Erst VirusBusters, jetzt Systemcrash

Thema ist geschlossen!
Thema ist geschlossen!
16.12.2006, 13:20
Member

Themenstarter

Beiträge: 12
#16 Hallo,

da ist was schiefgelaufen. Hier nochmal:

Stephan - 06-12-16 13:26:51,65 Service Pack 2
ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\system32\PPATCH~1
C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe


((((((((((((((((((((((((((((((( Files Created from 2006-11-16 to 2006-12-16 ))))))))))))))))))))))))))))))))))


2006-12-16 11:18 <DIR> d-------- C:\avenger
2006-12-16 11:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent
2006-12-15 23:27 668 --a------ C:\datFind.bat
2006-12-13 22:45 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-13 22:45 <DIR> d-------- C:\Programme\Grisoft
2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp!
2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes
2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-12-16 12:05 -------- d-------- C:\Programme\QuickTime
2006-12-16 11:26 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-16 11:18 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup
2006-12-10 14:11 -------- d-------- C:\Programme\Common Files
2006-11-30 22:53 -------- d-------- C:\Programme\iPod
2006-10-31 18:51 -------- d-------- C:\Programme\Google
2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"kcvbuswh"="C:\\araegovw.bat"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
"{C671A733-A4AA-4B5F-8CEE-006242C457B5}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-12-16 13:27:13.51


Steev
Seitenanfang Seitenende
16.12.2006, 13:36
Moderator

Beiträge: 7805
#17 Du sioehst, sauber ist das noch lange nicht! Nur um das Spamen des Rootkits zu unterbinden, nutze bitte gmer:
http://www.majorgeeks.com/GMER_d5198.html

Einfach herunterladen, starten, scan druecken und wenn es dich fragt, ob es den Service und die Datei loeschen soll, bitte mit ja anworten. Danach bitte den Scanreport hier einstellen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.12.2006, 13:58
Member

Themenstarter

Beiträge: 12
#18 Hallo,

GMER startet sofort mit der Warnung "GMER has found system modification which might have been caused by ROOTKIT activity. Scan Y/N". Es frägt mich aber nicht, ob ich einen Service/Datei löschen will. GMER endet mit der Meldung "GMER has fond system modification caused by ROOTKIT activity".

Hier der Scanreport:
GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2006-12-16 13:55:24
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SYSENTER \??\C:\WINDOWS\system32:lzx32.sys AAFF2A1C

Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!Kei386EoiHelper + 4E0 8053D558 3 Bytes [ 41, 97, 6B ]
.text tcpip.sys!IPTransmit + 10B7 AAF66CFA 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 24D9 AAF6811C 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 4662 AAF6A2A5 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text wanarp.sys F868B3FD 7 Bytes CALL AAFF47EF \??\C:\WINDOWS\system32:lzx32.sys

---- Services - GMER 1.0.12 ----

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386\Security
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386\Security
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386\Security
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386\Enum
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Security
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Enum
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1

---- Files - GMER 1.0.12 ----

ADS C:\WINDOWS\Feder.bmp:kxasa
ADS C:\WINDOWS\Fächer.bmp:zysur
ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp
ADS C:\WINDOWS\system32:lzx32.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.12 ----

Spamen tut das Teil immer noch.
Seitenanfang Seitenende
16.12.2006, 14:23
Moderator

Beiträge: 7805
#19 Du moechtest die Datei und den Service loeschen! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.12.2006, 16:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Steev

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386

Files to delete:
C:\WINDOWS\system32:lzx32.sys
C:\WINDOWS\system32\lzx32.sys
2.
fixe mit dem HijackThis

Zitat

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\awuxbxbb.dll (file missing)

O2 - BHO: (no name) - {526B6364-8F0D-4F27-B257-C7C31FC0AC8F} - C:\WINDOWS\system32\mljjk.dll (file missing)

O2 - BHO: (no name) - {8EAD9606-21BA-5219-CA68-78E5561D4093} - C:\WINDOWS\system32\acqeth.dll (file missing)

O2 - BHO: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\system32\ixt0.dll (file missing)

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

PC neustarten

««
ADSSpy - anwenden und alle Streams, die angezeigt werden - loeschen
http://virus-protect.org/artikel/tools/ADSSpy.exe

ADS C:\WINDOWS\Feder.bmp:kxasa
ADS C:\WINDOWS\Fächer.bmp:zysur
ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp
ADS C:\WINDOWS\system32:lzx32.sys


»»
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html

___________

dann wende den gmer noch mal an und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.12.2006, 18:16
Member

Themenstarter

Beiträge: 12
#21 Hallo,

das hat gezogen würd ich sagen :-) (ich konnte zwar vorher den Service mit GMER entfernen, aber nicht das File).


1. Avenger (konnte C:\WINDOWS\system32:lzx32.sys und C:\WINDOWS\system32\lzx32.sys nicht entfernen), hier das Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dmybqmno

*******************

Script file located at: \??\C:\pldfdikv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\pe386 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386
Status: 0xc0000034



Could not delete file C:\WINDOWS\system32:lzx32.sys
Deletion of file C:\WINDOWS\system32:lzx32.sys failed!

Could not process line:
C:\WINDOWS\system32:lzx32.sys
Status: 0xc0000033



File C:\WINDOWS\system32\lzx32.sys not found!
Deletion of file C:\WINDOWS\system32\lzx32.sys failed!

Could not process line:
C:\WINDOWS\system32\lzx32.sys
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

2. Hijackthis konnte die Einträge bis auf
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
entfernen (hab ich später mit SmitfraudFix entfernt)

3. ADSSpy: konnte alle gefundenen Streams entfernen.

4. AVG Anti-Rootkit 1.0.0.13 Beta --> konnte keine Rootkits mehr finden. Hier noch ein Combofix Log:

Stephan - 06-12-16 18:15:17,68 Service Pack 2
ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\system32\PPATCH~1
C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe


((((((((((((((((((((((((((((((( Files Created from 2006-11-16 to 2006-12-16 ))))))))))))))))))))))))))))))))))


2006-12-16 18:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent
2006-12-16 17:53 3,800 --a------ C:\WINDOWS\system32\tmp.reg
2006-12-16 17:53 <DIR> d-------- C:\SmitfraudFix
2006-12-16 17:20 <DIR> d-------- C:\avenger
2006-12-16 13:49 80 --a------ C:\WINDOWS\gmer_uninstall.cmd
2006-12-15 23:27 668 --a------ C:\datFind.bat
2006-12-13 22:45 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-13 22:45 <DIR> d-------- C:\Programme\Grisoft
2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp!
2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes
2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-16 18:07 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-16 18:07 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-16 12:05 -------- d-------- C:\Programme\QuickTime
2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup
2006-12-10 14:11 -------- d-------- C:\Programme\Common Files
2006-11-30 22:53 -------- d-------- C:\Programme\iPod
2006-10-31 18:51 -------- d-------- C:\Programme\Google
2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"kcvbuswh"="C:\\araegovw.bat"
"T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
"{C671A733-A4AA-4B5F-8CEE-006242C457B5}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-12-16 18:15:37.15
C:\ComboFix.txt ... 06-12-16 18:15
C:\ComboFix2.txt ... 06-12-16 13:27
C:\ComboFix3.txt ... 06-12-16 12:56

5. GMER: Damit konnte ich dann endlich das File "C:\WINDOWS\system32:lzx32.sys" entfernen.

Hier noch ein aktuelles HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:08:32, on 16.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\BrmfBAgS.exe
C:\WINDOWS\system32\eTSrv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\SEC\MagicTune 2.5\GammaTray.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Eigene Dateien Stephan\Sonstiges\Tools\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WSOBHOObj Class - {4D0B671C-7F9A-4516-B4DB-D30F3A12EE26} - C:\Programme\Aladdin\eToken\WSO\eTWSOBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [kcvbuswh] C:\araegovw.bat
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Sign On - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130605000171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144265827890
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINDOWS\system32\eTSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Ich habe jetzt zumindest den Eindruck das Spamen ist vorbei und das System läuft.

Steev
Seitenanfang Seitenende
16.12.2006, 18:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 poste das neue log vom gmer
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.12.2006, 18:31
Member

Themenstarter

Beiträge: 12
#23 Gmer schließt mit "no modifications found" ab und im Reiter Log kann ich keine Einträge finden.


Steev
Seitenanfang Seitenende
16.12.2006, 18:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 da ist noch ein Purityscan-Trojaner auf dem Rechner, denke ich ;)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.12.2006, 18:45
Member

Themenstarter

Beiträge: 12
#25 Hallo,

das kam dabei raus:


Verzeichnis von C:\Programme\Common Files

10.12.2006 14:11 <DIR> .
10.12.2006 14:11 <DIR> ..
17.06.2006 19:14 <DIR> InstallShield
01.06.2005 20:55 <DIR> Microsoft Shared
11.12.2006 19:39 <DIR> S?mantec
0 Datei(en) 0 Bytes
5 Verzeichnis(se), 8.071.610.368 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08



edit
Seitenanfang Seitenende
16.12.2006, 20:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 wusste ichs doch ;)

hier ist der Trojaner:

C:\Programme\Common Files
11.12.2006 19:39 <DIR> S?mantec

-------------------------

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

im abgesicherten Modus, suche nach Datum und Uhrzeit, es wird kein Fragezeichen angezeigt werden, sondern kryptische zeichen, deshalb kann ich es auch nicht mit dem avenger loeschen lassen

C:\Programme\Common Files
11.12.2006 19:39 S?mantec

______________________

bei der Gelegenheit deinstalliere gleich auch:

C:\Programme\Warez P2P Client

_________________________________________________________________

ich habe gesehen, dass du onlinebanking machst - das beste/sicherste waere, bei Gelegenheit zu formatieren......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.12.2006, 16:08
Member

Themenstarter

Beiträge: 12
#27 Hallo,

es war die Datei dvdplay.exe mit 70kB, keine kryptischen Zeichen. Beim Ausführen von Listen.bat ist der obige Eintrag jetzt weg.

Danke nochmals für Deine Hilfe und bei nächster Gelegenheit zieh ich eine Neuinstallation durch.

Steev
Seitenanfang Seitenende