Hijacker VX 2 kann nicht gelöscht werden.

#0
21.01.2005, 16:11
Member

Beiträge: 1132
#16 Hallo bijan,

hier gibt es eine Anleitung zur manuellen Entfernung von VX2:
http://www.spywareguide.com/product_show.php?id=25

Aber noch einmal, das ist nicht das einzige Problem was Du hast!
z.B

Zitat

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
Da muss ein HJL-Profi ran, um Dir zu helfen.

Gruß
Heron

edit:
Dein System hast Du auch noch nicht gepatcht!
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 21.01.2005 um 16:18 Uhr von Heron editiert.
Seitenanfang Seitenende
21.01.2005, 20:01
Member

Beiträge: 46
#17 Hallo zum Abend , bijan !

Neben allen obigen Tipps und Empfehlungen noch eine weitere:

schon die neue Windows AntiSpyware Beta Version (vor der Firmenübernahme war es Giant A/S) versucht? Ich habe damit keine Probleme und nutze es parallel zu Ad-aware, Spybot und Pestpatrol als Gegenkontrolle:

http://www.pcwelt.de/news/sicherheit/106497/

Im Lavasoft/Adaware-Forum berichten zwei User von positiven Erfolgen damit:
siehe: http://www.lavasoftsupport.com/index.php?showtopic=56798&hl=vx2+variant
Dieser Beitrag wurde am 21.01.2005 um 20:06 Uhr von Wolfgang30 editiert.
Seitenanfang Seitenende
22.01.2005, 08:35
Member

Beiträge: 1132
#18 Hallo bijan,

nachdem ich mir Dein Ad-Aware Log einmal genauer angeschaut habe, glaube ich zu wissen wo Dein Problem liegt. Ad-Aware erkennt nämlich die Bedrohung

Zitat

VX2 Object Recognized!
Type : Process
Data : lvl4093qe.dll
Category : Malware
Comment :
Object : C:\WINDOWS\system32\


Warning! VX2 Object found in memory(C:\WINDOWS\system32\lvl4093qe.dll)
Ad-Aware löscht nicht automatisch beim Scannen, wie das Antivir-Progs tun!
Alles was Du tun musst ist, den Scan vollständig durchlaufen zu lassen und dann im Programmfenster von Hand die Häkchen in die Felder links neben den gefundenen Bedrohungen setzen. Danach auf ==> Next drücken. Erst dann werden die Objekte auch entfernt!

Lade Dir auch Spybot S&D herunter
http://www.safer-networking.org/de/download/index.html
scanne und verfahre mit den gefundenen Bedrohungen wie bei Ad-Aware.

Poste dann Dein neuests HJT Log.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
22.01.2005, 15:00
Member

Themenstarter

Beiträge: 26
#19 Eure Tipps von gestern hab ich noch nicht probiert. (Ist etwas kompliziert für mich. Außerdem habe ich eine 56k-Verbindung, was den "einfachen" Download von Software nicht gerade verschönert...)

Dass Ad-Aware die Dateien erkennt, ist mir klar. Wenn ich sie aber dann löschen lasse, verschwindet kurz die gesamte Windows-Benutzeroberfläche (?!?) bis auf das Hintergrundbild, nach einer Sekunde wird dann wieder alles angezeigt - und plötzlich der Windows-Explorer, der das verzeichnis "Eigene Datien" geöffnet hat. (?!?)
Ad-Aware sagt mir dann, dass die Datei nicht gelöscht werden konnte und bittet mich um Erlaubnis, sie beim nächsten Systemstart zu entfernen.
Dann klick ich auf "ok", starte neu, es wird jedoch nichts gelöscht.
Stattdessen öffnen sich neue Fenster, wie beschrieben, aber plötzlich rechts- statt linksbündig. (?!?)
Beim erneuten Ad-Aware-Suchlauf, taucht VX2 dann unter geändertem Namen auf.
Ich habe versucht dieses Problem im abgesicherten Modus zu umgehen - dort findet Ad-Aware aber gar keine kritischen Dateien.
Dieses Katz-und-Mausspiel habe ich schon einige Male durch gezogen...

Trotzdem vielen, vielen Dank für Eure Hilfsbereitschaft!

Gruß,

Bijan
Seitenanfang Seitenende
22.01.2005, 15:06
Member

Themenstarter

Beiträge: 26
#20 p.s.: Ich habe schon, versucht die kritschen Dateien per Hand zu löschen,
indem ich mir die Dateinamen aus dem Ad-Aware-Log aufgeschrieben hab
und sie dann im abgesicherten Modus manuel löschen wollte.
Als ich sie dann aber im abgesicherten Modus gesucht habe, existierten die Dateien gar nicht mehr.
Stattdessen beim nächsten Systemstart wieder unter geändertem Namen...
Ich habe schon fast den Verdacht, dass VX2 bemerkt, wenn es von Ad-Aware lokalisiert wurde und dann umgehend den Dateinamen ändert.

Leide ich jetzt schon unter Verfolgungswahn?!?
Seitenanfang Seitenende
22.01.2005, 15:19
Member

Beiträge: 1132
#21 Hallo bijan,

nur Geduld und die Ruhe!
Versuche manuelle Säuberung nach der Anleitung von:
http://www.spywareguide.com/product_show.php?id=25

Ad-Aware updaten und noch einmal scannen.
Was sagt Spybot S&D? Alle Programme nur in der aktuellsten Version und upgedated verwenden.
Noch mal Dein aktuelles HJT-Log posten. Ich bin mir sicher, dass das VX2-Problem dann mit den anderen zusammen gelöst werden kann. Evtl. kommt auch ein Neuaufsetzten Deines Systems infrage.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
22.01.2005, 17:06
Member

Beiträge: 46
#22 Hallo am Samstag nachmittag, Heron !

Du leidest nicht unter Verfolgungswahn, wenn Du meinst, daß VX2 beim nächsten Systemstart wieder unter geändertem Namen auftaucht.

Ich habe mal etwas in diversen US-Foren recheriert und fand ein interessantes Posting im Majorgeeks-Forum von einem User namens bjgarrick's
vom 01-01-05, 23:27 : ---->
http://forums.majorgeeks.com/showthread.php?p=493168&page=1&pp=20

Darin schlägt er 4 Tools zum Download vor (ich habe keines davon jemals getestet und kann dir dazu nichts sagen. Etwaige Tests somit ohne Garantie!):

Generic Detection Tool (dieses direkt von der majorgeeks-Seite downloaden)

http://www.downloads.subratam.org/DllCompare.exe

http://www.downloads.subratam.org/VX2Finder.exe

http://www.downloads.subratam.org/KillBox.zip

mit weiteren Erklärungen.

Noch interessanter ist dann sein Hinweis :
...."Do not reboot after that because that can cause the files to mutate".

Leider ist dieser Thread noch nicht beendet (lies selbst), aber wollte Dir diese Information nicht vorenthalten bzw. zum weiterverfolgen,was draus wird.

Geduld muß man da haben, wilde Hektik nutzt da nicht. Wie schon erwähnt, ist eine manuelle Entfernung durchaus einen Versuch wert mit den Hinweisen aus spywareguide.com und pestpatrol.com und dem anderen. Da muß man mit voller Breitseite rangehen.

Viel Erfolg und trotzdem schönes Weekend.
Dieser Beitrag wurde am 22.01.2005 um 17:17 Uhr von Wolfgang30 editiert.
Seitenanfang Seitenende
23.01.2005, 08:45
Member

Beiträge: 1132
#23 Hallo Wolfgang30,

vielen Dank für Deine Ratschläge! Aber Du hast sicher bijan als Empfänger gemeint.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
23.01.2005, 10:24
Moderator

Beiträge: 7805
#24 VErsuche es doch mal einfach. Du weisst doch nun, welche Datei als VX2 identifiziert wird. Dann loesche sie doch mit Hilfe von Killbox und der option "delete on reboot". Eine Guard.tmp im System32 Ordner muesste auch noch geloescht werden.

Wen du die Dateien in deinem System32 Ordner nach Datum sortieren laesst, werden noch mehr Dateien mit unnormalen Dateinamen und mit einer Groesse von da 200-230 KB auftauchen, die solltest du auch mal umbenennen.

VX2find solltest du auch nochnutzen, um den useer Agent Eintrag zu reparieren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.01.2005, 11:01
Moderator

Beiträge: 7805
#25 Die Methode mit DLL compare kann man auch hier ansehen:

http://www.valki.com/article.php?sid=4035
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.01.2005, 18:17
Member

Themenstarter

Beiträge: 26
#26 Hallo!

Hier ist mein neues Hijackthis-Log:


Logfile of HijackThis v1.99.0
Scan saved at 18:13:54, on 23.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal 6.27\AVGUARD.EXE
C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal 6.27\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\VX2Finder.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [iejw32.exe] C:\WINDOWS\system32\iejw32.exe
O4 - HKLM\..\Run: [apiwy.exe] C:\WINDOWS\apiwy.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal 6.27\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal 6.27\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

to be continued...
Seitenanfang Seitenende
23.01.2005, 18:19
Member

Themenstarter

Beiträge: 26
#27 Das hier ist mein neues Dll-Compare-Log:

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\aaferror.dll Sun 23 Jan 2005 17:40:10 ..S.R 225.146 219,87 K
C:\WINDOWS\SYSTEM32\aza805~1.dll Sun 23 Jan 2005 17:40:08 ..S.R 222.788 217,57 K
C:\WINDOWS\SYSTEM32\cdplay~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\cgmres.dll Mon 10 Jan 2005 9:43:42 ..S.R 224.635 219,37 K
C:\WINDOWS\SYSTEM32\ckmcat.dll Sun 9 Jan 2005 2:19:42 ..S.R 222.975 217,75 K
C:\WINDOWS\SYSTEM32\donet.dll Sat 15 Jan 2005 14:39:24 ..S.R 224.721 219,45 K
C:\WINDOWS\SYSTEM32\enlol1~1.dll Wed 5 Jan 2005 0:58:22 ..S.R 223.244 218,01 K
C:\WINDOWS\SYSTEM32\fdsrch.dll Thu 16 Dec 2004 20:05:34 ..S.R 223.720 218,48 K
C:\WINDOWS\SYSTEM32\gmtuname.dll Sun 2 Jan 2005 17:20:52 ..S.R 224.006 218,75 K
C:\WINDOWS\SYSTEM32\hgsetup.dll Tue 11 Jan 2005 11:41:44 ..S.R 225.723 220,43 K
C:\WINDOWS\SYSTEM32\hr4805~1.dll Sun 23 Jan 2005 12:51:56 ..S.R 225.146 219,87 K
C:\WINDOWS\SYSTEM32\i0lo0a~1.dll Sun 23 Jan 2005 11:57:54 ..S.R 225.476 220,19 K
C:\WINDOWS\SYSTEM32\ieetmib1.dll Fri 7 Jan 2005 21:04:14 ..S.R 225.879 220,58 K
C:\WINDOWS\SYSTEM32\inxrtmgr.dll Wed 22 Dec 2004 13:26:08 ..S.R 222.819 217,59 K
C:\WINDOWS\SYSTEM32\ir8sl5~1.dll Wed 5 Jan 2005 13:19:32 ..S.R 225.014 219,74 K
C:\WINDOWS\SYSTEM32\jnmd400.dll Sat 8 Jan 2005 14:33:12 ..S.R 224.871 219,60 K
C:\WINDOWS\SYSTEM32\kgygaavl.sys Sun 23 Jan 2005 16:36:52 A.SH. 10.022 9,79 K
C:\WINDOWS\SYSTEM32\kjd103.dll Sat 8 Jan 2005 13:35:08 ..S.R 222.990 217,76 K
C:\WINDOWS\SYSTEM32\kydtat.dll Thu 23 Dec 2004 4:59:52 ..S.R 222.819 217,59 K
C:\WINDOWS\SYSTEM32\lkprxy.dll Fri 31 Dec 2004 19:28:34 ..S.R 223.477 218,24 K
C:\WINDOWS\SYSTEM32\logonu~1.man Mon 2 Aug 2004 13:49:04 A..HR 488 0,48 K
C:\WINDOWS\SYSTEM32\lxcalui.dll Fri 14 Jan 2005 18:18:22 ..S.R 223.611 218,37 K
C:\WINDOWS\SYSTEM32\mioert2.dll Sun 2 Jan 2005 19:11:50 ..S.R 223.752 218,51 K
C:\WINDOWS\SYSTEM32\mxvcrt20.dll Tue 11 Jan 2005 9:09:42 ..S.R 225.081 219,80 K
C:\WINDOWS\SYSTEM32\ncpacp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\nghtml.dll Wed 22 Dec 2004 0:36:54 ..S.R 224.239 218,98 K
C:\WINDOWS\SYSTEM32\nitcfgx.dll Wed 5 Jan 2005 12:29:56 ..S.R 222.991 217,76 K
C:\WINDOWS\SYSTEM32\nolanui.dll Wed 5 Jan 2005 13:15:02 ..S.R 222.991 217,76 K
C:\WINDOWS\SYSTEM32\nwccpl~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\rbcdll.dll Fri 31 Dec 2004 19:50:06 ..S.R 224.855 219,58 K
C:\WINDOWS\SYSTEM32\sapicp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\srtupdll.dll Wed 5 Jan 2005 17:27:24 ..S.R 223.229 217,99 K
C:\WINDOWS\SYSTEM32\stfrcdlg.dll Sat 8 Jan 2005 23:36:50 ..S.R 224.871 219,60 K
C:\WINDOWS\SYSTEM32\tonlib20.dll Fri 17 Dec 2004 17:17:50 ..S.R 224.239 218,98 K
C:\WINDOWS\SYSTEM32\ttcfgwmi.dll Thu 16 Dec 2004 20:54:24 ..S.R 223.720 218,48 K
C:\WINDOWS\SYSTEM32\wai.dll Sun 2 Jan 2005 15:29:34 ..S.R 222.920 217,70 K
C:\WINDOWS\SYSTEM32\window~1.man Mon 2 Aug 2004 13:49:04 A..HR 488 0,48 K
C:\WINDOWS\SYSTEM32\wuaucp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\wwpcore.dll Sat 8 Jan 2005 17:50:30 ..S.R 226.264 220,96 K
C:\WINDOWS\SYSTEM32\wxpdinfo.dll Sat 18 Dec 2004 15:11:00 ..S.R 225.930 220,63 K
C:\WINDOWS\SYSTEM32\xgbrb.dll Tue 7 Sep 2004 16:28:36 A.SH. 0 0,00 K
________________________________________________

2.082 items found: 2.037 files (41 H/S), 45 directories (1 H/S).
Total of file sizes: 395.581.618 bytes 377,25 M

Administrator Account = Wahr

--------------------End log---------------------


to be continued...
Seitenanfang Seitenende
23.01.2005, 18:20
Member

Themenstarter

Beiträge: 26
#28 Außerdem das VX2-Finder-Log:

Files Found---

Additional Files---

Keys Under Notify---
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
StillImage
termsrv
wlballoon


Guardian Key--- is called:

Guardian Key--- :

User Agent String---
{F33DD22A-E0F4-4194-B587-665E7567DC50}

to be continued...
Seitenanfang Seitenende
23.01.2005, 18:21
Member

Themenstarter

Beiträge: 26
#29 und zu guter letzt mein aktuelles Ad-Aware-Log:


Ad-Aware SE Build 1.05
Protokolldatei erstellt am:Freitag, 21. Januar 2005 12:10:33
Created with Ad-Aware SE Personal, free for private use.
Verwendete Definitionsdatei:SE1R25 11.01.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Während des Scannings identifizierte Referenzen:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC-Index:0):8 Referenzen insgesamt
Redirected hostfile entry(TAC-Index:4):3 Referenzen insgesamt
VX2(TAC-Index:10):4 Referenzen insgesamt
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Festlegen : Nach unbedeutenden Risikoeinträgen suchen
Festlegen : Sicherer Modus (stets Bestätigung abfragen)
Festlegen : Aktive Prozesse scannen
Festlegen : Registrierung scannen
Festlegen : Registrierung gründlich scannen
Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
Festlegen : Hosts-Datei scannen

Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
Festlegen : Referenz-Zusammenfassung protokollieren
Festlegen : Details zu alternativen Datenströmen protokollieren
Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen


21.01.2005 12:10:33 - Scanning wurde gestartet. (Vollständiger Systemscan)

MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\mediaplayer\player\settings
Beschreibung : last open directory used in jasc paint shop pro


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\mediaplayer\player\recentfilelist
Beschreibung : list of recently used files in microsoft windows media player


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\internet explorer
Beschreibung : last download directory used in microsoft internet explorer


MRU List Objekt erkannt!
Pfad: : software\microsoft\directdraw\mostrecentapplication
Beschreibung : most recent application to use microsoft directdraw


MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d


MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct X


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk


MRU List Objekt erkannt!
Pfad: : C:\Dokumente und Einstellungen\Bijan Benjamin\recent
Beschreibung : list of recently opened documents


Liste der laufenden Prozesse
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 456
ThreadCreationTime : 21.01.2005 11:05:12
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 536
ThreadCreationTime : 21.01.2005 11:05:15
BasePriority : High


VX2 Objekt erkannt!
Typ : Prozess
Daten : lv8609lse.dll
Kategorie : Malware
Kommentar : (CSI MATCH)
Objekt : C:\WINDOWS\system32\


Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\lv8609lse.dll)


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 580
ThreadCreationTime : 21.01.2005 11:05:15
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 592
ThreadCreationTime : 21.01.2005 11:05:15
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 752
ThreadCreationTime : 21.01.2005 11:05:16
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 776
ThreadCreationTime : 21.01.2005 11:05:16
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1060
ThreadCreationTime : 21.01.2005 11:05:18
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:8 [avguard.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1164
ThreadCreationTime : 21.01.2005 11:05:19
BasePriority : Normal


#:9 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1176
ThreadCreationTime : 21.01.2005 11:05:19
BasePriority : Normal


#:10 [mdm.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\
ProcessID : 1212
ThreadCreationTime : 21.01.2005 11:05:19
BasePriority : Normal
FileVersion : 7.00.9466
ProductVersion : 7.00.9466
ProductName : Microsoft® Visual Studio .NET
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : mdm.exe

#:11 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1264
ThreadCreationTime : 21.01.2005 11:05:20
BasePriority : Normal
FileVersion : 6.13.10.3100
ProductVersion : 6.13.10.3100
ProductName : NVIDIA Driver Helper Service, Version 31.00
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 31.00
InternalName : NVSVC
LegalCopyright : (c) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:12 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1320
ThreadCreationTime : 21.01.2005 11:05:20
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:13 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1952
ThreadCreationTime : 21.01.2005 11:05:27
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

VX2 Objekt erkannt!
Typ : Prozess
Daten : ikxrtmgr.dll
Kategorie : Malware
Kommentar : (CSI MATCH)
Objekt : C:\WINDOWS\system32\


Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\ikxrtmgr.dll)


#:14 [jusched.exe]
FilePath : C:\Programme\Java\j2re1.4.2_05\bin\
ProcessID : 124
ThreadCreationTime : 21.01.2005 11:05:31
BasePriority : Normal


#:15 [avgnt.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 168
ThreadCreationTime : 21.01.2005 11:05:32
BasePriority : Normal


#:16 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 176
ThreadCreationTime : 21.01.2005 11:05:32
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:17 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 508
ThreadCreationTime : 21.01.2005 11:06:11
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:18 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 220
ThreadCreationTime : 21.01.2005 11:08:20
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:19 [rundll32.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 708
ThreadCreationTime : 21.01.2005 11:09:25
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

VX2 Objekt erkannt!
Typ : Prozess
Daten : guard.tmp
Kategorie : Malware
Kommentar : (CSI MATCH)
Objekt : C:\WINDOWS\system32\


Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\guard.tmp)

"C:\WINDOWS\system32\rundll32.exe"Prozess wurde erfolgreich beendet

#:20 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 584
ThreadCreationTime : 21.01.2005 11:10:11
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11



Dateien werden gründlich gescannt und überprüft (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Dateien werden gründlich gescannt und überprüft (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Dateien werden gründlich gescannt und überprüft (E:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für E:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Hosts-Datei wird gescannt......
Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:auto.search.msn.com


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:auto.search.msn.com
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:search.netscape.com


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:search.netscape.com
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:ieautosearch


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:ieautosearch

Scanergebnis für Hosts-Datei:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
13 Einträge gescannt.
Neue kritische Objekte:3
Bisher gefundene Objekte: 14




Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

VX2 Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\microsoft\internet explorer\toolbar\webbrowser
Wert : {0E5CBF21-D15F-11D0-8301-00AA005B4383}

Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 1
Bisher gefundene Objekte: 15

12:21:43 Scan abgeschlossen

Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:11:10.219
Gescannte Objekte:153988
Identifizierte Objekte:4
Ignorierte Objekte:0
Neue kritische Objekte:4


Was kann / soll ich jetzt also tun..?

Gruß,

Bijan
Seitenanfang Seitenende
23.01.2005, 18:47
Moderator

Beiträge: 7805
#30 Nun loesche ersteinmal die Dateien, die Adaware als vx2 identifiziert hat mit Killbox, wie oben im Artikel beschrieben. genauso wie die DLL Dateien, die im dllcompare log angegeben sind. Denke daran, alles in einem Schritt ohne Neustart zu machen, sonst aendern sich die Dateinamen.

Wahrscheinlich musst du die Logs nocheinmal machen, da du bestimmt schon den Rechner erneut gestartet hast.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: