt.exe
Lass diese Datei hier mal online prüfen: http://www.kaspersky.com/de/remoteviruschk.html Rolfs |
|
|
26.04.2005, 13:28
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Rolfs
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing) http://www.informationsarchiv.net/foren/p_beitrag-97411.html#97411 http://www.paules-pc-forum.de/phpBB2/ptopic,283554.html http://www.sophos.com/virusinfo/analyses/w32rbotys.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
26.04.2005, 18:23
Member
Themenstarter Beiträge: 11 |
#5
Hallo Sabina
habe versucht die Datei SCardClnt einzufügen, ging irgendwie nicht Die Datei im notepad geöffnet und dann reinkopiert. Kam dann eine Meldung das irgendwie nichts auffälliges gefunden wurde, konnte ich aber nicht kopieren und deswegen auch nicht hier posten. Weiss nicht wie ich diese Anweisung ausführen soll, bzw weiss genau damit gemeint ist ... :-( Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit escan runtergeladen update downgeloaded und im abgesicherten Modus einen scan durchgeführt. Ergebnis: Tue Apr 26 17:05:46 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Tue Apr 26 17:05:46 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. Tue Apr 26 17:33:15 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.* Zusammenfassung: Tue Apr 26 17:56:10 2005 => Virus Database Date: 2005/04/25 Tue Apr 26 17:56:10 2005 => Virus Database Count: 127328 Tue Apr 26 17:56:29 2005 => AV Library Unloaded (3)... Tue Apr 26 18:00:00 2005 => ********************************************************** Tue Apr 26 18:00:00 2005 => MicroWorld AntiVirus Toolkit Utility. Tue Apr 26 18:00:00 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc. Tue Apr 26 18:00:00 2005 => ********************************************************** Tue Apr 26 18:00:00 2005 => Version 6.1.1 (C:\DOKUME~1\Babe2000\LOKALE~1\Temp\mwavscan.com) Tue Apr 26 18:00:00 2005 => Log File: C:\DOKUME~1\Babe2000\LOKALE~1\Temp\MWAV.LOG Tue Apr 26 18:00:00 2005 => Last Scan Date and Time: 26.04.2005 17:04:10 Tue Apr 26 18:00:00 2005 => MWAV Registered: FALSE. Tue Apr 26 18:00:00 2005 => MWAV Mode: Only Scan files. Tue Apr 26 18:00:00 2005 => Latest Date of files inside MWAV: 25 Apr 2005 09:31:39. Tue Apr 26 18:00:02 2005 => AV Library Loaded... Tue Apr 26 18:00:02 2005 => MWAV doing self scanning... Tue Apr 26 18:00:02 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.exe Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\Getvlist.exe Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.dll Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavssdi.dll Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavssi.dll Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavvlg.dll Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\msvlclnt.dll Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\ipc.dll Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\main.avi Tue Apr 26 18:00:03 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\virus.avi Tue Apr 26 18:00:03 2005 => MWAV files are clean. Tue Apr 26 18:00:09 2005 => MWAV License Agreement and conditions NOT accepted by user. Aborting... Tue Apr 26 18:00:09 2005 => AV Library Unloaded (2)... Tue Apr 26 18:01:29 