Hijacker VX 2 kann nicht gelöscht werden. |
||
---|---|---|
#0
| ||
21.01.2005, 16:11
Member
Beiträge: 1132 |
||
|
||
21.01.2005, 20:01
Member
Beiträge: 46 |
#17
Hallo zum Abend , bijan !
Neben allen obigen Tipps und Empfehlungen noch eine weitere: schon die neue Windows AntiSpyware Beta Version (vor der Firmenübernahme war es Giant A/S) versucht? Ich habe damit keine Probleme und nutze es parallel zu Ad-aware, Spybot und Pestpatrol als Gegenkontrolle: http://www.pcwelt.de/news/sicherheit/106497/ Im Lavasoft/Adaware-Forum berichten zwei User von positiven Erfolgen damit: siehe: http://www.lavasoftsupport.com/index.php?showtopic=56798&hl=vx2+variant Dieser Beitrag wurde am 21.01.2005 um 20:06 Uhr von Wolfgang30 editiert.
|
|
|
||
22.01.2005, 08:35
Member
Beiträge: 1132 |
#18
Hallo bijan,
nachdem ich mir Dein Ad-Aware Log einmal genauer angeschaut habe, glaube ich zu wissen wo Dein Problem liegt. Ad-Aware erkennt nämlich die Bedrohung Zitat VX2 Object Recognized!Ad-Aware löscht nicht automatisch beim Scannen, wie das Antivir-Progs tun! Alles was Du tun musst ist, den Scan vollständig durchlaufen zu lassen und dann im Programmfenster von Hand die Häkchen in die Felder links neben den gefundenen Bedrohungen setzen. Danach auf ==> Next drücken. Erst dann werden die Objekte auch entfernt! Lade Dir auch Spybot S&D herunter http://www.safer-networking.org/de/download/index.html scanne und verfahre mit den gefundenen Bedrohungen wie bei Ad-Aware. Poste dann Dein neuests HJT Log. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
22.01.2005, 15:00
Member
Themenstarter Beiträge: 26 |
#19
Eure Tipps von gestern hab ich noch nicht probiert. (Ist etwas kompliziert für mich. Außerdem habe ich eine 56k-Verbindung, was den "einfachen" Download von Software nicht gerade verschönert...)
Dass Ad-Aware die Dateien erkennt, ist mir klar. Wenn ich sie aber dann löschen lasse, verschwindet kurz die gesamte Windows-Benutzeroberfläche (?!?) bis auf das Hintergrundbild, nach einer Sekunde wird dann wieder alles angezeigt - und plötzlich der Windows-Explorer, der das verzeichnis "Eigene Datien" geöffnet hat. (?!?) Ad-Aware sagt mir dann, dass die Datei nicht gelöscht werden konnte und bittet mich um Erlaubnis, sie beim nächsten Systemstart zu entfernen. Dann klick ich auf "ok", starte neu, es wird jedoch nichts gelöscht. Stattdessen öffnen sich neue Fenster, wie beschrieben, aber plötzlich rechts- statt linksbündig. (?!?) Beim erneuten Ad-Aware-Suchlauf, taucht VX2 dann unter geändertem Namen auf. Ich habe versucht dieses Problem im abgesicherten Modus zu umgehen - dort findet Ad-Aware aber gar keine kritischen Dateien. Dieses Katz-und-Mausspiel habe ich schon einige Male durch gezogen... Trotzdem vielen, vielen Dank für Eure Hilfsbereitschaft! Gruß, Bijan |
|
|
||
22.01.2005, 15:06
Member
Themenstarter Beiträge: 26 |
#20
p.s.: Ich habe schon, versucht die kritschen Dateien per Hand zu löschen,
indem ich mir die Dateinamen aus dem Ad-Aware-Log aufgeschrieben hab und sie dann im abgesicherten Modus manuel löschen wollte. Als ich sie dann aber im abgesicherten Modus gesucht habe, existierten die Dateien gar nicht mehr. Stattdessen beim nächsten Systemstart wieder unter geändertem Namen... Ich habe schon fast den Verdacht, dass VX2 bemerkt, wenn es von Ad-Aware lokalisiert wurde und dann umgehend den Dateinamen ändert. Leide ich jetzt schon unter Verfolgungswahn?!? |
|
|
||
22.01.2005, 15:19
Member
Beiträge: 1132 |
#21
Hallo bijan,
nur Geduld und die Ruhe! Versuche manuelle Säuberung nach der Anleitung von: http://www.spywareguide.com/product_show.php?id=25 Ad-Aware updaten und noch einmal scannen. Was sagt Spybot S&D? Alle Programme nur in der aktuellsten Version und upgedated verwenden. Noch mal Dein aktuelles HJT-Log posten. Ich bin mir sicher, dass das VX2-Problem dann mit den anderen zusammen gelöst werden kann. Evtl. kommt auch ein Neuaufsetzten Deines Systems infrage. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
22.01.2005, 17:06
Member
Beiträge: 46 |
#22
Hallo am Samstag nachmittag, Heron !
Du leidest nicht unter Verfolgungswahn, wenn Du meinst, daß VX2 beim nächsten Systemstart wieder unter geändertem Namen auftaucht. Ich habe mal etwas in diversen US-Foren recheriert und fand ein interessantes Posting im Majorgeeks-Forum von einem User namens bjgarrick's vom 01-01-05, 23:27 : ----> http://forums.majorgeeks.com/showthread.php?p=493168&page=1&pp=20 Darin schlägt er 4 Tools zum Download vor (ich habe keines davon jemals getestet und kann dir dazu nichts sagen. Etwaige Tests somit ohne Garantie!): Generic Detection Tool (dieses direkt von der majorgeeks-Seite downloaden) http://www.downloads.subratam.org/DllCompare.exe http://www.downloads.subratam.org/VX2Finder.exe http://www.downloads.subratam.org/KillBox.zip mit weiteren Erklärungen. Noch interessanter ist dann sein Hinweis : ...."Do not reboot after that because that can cause the files to mutate". Leider ist dieser Thread noch nicht beendet (lies selbst), aber wollte Dir diese Information nicht vorenthalten bzw. zum weiterverfolgen,was draus wird. Geduld muß man da haben, wilde Hektik nutzt da nicht. Wie schon erwähnt, ist eine manuelle Entfernung durchaus einen Versuch wert mit den Hinweisen aus spywareguide.com und pestpatrol.com und dem anderen. Da muß man mit voller Breitseite rangehen. Viel Erfolg und trotzdem schönes Weekend. Dieser Beitrag wurde am 22.01.2005 um 17:17 Uhr von Wolfgang30 editiert.
|
|
|
||
23.01.2005, 08:45
Member
Beiträge: 1132 |
#23
Hallo Wolfgang30,
vielen Dank für Deine Ratschläge! Aber Du hast sicher bijan als Empfänger gemeint. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
23.01.2005, 10:24
Moderator
Beiträge: 7805 |
#24
VErsuche es doch mal einfach. Du weisst doch nun, welche Datei als VX2 identifiziert wird. Dann loesche sie doch mit Hilfe von Killbox und der option "delete on reboot". Eine Guard.tmp im System32 Ordner muesste auch noch geloescht werden.
Wen du die Dateien in deinem System32 Ordner nach Datum sortieren laesst, werden noch mehr Dateien mit unnormalen Dateinamen und mit einer Groesse von da 200-230 KB auftauchen, die solltest du auch mal umbenennen. VX2find solltest du auch nochnutzen, um den useer Agent Eintrag zu reparieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.01.2005, 11:01
Moderator
Beiträge: 7805 |
#25
Die Methode mit DLL compare kann man auch hier ansehen:
http://www.valki.com/article.php?sid=4035 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.01.2005, 18:17
Member
Themenstarter Beiträge: 26 |
#26
Hallo!
Hier ist mein neues Hijackthis-Log: Logfile of HijackThis v1.99.0 Scan saved at 18:13:54, on 23.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal 6.27\AVGUARD.EXE C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\AVPersonal 6.27\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\VX2Finder.exe C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe R3 - Default URLSearchHook is missing O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [iejw32.exe] C:\WINDOWS\system32\iejw32.exe O4 - HKLM\..\Run: [apiwy.exe] C:\WINDOWS\apiwy.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal 6.27\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal 6.27\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe to be continued... |
|
|
||
23.01.2005, 18:19
Member
Themenstarter Beiträge: 26 |
#27
Das hier ist mein neues Dll-Compare-Log:
* DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\aaferror.dll Sun 23 Jan 2005 17:40:10 ..S.R 225.146 219,87 K C:\WINDOWS\SYSTEM32\aza805~1.dll Sun 23 Jan 2005 17:40:08 ..S.R 222.788 217,57 K C:\WINDOWS\SYSTEM32\cdplay~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\cgmres.dll Mon 10 Jan 2005 9:43:42 ..S.R 224.635 219,37 K C:\WINDOWS\SYSTEM32\ckmcat.dll Sun 9 Jan 2005 2:19:42 ..S.R 222.975 217,75 K C:\WINDOWS\SYSTEM32\donet.dll Sat 15 Jan 2005 14:39:24 ..S.R 224.721 219,45 K C:\WINDOWS\SYSTEM32\enlol1~1.dll Wed 5 Jan 2005 0:58:22 ..S.R 223.244 218,01 K C:\WINDOWS\SYSTEM32\fdsrch.dll Thu 16 Dec 2004 20:05:34 ..S.R 223.720 218,48 K C:\WINDOWS\SYSTEM32\gmtuname.dll Sun 2 Jan 2005 17:20:52 ..S.R 224.006 218,75 K C:\WINDOWS\SYSTEM32\hgsetup.dll Tue 11 Jan 2005 11:41:44 ..S.R 225.723 220,43 K C:\WINDOWS\SYSTEM32\hr4805~1.dll Sun 23 Jan 2005 12:51:56 ..S.R 225.146 219,87 K C:\WINDOWS\SYSTEM32\i0lo0a~1.dll Sun 23 Jan 2005 11:57:54 ..S.R 225.476 220,19 K C:\WINDOWS\SYSTEM32\ieetmib1.dll Fri 7 Jan 2005 21:04:14 ..S.R 225.879 220,58 K C:\WINDOWS\SYSTEM32\inxrtmgr.dll Wed 22 Dec 2004 13:26:08 ..S.R 222.819 217,59 K C:\WINDOWS\SYSTEM32\ir8sl5~1.dll Wed 5 Jan 2005 13:19:32 ..S.R 225.014 219,74 K C:\WINDOWS\SYSTEM32\jnmd400.dll Sat 8 Jan 2005 14:33:12 ..S.R 224.871 219,60 K C:\WINDOWS\SYSTEM32\kgygaavl.sys Sun 23 Jan 2005 16:36:52 A.SH. 10.022 9,79 K C:\WINDOWS\SYSTEM32\kjd103.dll Sat 8 Jan 2005 13:35:08 ..S.R 222.990 217,76 K C:\WINDOWS\SYSTEM32\kydtat.dll Thu 23 Dec 2004 4:59:52 ..S.R 222.819 217,59 K C:\WINDOWS\SYSTEM32\lkprxy.dll Fri 31 Dec 2004 19:28:34 ..S.R 223.477 218,24 K C:\WINDOWS\SYSTEM32\logonu~1.man Mon 2 Aug 2004 13:49:04 A..HR 488 0,48 K C:\WINDOWS\SYSTEM32\lxcalui.dll Fri 14 Jan 2005 18:18:22 ..S.R 223.611 218,37 K C:\WINDOWS\SYSTEM32\mioert2.dll Sun 2 Jan 2005 19:11:50 ..S.R 223.752 218,51 K C:\WINDOWS\SYSTEM32\mxvcrt20.dll Tue 11 Jan 2005 9:09:42 ..S.R 225.081 219,80 K C:\WINDOWS\SYSTEM32\ncpacp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\nghtml.dll Wed 22 Dec 2004 0:36:54 ..S.R 224.239 218,98 K C:\WINDOWS\SYSTEM32\nitcfgx.dll Wed 5 Jan 2005 12:29:56 ..S.R 222.991 217,76 K C:\WINDOWS\SYSTEM32\nolanui.dll Wed 5 Jan 2005 13:15:02 ..S.R 222.991 217,76 K C:\WINDOWS\SYSTEM32\nwccpl~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\rbcdll.dll Fri 31 Dec 2004 19:50:06 ..S.R 224.855 219,58 K C:\WINDOWS\SYSTEM32\sapicp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\srtupdll.dll Wed 5 Jan 2005 17:27:24 ..S.R 223.229 217,99 K C:\WINDOWS\SYSTEM32\stfrcdlg.dll Sat 8 Jan 2005 23:36:50 ..S.R 224.871 219,60 K C:\WINDOWS\SYSTEM32\tonlib20.dll Fri 17 Dec 2004 17:17:50 ..S.R 224.239 218,98 K C:\WINDOWS\SYSTEM32\ttcfgwmi.dll Thu 16 Dec 2004 20:54:24 ..S.R 223.720 218,48 K C:\WINDOWS\SYSTEM32\wai.dll Sun 2 Jan 2005 15:29:34 ..S.R 222.920 217,70 K C:\WINDOWS\SYSTEM32\window~1.man Mon 2 Aug 2004 13:49:04 A..HR 488 0,48 K C:\WINDOWS\SYSTEM32\wuaucp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\wwpcore.dll Sat 8 Jan 2005 17:50:30 ..S.R 226.264 220,96 K C:\WINDOWS\SYSTEM32\wxpdinfo.dll Sat 18 Dec 2004 15:11:00 ..S.R 225.930 220,63 K C:\WINDOWS\SYSTEM32\xgbrb.dll Tue 7 Sep 2004 16:28:36 A.SH. 0 0,00 K ________________________________________________ 2.082 items found: 2.037 files (41 H/S), 45 directories (1 H/S). Total of file sizes: 395.581.618 bytes 377,25 M Administrator Account = Wahr --------------------End log--------------------- to be continued... |
|
|
||
23.01.2005, 18:20
Member
Themenstarter Beiträge: 26 |
#28
Außerdem das VX2-Finder-Log:
Files Found--- Additional Files--- Keys Under Notify--- crypt32chain cryptnet cscdll ScCertProp Schedule sclgntfy SensLogn StillImage termsrv wlballoon Guardian Key--- is called: Guardian Key--- : User Agent String--- {F33DD22A-E0F4-4194-B587-665E7567DC50} to be continued... |
|
|
||
23.01.2005, 18:21
Member
Themenstarter Beiträge: 26 |
#29
und zu guter letzt mein aktuelles Ad-Aware-Log:
Ad-Aware SE Build 1.05 Protokolldatei erstellt am:Freitag, 21. Januar 2005 12:10:33 Created with Ad-Aware SE Personal, free for private use. Verwendete Definitionsdatei:SE1R25 11.01.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Während des Scannings identifizierte Referenzen: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC-Index:0):8 Referenzen insgesamt Redirected hostfile entry(TAC-Index:4):3 Referenzen insgesamt VX2(TAC-Index:10):4 Referenzen insgesamt »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Festlegen : Nach unbedeutenden Risikoeinträgen suchen Festlegen : Sicherer Modus (stets Bestätigung abfragen) Festlegen : Aktive Prozesse scannen Festlegen : Registrierung scannen Festlegen : Registrierung gründlich scannen Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen Festlegen : Hosts-Datei scannen Extended Ad-Aware SE Settings =========================== Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf. Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf. Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren Festlegen : Referenz-Zusammenfassung protokollieren Festlegen : Details zu alternativen Datenströmen protokollieren Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen 21.01.2005 12:10:33 - Scanning wurde gestartet. (Vollständiger Systemscan) MRU List Objekt erkannt! Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\mediaplayer\player\settings Beschreibung : last open directory used in jasc paint shop pro MRU List Objekt erkannt! Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\mediaplayer\player\recentfilelist Beschreibung : list of recently used files in microsoft windows media player MRU List Objekt erkannt! Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\internet explorer Beschreibung : last download directory used in microsoft internet explorer MRU List Objekt erkannt! Pfad: : software\microsoft\directdraw\mostrecentapplication Beschreibung : most recent application to use microsoft directdraw MRU List Objekt erkannt! Pfad: : software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct3d MRU List Objekt erkannt! Pfad: : software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct X MRU List Objekt erkannt! Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows media\wmsdk\general Beschreibung : windows media sdk MRU List Objekt erkannt! Pfad: : C:\Dokumente und Einstellungen\Bijan Benjamin\recent Beschreibung : list of recently opened documents Liste der laufenden Prozesse »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 456 ThreadCreationTime : 21.01.2005 11:05:12 BasePriority : Normal #:2 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 536 ThreadCreationTime : 21.01.2005 11:05:15 BasePriority : High VX2 Objekt erkannt! Typ : Prozess Daten : lv8609lse.dll Kategorie : Malware Kommentar : (CSI MATCH) Objekt : C:\WINDOWS\system32\ Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\lv8609lse.dll) #:3 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 580 ThreadCreationTime : 21.01.2005 11:05:15 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:4 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 592 ThreadCreationTime : 21.01.2005 11:05:15 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:5 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 752 ThreadCreationTime : 21.01.2005 11:05:16 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 776 ThreadCreationTime : 21.01.2005 11:05:16 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1060 ThreadCreationTime : 21.01.2005 11:05:18 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:8 [avguard.exe] FilePath : C:\Programme\AVPersonal 6.27\ ProcessID : 1164 ThreadCreationTime : 21.01.2005 11:05:19 BasePriority : Normal #:9 [avwupsrv.exe] FilePath : C:\Programme\AVPersonal 6.27\ ProcessID : 1176 ThreadCreationTime : 21.01.2005 11:05:19 BasePriority : Normal #:10 [mdm.exe] FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\ ProcessID : 1212 ThreadCreationTime : 21.01.2005 11:05:19 BasePriority : Normal FileVersion : 7.00.9466 ProductVersion : 7.00.9466 ProductName : Microsoft® Visual Studio .NET CompanyName : Microsoft Corporation FileDescription : Machine Debug Manager InternalName : mdm.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : mdm.exe #:11 [nvsvc32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1264 ThreadCreationTime : 21.01.2005 11:05:20 BasePriority : Normal FileVersion : 6.13.10.3100 ProductVersion : 6.13.10.3100 ProductName : NVIDIA Driver Helper Service, Version 31.00 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 31.00 InternalName : NVSVC LegalCopyright : (c) NVIDIA Corporation. All rights reserved. OriginalFilename : nvsvc32.exe #:12 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1320 ThreadCreationTime : 21.01.2005 11:05:20 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:13 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1952 ThreadCreationTime : 21.01.2005 11:05:27 BasePriority : Normal FileVersion : 6.00.2600.0000 (xpclient.010817-1148) ProductVersion : 6.00.2600.0000 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE VX2 Objekt erkannt! Typ : Prozess Daten : ikxrtmgr.dll Kategorie : Malware Kommentar : (CSI MATCH) Objekt : C:\WINDOWS\system32\ Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\ikxrtmgr.dll) #:14 [jusched.exe] FilePath : C:\Programme\Java\j2re1.4.2_05\bin\ ProcessID : 124 ThreadCreationTime : 21.01.2005 11:05:31 BasePriority : Normal #:15 [avgnt.exe] FilePath : C:\Programme\AVPersonal 6.27\ ProcessID : 168 ThreadCreationTime : 21.01.2005 11:05:32 BasePriority : Normal #:16 [ctfmon.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 176 ThreadCreationTime : 21.01.2005 11:05:32 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:17 [wuauclt.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 508 ThreadCreationTime : 21.01.2005 11:06:11 BasePriority : Normal FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04) ProductVersion : 5.4.3790.2182 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Automatische Updates InternalName : wuauclt.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : wuauclt.exe #:18 [wuauclt.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 220 ThreadCreationTime : 21.01.2005 11:08:20 BasePriority : Normal FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04) ProductVersion : 5.4.3790.2182 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Automatische Updates InternalName : wuauclt.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : wuauclt.exe #:19 [rundll32.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 708 ThreadCreationTime : 21.01.2005 11:09:25 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Eine DLL-Datei als Anwendung ausführen InternalName : rundll LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : RUNDLL.EXE VX2 Objekt erkannt! Typ : Prozess Daten : guard.tmp Kategorie : Malware Kommentar : (CSI MATCH) Objekt : C:\WINDOWS\system32\ Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\guard.tmp) "C:\WINDOWS\system32\rundll32.exe"Prozess wurde erfolgreich beendet #:20 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 584 ThreadCreationTime : 21.01.2005 11:10:11 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Ergebnis des Arbeitsspeicherscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 11 Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 11 Gründlicher Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des gründlichen Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 11 Tracking Cookie-Scan wurde gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des Tracking Cookie-Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 11 Dateien werden gründlich gescannt und überprüft (C:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 11 Dateien werden gründlich gescannt und überprüft (D:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 11 Dateien werden gründlich gescannt und überprüft (E:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für E:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 11 Hosts-Datei wird gescannt...... Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Warnung! Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:auto.search.msn.com Redirected hostfile entry Objekt erkannt! Typ : Hosts file Daten : 69.20.16.183 Kategorie : Misc Kommentar : Possible CoolWebSearch Hijack Bad Hostfile entry : 69.20.16.183:auto.search.msn.com Warnung! Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:search.netscape.com Redirected hostfile entry Objekt erkannt! Typ : Hosts file Daten : 69.20.16.183 Kategorie : Misc Kommentar : Possible CoolWebSearch Hijack Bad Hostfile entry : 69.20.16.183:search.netscape.com Warnung! Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:ieautosearch Redirected hostfile entry Objekt erkannt! Typ : Hosts file Daten : 69.20.16.183 Kategorie : Misc Kommentar : Possible CoolWebSearch Hijack Bad Hostfile entry : 69.20.16.183:ieautosearch Scanergebnis für Hosts-Datei: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 13 Einträge gescannt. Neue kritische Objekte:3 Bisher gefundene Objekte: 14 Bedingte Scans werden durchgeführt... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» VX2 Objekt erkannt! Typ : RegValue Daten : Kategorie : Malware Kommentar : ROOTKEY : HKEY_CURRENT_USER Objekt : software\microsoft\internet explorer\toolbar\webbrowser Wert : {0E5CBF21-D15F-11D0-8301-00AA005B4383} Ergebnis des bedingten Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 1 Bisher gefundene Objekte: 15 12:21:43 Scan abgeschlossen Scanzusammenfassung »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Scandauer insges.:00:11:10.219 Gescannte Objekte:153988 Identifizierte Objekte:4 Ignorierte Objekte:0 Neue kritische Objekte:4 Was kann / soll ich jetzt also tun..? Gruß, Bijan |
|
|
||
23.01.2005, 18:47
Moderator
Beiträge: 7805 |
#30
Nun loesche ersteinmal die Dateien, die Adaware als vx2 identifiziert hat mit Killbox, wie oben im Artikel beschrieben. genauso wie die DLL Dateien, die im dllcompare log angegeben sind. Denke daran, alles in einem Schritt ohne Neustart zu machen, sonst aendern sich die Dateinamen.
Wahrscheinlich musst du die Logs nocheinmal machen, da du bestimmt schon den Rechner erneut gestartet hast. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
hier gibt es eine Anleitung zur manuellen Entfernung von VX2:
http://www.spywareguide.com/product_show.php?id=25
Aber noch einmal, das ist nicht das einzige Problem was Du hast!
z.B
Zitat
Da muss ein HJL-Profi ran, um Dir zu helfen.Gruß
Heron
edit:
Dein System hast Du auch noch nicht gepatcht!
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch