Erst VirusBusters, jetzt Systemcrash

Home » Viren, Trojaner & Malware Forum » Erst VirusBusters, jetzt Systemcrash » Themenansicht

Seite(n): 1 2

Antworten

Erst VirusBusters, jetzt Systemcrash Thema ist geschlossen!
Thema ist geschlossen!
16.12.2006, 13:20 Steev Member Themenstarter Beiträge: 12	#16 Hallo, da ist was schiefgelaufen. Hier nochmal: Stephan - 06-12-16 13:26:51,65 Service Pack 2 ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\WINDOWS\system32\PPATCH~1 C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe ((((((((((((((((((((((((((((((( Files Created from 2006-11-16 to 2006-12-16 )))))))))))))))))))))))))))))))))) 2006-12-16 11:18 <DIR> d-------- C:\avenger 2006-12-16 11:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent 2006-12-15 23:27 668 --a------ C:\datFind.bat 2006-12-13 22:45 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2006-12-13 22:45 <DIR> d-------- C:\Programme\Grisoft 2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp! 2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes 2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) [color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color] 2006-12-16 12:05 -------- d-------- C:\Programme\QuickTime 2006-12-16 11:26 -------- d-------- C:\Programme\Mozilla Firefox 2006-12-16 11:18 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup 2006-12-10 14:11 -------- d-------- C:\Programme\Common Files 2006-11-30 22:53 -------- d-------- C:\Programme\iPod 2006-10-31 18:51 -------- d-------- C:\Programme\Google 2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) Note empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot" "PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe" "IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe" "SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe" "ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "kcvbuswh"="C:\\araegovw.bat" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard" "{C671A733-A4AA-4B5F-8CEE-006242C457B5}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 06-12-16 13:27:13.51 Steev

16.12.2006, 13:36 raman Moderator Beiträge: 7805	#17 Du sioehst, sauber ist das noch lange nicht! Nur um das Spamen des Rootkits zu unterbinden, nutze bitte gmer: http://www.majorgeeks.com/GMER_d5198.html Einfach herunterladen, starten, scan druecken und wenn es dich fragt, ob es den Service und die Datei loeschen soll, bitte mit ja anworten. Danach bitte den Scanreport hier einstellen. __________ MfG Ralf SEO-Spam Hunter

16.12.2006, 13:58 Steev Member Themenstarter Beiträge: 12	#18 Hallo, GMER startet sofort mit der Warnung "GMER has found system modification which might have been caused by ROOTKIT activity. Scan Y/N". Es frägt mich aber nicht, ob ich einen Service/Datei löschen will. GMER endet mit der Meldung "GMER has fond system modification caused by ROOTKIT activity". Hier der Scanreport: GMER 1.0.12.12011 - http://www.gmer.net Rootkit scan 2006-12-16 13:55:24 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.12 ---- SYSENTER \??\C:\WINDOWS\system32:lzx32.sys AAFF2A1C Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.12 ---- .text ntkrnlpa.exe!Kei386EoiHelper + 4E0 8053D558 3 Bytes [ 41, 97, 6B ] .text tcpip.sys!IPTransmit + 10B7 AAF66CFA 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text tcpip.sys!IPTransmit + 24D9 AAF6811C 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text tcpip.sys!IPTransmit + 4662 AAF6A2A5 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text wanarp.sys F868B3FD 7 Bytes CALL AAFF47EF \??\C:\WINDOWS\system32:lzx32.sys ---- Services - GMER 1.0.12 ---- Service C:\WINDOWS\system32:lzx32.sys (* hidden * ) [SYSTEM] pe386 <-- ROOTKIT !!! ---- Registry - GMER 1.0.12 ---- Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386\Security Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386\Security Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386\Security Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386\Enum Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Security Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Enum Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1 ---- Files - GMER 1.0.12 ---- ADS C:\WINDOWS\Feder.bmp:kxasa ADS C:\WINDOWS\Fächer.bmp:zysur ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp ADS C:\WINDOWS\system32:lzx32.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.12 ---- Spamen tut das Teil immer noch.

16.12.2006, 14:23 raman Moderator Beiträge: 7805	#19 Du moechtest die Datei und den Service loeschen! __________ MfG Ralf SEO-Spam Hunter

16.12.2006, 16:18 Sabina Ehrenmitglied Beiträge: 29434	#20 Steev 1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\pe386 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 Files to delete: C:\WINDOWS\system32:lzx32.sys C:\WINDOWS\system32\lzx32.sys 2. fixe mit dem HijackThis Zitat O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\awuxbxbb.dll (file missing) O2 - BHO: (no name) - {526B6364-8F0D-4F27-B257-C7C31FC0AC8F} - C:\WINDOWS\system32\mljjk.dll (file missing) O2 - BHO: (no name) - {8EAD9606-21BA-5219-CA68-78E5561D4093} - C:\WINDOWS\system32\acqeth.dll (file missing) O2 - BHO: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file) O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\system32\ixt0.dll (file missing) O15 - Trusted Zone: .frame.crazywinnings.com O15 - Trusted Zone: .frame.crazywinnings.com (HKLM) PC neustarten «« ADSSpy - anwenden und alle Streams, die angezeigt werden - loeschen http://virus-protect.org/artikel/tools/ADSSpy.exe ADS C:\WINDOWS\Feder.bmp:kxasa ADS C:\WINDOWS\Fächer.bmp:zysur ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp ADS C:\WINDOWS\system32:lzx32.sys »» AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html ___________ dann wende den gmer noch mal an und berichte __________ MfG Sabina rund um die PC-Sicherheit

16.12.2006, 18:16 Steev Member Themenstarter Beiträge: 12	#21 Hallo, das hat gezogen würd ich sagen :-) (ich konnte zwar vorher den Service mit GMER entfernen, aber nicht das File). 1. Avenger (konnte C:\WINDOWS\system32:lzx32.sys und C:\WINDOWS\system32\lzx32.sys nicht entfernen), hier das Log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\dmybqmno ***************** Script file located at: \??\C:\pldfdikv.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger *************** Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\pe386 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 Status: 0xc0000034 Could not delete file C:\WINDOWS\system32:lzx32.sys Deletion of file C:\WINDOWS\system32:lzx32.sys failed! Could not process line: C:\WINDOWS\system32:lzx32.sys Status: 0xc0000033 File C:\WINDOWS\system32\lzx32.sys not found! Deletion of file C:\WINDOWS\system32\lzx32.sys failed! Could not process line: C:\WINDOWS\system32\lzx32.sys Status: 0xc0000034 Completed script processing. ***************** Finished! Terminate. 2. Hijackthis konnte die Einträge bis auf O15 - Trusted Zone: .frame.crazywinnings.com O15 - Trusted Zone: .frame.crazywinnings.com (HKLM) entfernen (hab ich später mit SmitfraudFix entfernt) 3. ADSSpy: konnte alle gefundenen Streams entfernen. 4. AVG Anti-Rootkit 1.0.0.13 Beta --> konnte keine Rootkits mehr finden. Hier noch ein Combofix Log: Stephan - 06-12-16 18:15:17,68 Service Pack 2 ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\WINDOWS\system32\PPATCH~1 C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe ((((((((((((((((((((((((((((((( Files Created from 2006-11-16 to 2006-12-16 )))))))))))))))))))))))))))))))))) 2006-12-16 18:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent 2006-12-16 17:53 3,800 --a------ C:\WINDOWS\system32\tmp.reg 2006-12-16 17:53 <DIR> d-------- C:\SmitfraudFix 2006-12-16 17:20 <DIR> d-------- C:\avenger 2006-12-16 13:49 80 --a------ C:\WINDOWS\gmer_uninstall.cmd 2006-12-15 23:27 668 --a------ C:\datFind.bat 2006-12-13 22:45 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2006-12-13 22:45 <DIR> d-------- C:\Programme\Grisoft 2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp! 2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes 2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-12-16 18:07 -------- d-------- C:\Programme\Mozilla Firefox 2006-12-16 18:07 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-12-16 12:05 -------- d-------- C:\Programme\QuickTime 2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup 2006-12-10 14:11 -------- d-------- C:\Programme\Common Files 2006-11-30 22:53 -------- d-------- C:\Programme\iPod 2006-10-31 18:51 -------- d-------- C:\Programme\Google 2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) Note empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot" "PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe" "IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe" "SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe" "ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "kcvbuswh"="C:\\araegovw.bat" "T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard" "{C671A733-A4AA-4B5F-8CEE-006242C457B5}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 06-12-16 18:15:37.15 C:\ComboFix.txt ... 06-12-16 18:15 C:\ComboFix2.txt ... 06-12-16 13:27 C:\ComboFix3.txt ... 06-12-16 12:56 5. GMER: Damit konnte ich dann endlich das File "C:\WINDOWS\system32:lzx32.sys" entfernen. Hier noch ein aktuelles HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 18:08:32, on 16.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\BrmfBAgS.exe C:\WINDOWS\system32\eTSrv.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\fxssvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\SEC\MagicTune 2.5\GammaTray.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe D:\Eigene Dateien Stephan\Sonstiges\Tools\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: WSOBHOObj Class - {4D0B671C-7F9A-4516-B4DB-D30F3A12EE26} - C:\Programme\Aladdin\eToken\WSO\eTWSOBHO.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [kcvbuswh] C:\araegovw.bat O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Color Calibration.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web Sign On - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130605000171 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144265827890 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINDOWS\system32\eTSrv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing) O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Ich habe jetzt zumindest den Eindruck das Spamen ist vorbei und das System läuft. Steev

16.12.2006, 18:18 Sabina Ehrenmitglied Beiträge: 29434	#22 poste das neue log vom gmer __________ MfG Sabina rund um die PC-Sicherheit

16.12.2006, 18:31 Steev Member Themenstarter Beiträge: 12	#23 Gmer schließt mit "no modifications found" ab und im Reiter Log kann ich keine Einträge finden. Steev

16.12.2006, 18:38 Sabina Ehrenmitglied Beiträge: 29434	#24 da ist noch ein Purityscan-Trojaner auf dem Rechner, denke ich Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ dir "C:\Windows\System32\Com" >>files.txt dir "C:\Windows\system32\config" >>files.txt dir "C:\WINDOWS\system32\components" >>files.txt dir "C:\WINDOWS\Downloaded Program Files" >>files.txt dir "C:\Programme\Common Files" >>files.txt dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt dir "C:\Program Files" >>files.txt dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt dir "C:\WINDOWS\Temp" >>files.txt dir "C:\Temp" >>files.txt dir "C:\Programme" >>files.txt dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt dir "C:\Programme\Gemeinsame Dateien" >>files.txt dir "C:\Windows\tasks" >>files.txt notepad files.txt __________ MfG Sabina rund um die PC-Sicherheit

16.12.2006, 18:45 Steev Member Themenstarter Beiträge: 12	#25 Hallo, das kam dabei raus: Verzeichnis von C:\Programme\Common Files 10.12.2006 14:11 <DIR> . 10.12.2006 14:11 <DIR> .. 17.06.2006 19:14 <DIR> InstallShield 01.06.2005 20:55 <DIR> Microsoft Shared 11.12.2006 19:39 <DIR> S?mantec 0 Datei(en) 0 Bytes 5 Verzeichnis(se), 8.071.610.368 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 edit

16.12.2006, 20:02 Sabina Ehrenmitglied Beiträge: 29434	#26 wusste ichs doch hier ist der Trojaner: C:\Programme\Common Files 11.12.2006 19:39 <DIR> S?mantec ------------------------- Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html im abgesicherten Modus, suche nach Datum und Uhrzeit, es wird kein Fragezeichen angezeigt werden, sondern kryptische zeichen, deshalb kann ich es auch nicht mit dem avenger loeschen lassen C:\Programme\Common Files 11.12.2006 19:39 S?mantec ______________________ bei der Gelegenheit deinstalliere gleich auch: C:\Programme\Warez P2P Client _________________________________________________________________ ich habe gesehen, dass du onlinebanking machst - das beste/sicherste waere, bei Gelegenheit zu formatieren...... __________ MfG Sabina rund um die PC-Sicherheit

17.12.2006, 16:08 Steev Member Themenstarter Beiträge: 12	#27 Hallo, es war die Datei dvdplay.exe mit 70kB, keine kryptischen Zeichen. Beim Ausführen von Listen.bat ist der obige Eintrag jetzt weg. Danke nochmals für Deine Hilfe und bei nächster Gelegenheit zieh ich eine Neuinstallation durch. Steev

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2