2005 => ********************************************************** Tue Apr 26 18:01:29 2005 => MicroWorld AntiVirus Toolkit Utility. Tue Apr 26 18:01:29 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc. Tue Apr 26 18:01:29 2005 => ********************************************************** Tue Apr 26 18:01:29 2005 => Version 6.1.1 (C:\DOKUME~1\Babe2000\LOKALE~1\Temp\mwavscan.com) Tue Apr 26 18:01:29 2005 => Log File: C:\DOKUME~1\Babe2000\LOKALE~1\Temp\MWAV.LOG Tue Apr 26 18:01:29 2005 => Last Scan Date and Time: 26.04.2005 17:04:10 Tue Apr 26 18:01:29 2005 => MWAV Registered: FALSE. Tue Apr 26 18:01:29 2005 => MWAV Mode: Only Scan files. Tue Apr 26 18:01:29 2005 => Latest Date of files inside MWAV: 25 Apr 2005 09:31:39. Tue Apr 26 18:01:32 2005 => AV Library Loaded... Tue Apr 26 18:01:32 2005 => MWAV doing self scanning... Tue Apr 26 18:01:32 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.exe Tue Apr 26 18:01:32 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\Getvlist.exe Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.dll Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavssdi.dll Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavssi.dll Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavvlg.dll Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\msvlclnt.dll Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\ipc.dll Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\main.avi Tue Apr 26 18:01:33 2005 => Scanning File C:\DOKUME~1\Babe2000\LOKALE~1\Temp\virus.avi Tue Apr 26 18:01:33 2005 => MWAV files are clean. Tue Apr 26 18:01:39 2005 => Virus Database Date: 2005/04/25 Tue Apr 26 18:01:39 2005 => Virus Database Count: 127328 Habe schon vorher versucht Alexia mit Sbybot und Adaware zu entfernen, wie man sieht ohne Erfolg. Jetzt weiss ich aber auch warum Antivir den nicht findet. Hilft hier ein noch nicht so bekanntes Antivirenprogramm besser ?? Der Transfer.Profidialer ist immer noch da ... Bin für weitere Tips dankbar. Zum Schluss noch mein aktuelles Hijack log: Logfile of HijackThis v1.99.1 Scan saved at 18:22:19, on 26.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE D:\Programme\FRITZ!DSL\Awatch.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\Babe2000\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Babe2000\LOKALE~1\Temp\kavss.exe C:\Programme\Windows NT\Zubehör\wordpad.exe D:\Programme\GMX Programme\GMX Internet Manager1\GMX_Internet_Manager.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\hijackthis_199\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AWatch] D:\Programme\FRITZ!DSL\Awatch.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{895F44B8-6AC9-4E48-887A-EA772613F95A}: NameServer = 217.237.150.97 217.237.149.161 O17 - HKLM\System\CCS\Services\Tcpip\..\{CD1DB819-7181-4CB2-98DF-6EE90834BE9D}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe MfG ChOcO Dieser Beitrag wurde am 26.04.2005 um 23:57 Uhr von ChOcO editiert.
|
|
|
27.04.2005, 12:33
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus __________ MfG Sabina rund um die PC-Sicherheit |
|
|
27.04.2005, 18:33
Member
Themenstarter Beiträge: 11 |
#7
Hallo Sabina,
hier nun die Kopien der letzten Tage: 27.04.2005 18:03 40.128 perfc009.dat 27.04.2005 18:03 311.740 perfh009.dat 27.04.2005 18:03 48.354 perfc007.dat 27.04.2005 18:03 316.924 perfh007.dat 27.04.2005 18:03 723.744 PerfStringBackup.INI 27.04.2005 17:59 2.206 wpa.dbl 27.04.2005 17:58 251 spupdwxp.log 27.04.2005 17:57 111.784 FNTCACHE.DAT 25.04.2005 23:14 0 TFTP1112 25.04.2005 23:11 0 TFTP564 25.04.2005 22:47 0 TFTP1168 25.04.2005 22:45 0 TFTP220 25.04.2005 22:37 0 TFTP1816 25.04.2005 22:11 43.008 TFTP1192 25.04.2005 21:50 0 TFTP1476 23.04.2005 22:47 0 h323log.txt 23.04.2005 22:05 25.065 wmpscheme.xml 23.04.2005 21:59 261 $winnt$.inf 23.04.2005 21:55 2.951 CONFIG.NT 23.04.2005 21:55 16.832 amcompat.tlb 23.04.2005 21:55 23.392 nscompat.tlb 23.04.2005 21:55 1.536 TrueSoft.dat 23.04.2005 21:55 456 pthsp.dat 23.04.2005 21:53 488 logonui.exe.manifest 23.04.2005 21:53 488 WindowsLogon.manifest 23.04.2005 21:53 749 wuaucpl.cpl.manifest 23.04.2005 21:53 749 ncpa.cpl.manifest 23.04.2005 21:53 749 nwc.cpl.manifest 23.04.2005 21:53 749 cdplayer.exe.manifest 23.04.2005 21:53 749 sapi.cpl.manifest 23.04.2005 21:51 21.740 emptyregdb.dat 27.04.2005 02:57 0 799240.dmp 27.04.2005 02:57 0 WER50.tmp 27.04.2005 00:58 0 SPEEnc.Dup 27.04.2005 00:57 3.124.102 MWAV.LOG 27.04.2005 00:56 4.327 mwXface.log 26.04.2005 19:06 2.048.000 Acr1.tmp 26.04.2005 16:22 53 kb.log 26.04.2005 15:28 16.384 ~DF8DD4.tmp 25.04.2005 23:09 1.432.867 ~updateB717.exe 25.04.2005 12:21 12.067 daily.avc 25.04.2005 12:21 10.288 avp.klb 25.04.2005 12:02 349.696 viewtcp.exe 25.04.2005 11:45 92.160 loadtxt.exe 25.04.2005 11:24 1.601 ViewTcp.lan 24.04.2005 18:02 177.216 mwavscan.com 24.04.2005 17:41 7.187 license.txt 23.04.2005 22:39 280.096 Office 2000 SR-1 Premium Setup(0002)_MsiExec.txt 23.04.2005 22:34 29.937 offcln9.log 23.04.2005 22:34 1.351 Office 2000 SR-1 Premium Setup(0002).txt 23.04.2005 13:53 8.904 ext004.avc 23.04.2005 13:53 47.452 worm005.avc 23.04.2005 13:53 35.337 gen001.avc 23.04.2005 13:53 83.575 unp022.avc 23.04.2005 13:53 27.579 x-files.avc 23.04.2005 13:53 48.388 krnexe32.avc 23.04.2005 13:53 34.429 gen999.avc 23.04.2005 13:53 1.421 avp.set 23.04.2005 13:53 76.610 virus015.avc 23.04.2005 13:53 57.607 unp011.avc 23.04.2005 13:53 19.031 troj026.avc 23.04.2005 13:53 15.830 virus020.avc 23.04.2005 13:53 11.087 fa.avc 23.04.2005 13:53 63.616 ca.avc 23.04.2005 13:53 9.522 malw004.avc 21.04.2005 17:42 59.337 unp014.avc 21.04.2005 17:42 5.144 smart.avc 21.04.2005 17:42 26.800 krnengn.avc 21.04.2005 17:42 39.390 unp017.avc 21.04.2005 17:42 32.581 krnexe.avc 20.04.2005 13:34 61.716 krnunp.avc 16.04.2005 13:20 262 daily-x.avc 16.04.2005 13:20 83.794 unp019.avc 16.04.2005 13:20 78.447 virus011.avc 16.04.2005 13:20 262 daily-ex.avc 16.04.2005 13:20 51.688 troj025.avc 16.04.2005 13:20 85.508 unp013.avc 27.04.2005 18:05 1.994 WindowsUpdate.log 27.04.2005 18:00 29.246 spupdsvc.log 27.04.2005 18:00 360 DtcInstall.log 27.04.2005 18:00 630 wmsetup.log 27.04.2005 18:00 316.640 WMSysPr9.prx 27.04.2005 18:00 103.542 iis6.log 27.04.2005 18:00 23.918 comsetup.log 27.04.2005 18:00 13.760 ntdtcsetup.log 27.04.2005 18:00 2.504 ocmsn.log 27.04.2005 18:00 4.696 imsins.log 27.04.2005 18:00 23.981 tsoc.log 27.04.2005 18:00 1.061 tabletoc.log 27.04.2005 18:00 3.743 medctroc.Log 27.04.2005 18:00 2.314 msgsocm.log 27.04.2005 18:00 32.643 ocgen.log 27.04.2005 18:00 38.151 FaxSetup.log 27.04.2005 18:00 387.651 setupapi.log 27.04.2005 17:59 3.557 netfxocm.log 27.04.2005 17:59 23.342 msmqinst.log 27.04.2005 17:59 1.165 OEWABLog.txt 27.04.2005 17:59 0 0.log 27.04.2005 17:59 709.668 setuplog.txt 27.04.2005 17:57 2.048 bootstat.dat 27.04.2005 17:55 431.192 svcpack.log 27.04.2005 17:55 1.374 imsins.BAK 27.04.2005 17:50 200 cmsetacl.log 27.04.2005 17:50 680 win.ini 27.04.2005 17:49 1.330 sessmgr.setup.log 27.04.2005 17:34 741 avmcoins.log 27.04.2005 17:26 5.752 SchedLgU.Txt 27.04.2005 00:07 16.384 Active Setup Log.txt 26.04.2005 18:24 267 wiadebug.log 26.04.2005 17:59 50 wiaservc.log 26.04.2005 17:56 247.224 ntbtlog.txt 26.04.2005 15:40 2.184 xpsp1hfm.log 26.04.2005 15:40 5.876 KB823980.log 25.04.2005 21:46 478 Windows Update.log 25.04.2005 21:46 2.102 avmadd32.log 25.04.2005 21:44 472 avmenum32.log 25.04.2005 21:39 12.059 avmw2k.log 24.04.2005 18:56 233 BUHL.INI 23.04.2005 22:44 0 Sti_Trace.log 23.04.2005 22:41 1.348 regopt.log 23.04.2005 22:41 231 system.ini 23.04.2005 22:38 400 ODBC.INI 23.04.2005 22:38 4.335 ODBCINST.INI 23.04.2005 22:38 59 vbaddin.ini 23.04.2005 22:24 299.552 WMSysPrx.prx 23.04.2005 22:03 8.192 REGLOCS.OLD 23.04.2005 22:00 174.033 setupact.log 23.04.2005 21:58 622 setuperr.log 23.04.2005 21:55 0 control.ini 23.04.2005 21:53 749 WindowsShell.Manifest 23.04.2005 21:50 36 vb.ini 27.04.2005 18:12 0 sys.txt 27.04.2005 18:11 4.831 system.txt 27.04.2005 18:09 8.119 systemtemp.txt 27.04.2005 18:07 92.431 system32.txt 27.04.2005 17:57 267.939.840 hiberfil.sys 27.04.2005 17:57 402.653.184 pagefile.sys 27.04.2005 17:41 47.564 NTDETECT.COM 27.04.2005 17:41 251.184 ntldr 27.04.2005 00:56 4 AVPCallback.log 26.04.2005 17:53 0 23990098.$$$ 23.04.2005 21:55 0 IO.SYS 23.04.2005 21:55 0 MSDOS.SYS 23.04.2005 21:55 0 AUTOEXEC.BAT 23.04.2005 21:55 0 CONFIG.SYS 23.04.2005 21:48 216 boot.ini |
|
|
27.04.2005, 19:38
Ehrenmitglied
Beiträge: 29434 |
#8
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/ Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten C:\WINDOWS\system32\viewtcp.exe C:\WINDOWS\system32\loadtxt.exe C:\WINDOWS\system32\TFTP1112 C:\WINDOWS\system32\TFTP564 C:\WINDOWS\system32\TFTP1168 C:\WINDOWS\system32\TFTP220 C:\WINDOWS\system32\TFTP1816 C:\WINDOWS\system32\TFTP1192 C:\WINDOWS\system32\TFTP1476 --------------- CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp • ewido security suite http://www.ewido.net/en/?section=download 1.Tool updaten 2. Scannen (im abgesicherten Modus) -------------- info it found an infection (backdoor.hacdef.a - with a file I guess it was using in my temp folder - viewtcp.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
27.04.2005, 21:50
Member
Themenstarter Beiträge: 11 |
#9
Hallo Sabina,
habe alle temp Dateien gelöscht und den ewido security suite im abgesicherten Modus scannen lassen ... der hat nichts gefunden. Die Dateien konnte ich nicht prüfen da ich sich nicht hochladen konnte obwohl ich meiner Sygate Firewall auf Allow all eingestellt habe ??´Läuft aber jetzt schon viel besser .. Dieser Beitrag wurde am 27.04.2005 um 21:50 Uhr von ChOcO editiert.
|
|
|
27.04.2005, 22:51
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@ChOcO
•KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\viewtcp.exe C:\WINDOWS\system32\loadtxt.exe C:\WINDOWS\system32\TFTP1112 C:\WINDOWS\system32\TFTP564 C:\WINDOWS\system32\TFTP1168 C:\WINDOWS\system32\TFTP220 C:\WINDOWS\system32\TFTP1816 C:\WINDOWS\system32\TFTP1192 C:\WINDOWS\system32\TFTP1476 PC neustarten Start-->Ausfuehren--> %temp% (reinkopieren) suche eine kb.log und poste mir den Inhalt --------------------- INFO: viewtcp.exe davor noch ein scan mit: Jottis Malwarescan 2.99-TRANSITION_TO_3.00 Datei, die hochgeladen und gescannt werden soll: Datei: viewtcp.exe Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Embedded.Backdoor.HacDef.a gefunden (mögliche Variante) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
28.04.2005, 14:40
Member
Themenstarter Beiträge: 11 |
#11
Hallo Sabina,
die datei viewtcp.exe ist nicht vorhanden ??? Habe über die Suche-Funktion von Windows versucht die zu finden ... nicht da. Hier nun der Log den du haben wolltest: C:\WINDOWS\system32\TFTP1476 Delete on Reboot |
|
|
28.04.2005, 16:03
Ehrenmitglied
Beiträge: 29434 |
#12
so ? und die anderen alle ? hast du die auch alle in die Killbox kopiert ?????
Zitat C:\WINDOWS\system32\viewtcp.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
28.04.2005, 22:15
Member
Themenstarter Beiträge: 11 |
#13
So habe jetzt die Einträge alle korrekt eingegeben und dies ist der LOG:
C:\WINDOWS\system32\TFTP1476 Delete on Reboot C:\WINDOWS\system32\TFTP564 Delete on Reboot C:\WINDOWS\system32\viewtcp.exe Delete on Reboot C:\WINDOWS\system32\loadtxt.exe Delete on Reboot C:\WINDOWS\system32\TFTP1112 Delete on Reboot C:\WINDOWS\system32\TFTP1168 Delete on Reboot C:\WINDOWS\system32\TFTP220 Delete on Reboot C:\WINDOWS\system32\TFTP1816 Delete on Reboot C:\WINDOWS\system32\TFTP1192 Delete on Reboot C:\WINDOWS\system32\TFTP1476 Delete on Reboot Was auffällt ist das GMX sich jetzt nicht mehr über transfer.profidialer einwählt der ie aber immer ein Packet senden will .. weiss nicht ob das so O.K. ist .. |
|
|
Logfile of HijackThis v1.99.1
Scan saved at 23:26:35, on 25.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\SCardClnt.exe
D:\Programme\GMX Programme\GMX Internet Manager1\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Babe2000\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AWatch] D:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{895F44B8-6AC9-4E48-887A-EA772613F95A}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD1DB819-7181-4CB2-98DF-6EE90834BE9D}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe