Home » Viren, Trojaner & Malware Forum » Trojaner Qhost.AA und Dldr.Agent.MG.6 Worm SdBot.4761628 » Themenansicht
Trojaner Qhost.AA und Dldr.Agent.MG.6 Worm SdBot.4761628 |
||
|---|---|---|
| #0
| ||
|
15.06.2005, 18:11
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
15.06.2005, 22:26
Member
Themenstarter Beiträge: 14 |
#17
Also, ich glaube es ist langsam Land in Sicht:
Habe rkfiles.bat laufen lassen, hat mir nach 1,5 Stunden ein log.txt angezeigt, konnte es aber nicht speichern. Habe dann gefixt wie angegeben. Habe dann noch mehrfach cmd und killbox laufen lassen und versucht alles verdächtige zu loeschen. Ergebnis: Antivir findet jetzt nur noch 4 Würmer bzw Viren: :\WINNT\system32 izyyid.exe ArchiveType: RAR SFX (self extracting) --> avuwome.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.2 --> ixawefi.exe [FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069 timak.exe ArchiveType: RAR SFX (self extracting) --> obilade.exe [FUND!] Enthält Signatur des Wurmes WORM/SdBot.35129.1 --> fiyisuj.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.3 Erstaunlicherweise finde ich jedoch die angegebenen infizierten Dateien weder mit explorer noch in dem Ordner :\WINNT\system32. Auch nicht im abgesicherten Modus ! Hijack this sieht doch auch ganz ordentlich aus, bis auf O23 - Service: Performance Logging Messaging (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing) Kann ich jedoch nicht wegfixen. Wie kann es denn sein, dass Antivir infizierte Dateien findet, die ich sonst nicht finden kann ?? Habe keinen OnlineScan gemacht mit Nikitqa, traue mich mit dem Rechner nicht mehr online...... Hier die vollstaendigen Ergebnisse: Logfile of HijackThis v1.99.1 Scan saved at 20:19:58, on 15/06/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\antivirpersonaledition622\AVGUARD.EXE C:\Programme\antivirpersonaledition622\AVWUPSRV.EXE C:\WINNT\SYSTEM32\DWRCS.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Norton Speed Disk\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SYSTEM32\DWRCST.exe C:\WINNT\system32\devldr32.exe C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE C:\Programme\antivirpersonaledition622\AVGNT.EXE C:\Programme\Netscape\Netscape\Netscp.exe C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\Antivirus0605\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von planet-interkom O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [D066UUtility] C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\antivirpersonaledition622\AVGNT.EXE /min O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .swf: C:\Programme\Netscape\Communicator\Program\PLUGINS\npswf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C13B3D38-8E4A-4E9E-A4A3-3EB97749A332}: NameServer = 192.168.0.11,192.168.0.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{D55BCE18-0B6E-4CC3-8500-85AA3FF56A98}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\antivirpersonaledition622\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\antivirpersonaledition622\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Norton Speed Disk\nopdb.exe O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE O23 - Service: Performance Logging Messaging (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing) O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe Erstellungsdatum der Reportdatei: mercredi 15 juin 2005 20:23 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1047 vom 07.06.2005 Hauptptogramm 6.31.00.03 vom 10.05.2005 VDF-Datei 6.31.0.25 (0) vom 09.06.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 178212 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-WURGE-0001 Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.0 Build 2195 (Service Pack 4) Benutzername: Dr. HC Cäsar Computername: MEDICUS Prozessor: Pentium Arbeitsspeicher: 261624 KB frei Versionsinformationen: AVWIN.DLL : 6.31.00.03 528424 07.06.2005 11:34:24 AVEWIN32.DLL : 6.31.0.5 823808 08.06.2005 23:02:40 AVGNT.EXE : 6.31.00.01 168039 07.06.2005 11:34:22 AVGUARD.EXE : 6.31.00.01 238120 07.06.2005 11:34:22 GUARDMSG.DLL : 6.31.00.01 98344 07.06.2005 11:34:24 AVGCMSG.DLL : 6.31.00.00 295029 07.06.2005 11:34:22 AVGNTDW.SYS : 6.31.00.01 32896 07.06.2005 11:34:22 AVPACK32.DLL : 6.31.00.03 323664 07.06.2005 11:34:22 AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:17:42 AVWIN.DLL : 6.31.00.03 528424 07.06.2005 11:34:24 AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:17:42 AVSched32.EXE : 6.30.00.00 110632 16.03.2005 10:17:42 AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:17:42 AVREG.DLL : 6.30.00.03 41000 16.03.2005 10:17:42 AVRep.DLL : 6.31.00.08 1155112 08.06.2005 23:02:48 INETUPD.EXE : 6.31.00.02 249915 07.06.2005 11:34:24 INETUPD.DLL : 6.31.00.02 159744 07.06.2005 11:34:24 CTL3D32.DLL : 2.31.000 27136 10.12.1999 14:00:00 MFC42.DLL : 6.00.9586.0 1015859 19.06.2003 20:05:04 MSVCRT.DLL : 6.10.9844.0 286773 19.06.2003 20:05:04 CTL3DV2.DLL : 2.31.001 27632 14.07.1998 10:59:02 Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\antivirpersonaledition622\AVWIN.INI Name der Reportdatei: C:\Programme\antivirpersonaledition622\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\antivirpersonaledition622 Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [X] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\Programme\antivirpersonaledition622\BUILD.DAT [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom F: Diskettenlaufwerk G: Diskettenlaufwerk Start des Suchlaufs: mercredi 15 juin 2005 20:23 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 Der Sektor konnte nicht gelesen werden! Fehlercode: 0x0015 Master-Bootsektor von Festplatte HD2 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LEY1CJTT WebCleaner[1].cab ArchiveType: CAB (Microsoft) --> WebCleaner.dll HINWEIS! Der Archivheader ist defekt --> WebCleaner.inf HINWEIS! Der Archivheader ist defekt KillBox[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar\Anwendungsdaten\Mozilla\Profiles\michaelknecht-1\s9gc6yst.slt parent.lock Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! SCARDSRV.TMP Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT\system32 izyyid.exe ArchiveType: RAR SFX (self extracting) --> avuwome.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.2 --> ixawefi.exe [FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069 timak.exe ArchiveType: RAR SFX (self extracting) --> obilade.exe [FUND!] Enthält Signatur des Wurmes WORM/SdBot.35129.1 --> fiyisuj.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.3 C:\WINNT\system32\config software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM.ALT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! DEFAULT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT\system32\spool\drivers\w32x86 EB5ST000.DAT ArchiveType: CAB SFX (self extracting) --> \EBAPISET.dll HINWEIS! Der Archivheader ist defekt --> \EBAPISET.exe HINWEIS! Der Archivheader ist defekt --> \EBSETUP.dll HINWEIS! Der Archivheader ist defekt --> \SHARE2_t\EbpShre2.dll HINWEIS! Der Archivheader ist defekt --> \LPT_t\Ebplpt.dll HINWEIS! Der Archivheader ist defekt --> \LPT_s\ECBTEG.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\EBPMON2.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \LPTNT_s\ebppmon.dll HINWEIS! Der Archivheader ist defekt --> \LPT95_s\EBPMON.DLL HINWEIS! Der Archivheader ist defekt --> \LPT95_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \Etc\EBAPI.ini HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\Ebapi162.dll HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\EBAPI2HS.EXE HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.exe HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.ex0 HINWEIS! Der Archivheader ist defekt --> \BASE_s\ebapi2.dll HINWEIS! Der Archivheader ist defekt --> \AGENT2_t\SAgent2.exe HINWEIS! Der Archivheader ist defekt C:\WINNT\system32\spool\drivers\w32x86\3 EB5ST000.DAT ArchiveType: CAB SFX (self extracting) --> \EBAPISET.dll HINWEIS! Der Archivheader ist defekt --> \EBAPISET.exe HINWEIS! Der Archivheader ist defekt --> \EBSETUP.dll HINWEIS! Der Archivheader ist defekt --> \SHARE2_t\EbpShre2.dll HINWEIS! Der Archivheader ist defekt --> \LPT_t\Ebplpt.dll HINWEIS! Der Archivheader ist defekt --> \LPT_s\ECBTEG.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\EBPMON2.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \LPTNT_s\ebppmon.dll HINWEIS! Der Archivheader ist defekt --> \LPT95_s\EBPMON.DLL HINWEIS! Der Archivheader ist defekt --> \LPT95_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \Etc\EBAPI.ini HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\Ebapi162.dll HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\EBAPI2HS.EXE HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.exe HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.ex0 HINWEIS! Der Archivheader ist defekt --> \BASE_s\ebapi2.dll HINWEIS! Der Archivheader ist defekt --> \AGENT2_t\SAgent2.exe HINWEIS! Der Archivheader ist defekt Ende des Suchlaufs: mercredi 15 juin 2005 21:20 Benötigte Zeit: 56:29 min 3772 Verzeichnisse wurden durchsucht 92281 Dateien wurden geprüft 21 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Viren bzw. unerwünschte Programme wurden gefunden |
|
|
|
|
|
|
16.06.2005, 08:48
Ehrenmitglied
Beiträge: 29434 |
#18
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Performance Logging Messaging (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing) der Backdoor hat einen Dienst erstellt und ein Tool zur Fernsteuerung des PC ........, der zu deaktivieren+ loeschen ist: •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: WksPatch DWMRCS Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ---------------------------------------------------------------------- Start< schreib rein: cmd kopiere rein: sc stop WksPatch klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete WksPatch klicke "enter" kopiere rein: del C:\WINNT\system32\drivers\svchost.exe Klicke "enter" -------------------------------- kopiere rein: sc stop DWMRCS klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete DWMRCS klicke "enter" kopiere rein: del C:\WINNT\SYSTEM32\DWRCS.EXE Klicke "enter" del C:\WINNT\SYSTEM32\DWRCST.exe del C:\WINNT\SYSTEM32\DNTUCli.exe del C:\WINNT\SYSTEM32\DNTUCnvt.exe del C:\WINNT\SYSTEM32\DNTUS26.exe del C:\WINNT\SYSTEM32\DWADEA.exe del C:\WINNT\SYSTEM32\DWExp.exe del C:\WINNT\SYSTEM32\DWMacDis.exe del C:\WINNT\SYSTEM32\DWRCC.exe del C:\WINNT\SYSTEM32\DWRCCMD.exe del C:\WINNT\SYSTEM32\DWRCCnvt.exe del C:\WINNT\SYSTEM32\DWRCINS.exe del C:\WINNT\SYSTEM32\DWRTDE.exe ------------------------------------------------------------------------------ Start -- Ausführen -- services.msc http://virus-protect.org/windowsdienste.html deaktivieren die Dienste: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC Performance Logging Messaging (WksPatch) --------------------------------------------------------------------------- C:\WINNT\system32\drivers\svchost.exe (musst du loeschen, aber nur das , nichts anderes, weil der svchost.exe normalerweise ein Windowsdienst ist) C:\WINNT\SYSTEM32\DWRCST.exe (loeschen) Zitat DNTUCli.exe Remote command clientDWRCST.exe.manifest auf den fernzusteuernden Computer--> ich denke mit hilfe davon wird der PC ferngesteuert  ---------------------------- loesche mit der Killbox: C:\WINNT\system32\izyyid.exe C:\WINNT\system32\ixawefi.exe C:\WINNT\system32\obilade.exe C:\WINNT\system32\fiyisuj.exe C:\WINNT\system32\drivers\svchost.exe C:\WINNT\SYSTEM32\DWRCST.exe C:\WINNT\SYSTEM32\DNTUCli.exe C:\WINNT\SYSTEM32\DNTUCnvt.exe C:\WINNT\SYSTEM32\DNTUS26.exe C:\WINNT\SYSTEM32\DWADEA.exe C:\WINNT\SYSTEM32\DWExp.exe C:\WINNT\SYSTEM32\DWMacDis.exe C:\WINNT\SYSTEM32\DWRCC.exe C:\WINNT\SYSTEM32\DWRCCMD.exe C:\WINNT\SYSTEM32\DWRCCnvt.exe C:\WINNT\SYSTEM32\DWRCINS.exe C:\WINNT\SYSTEM32\DWRCS.exe C:\WINNT\SYSTEM32\DWRTDE.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.06.2005, 09:55
Member
Themenstarter Beiträge: 14 |
#19
Klingt ja so als wuerden wir den kerl erledigen koennen !!!!!
Werde mich heute abend gleich an 's Werk machen. Wollte noch berichten, dass ich gestern Kaspersky personal runtergelqden habe und scannen liess: ging allerdings nicht im abgesicherten Modus (maus geht da nicht und ich kann das Programm zwar aufrufen dann aber auf der Windowsoberflaeche nicht starten), hat 1 W32 Trojaner und 1 W32backdoorTrojaner gefunden, die jeweils mehrere Verzeichnisse hatten (insgesamt 11 !!). Kaspersky hat mir am Ende angeboten alle zu loeschen, was ich der Reihe nach gemacht habe, schien auch zu klappen. Habe dann neu gestartet und Kaspersky online upgedated, da das letzte Update von 250505 war. Hat er auch gemacht, aber waehrend dieser 45 Sekunden "4 Netzwerkangriffe abgewehrt" angezeigt von 80. ................(hat mir eine ca 10stellige Zahl genannt, ist das die IP Adresse von dem backdoorbesitzer ????) Melde mich heute abend wieder wenn ich alles erledigt habe was du empfohlen hast. |
|
|
|
|
|
|
16.06.2005, 10:16
Ehrenmitglied
Beiträge: 29434 |
#20
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
jeamnd hat es geschafft, einen Remotserver zu installieren, damit hat er vollen Zugriff auf den PC, du musst den Dienst deaktivieren und dann auch in der Registry loeschen, aber dabei helfe ich dir (du musst mir aber berichten, ob die DOS-Befehle geklappt haben und du musst das Tool Registry Search Tool zum Laufen bringen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.06.2005, 22:35
Member
Themenstarter Beiträge: 14 |
#21
Sieht immer besser aus, hab alles versucht nach Anleitung zu machen, kaspersky findet jetzt nichts mehr ausser :
C:\Internet Downloads\Winzip 7_0 Win 98_2000\wzip32d.exe\SETUP.WZ\WINZIP32.EX_ Durch Kennwort geschützt, nicht bearbeitet. regsrch.vbs aht geklappt: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "WksPatch" 16/06/2005 19:17:05 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch\Enum] "0"="Root\\LEGACY_WKSPATCH\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WksPatch] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WksPatch\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch\Enum] "0"="Root\\LEGACY_WKSPATCH\\0000" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "DWMRCS" 16/06/2005 19:14:11 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS\0000\Control] "ActiveService"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS\Enum] "0"="Root\\LEGACY_DWMRCS\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DWMRCS\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\0000\Control] "ActiveService"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DWMRCS\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DWMRCS\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DWMRCS\Enum] "0"="Root\\LEGACY_DWMRCS\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\DWMRCS] Start< schreib rein: cmd kopiere rein: sc stop WksPatch klicke "enter" Ging alles nicht, erkennt den Befehl sc nicht kopiere rein: del C:\WINNT\system32\drivers\svchost.exe Klicke "enter" del C:\WINNT\SYSTEM32\DNTUCnvt.exe del C:\WINNT\SYSTEM32\DNTUS26.exe del C:\WINNT\SYSTEM32\DWADEA.exe del C:\WINNT\SYSTEM32\DWExp.exe del C:\WINNT\SYSTEM32\DWMacDis.exe del C:\WINNT\SYSTEM32\DWRCC.exe del C:\WINNT\SYSTEM32\DWRCCMD.exe del C:\WINNT\SYSTEM32\DWRCCnvt.exe del C:\WINNT\SYSTEM32\DWRCINS.exe del C:\WINNT\SYSTEM32\DWRTDE.exe Ging nicht, findet keine einzige Datei ! Start -- Ausführen -- services.msc http://virus-protect.org/windowsdienste.html deaktivieren die Dienste: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC Performance Logging Messaging (WksPatch) Deaktivieren ging perfekt ! C:\WINNT\system32\drivers\svchost.exe (musst du loeschen, aber nur das , nichts anderes, weil der svchost.exe normalerweise ein Windowsdienst ist) findet Datei nicht C:\WINNT\SYSTEM32\DWRCST.exe (loeschen) Hat geklappt mit Explorer loesche mit der Killbox: C:\WINNT\system32\izyyid.exe C:\WINNT\system32\ixawefi.exe C:\WINNT\system32\obilade.exe C:\WINNT\system32\fiyisuj.exe C:\WINNT\system32\drivers\svchost.exe C:\WINNT\SYSTEM32\DWRCST.exe C:\WINNT\SYSTEM32\DNTUCli.exe C:\WINNT\SYSTEM32\DNTUCnvt.exe C:\WINNT\SYSTEM32\DNTUS26.exe C:\WINNT\SYSTEM32\DWADEA.exe C:\WINNT\SYSTEM32\DWExp.exe C:\WINNT\SYSTEM32\DWMacDis.exe C:\WINNT\SYSTEM32\DWRCC.exe C:\WINNT\SYSTEM32\DWRCCMD.exe C:\WINNT\SYSTEM32\DWRCCnvt.exe C:\WINNT\SYSTEM32\DWRCINS.exe C:\WINNT\SYSTEM32\DWRCS.exe C:\WINNT\SYSTEM32\DWRTDE.exe Weiss nicht ob’s geklappt hat, am Ende wenn ich rebooten will zeigt er mir an: Pending file name operations Registry data has been removed by external process ! Danach zeigt Hijackthis: ogfile of HijackThis v1.99.1 Scan saved at 22:34:11, on 16/06/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Norton Speed Disk\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE C:\Programme\Netscape\Netscape\Netscp.exe C:\WINNT\System32\svchost.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\Antivirus0605\Hijack\HijackThis.exe C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\Antivirus0605\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von planet-interkom O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [D066UUtility] C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .swf: C:\Programme\Netscape\Communicator\Program\PLUGINS\npswf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C13B3D38-8E4A-4E9E-A4A3-3EB97749A332}: NameServer = 192.168.0.11,192.168.0.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{D55BCE18-0B6E-4CC3-8500-85AA3FF56A98}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Norton Speed Disk\nopdb.exe O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe Beim kurzen online gehen um das zu schicken hat Kaspersky wieder gemeldet: „Netzangriff LSASS von 82.210.175.60 erfolgreich abgewehrt! (Gestern hiess es „Netzangriff LSASS von 82.239.132.24 erfolgreich abgewehrt!“) Was haeltst Du davon ??? L |
|
|
|
|
|
|
16.06.2005, 22:58
Ehrenmitglied
Beiträge: 29434 |
#22
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. dann scanne noch mal: •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: WksPatch DWMRCS Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.06.2005, 01:24
Member
Themenstarter Beiträge: 14 |
#23
Hat gut geklappt, hier das Ergebnis:
REDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "WksPatch" 17/06/2005 01:01:28 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" [HKEY_USERS\S-1-5-21-1993962763-839522115-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "i"="C:\\Dokumente und Einstellungen\\Dr. HC Cäsar\\Desktop\\Antivirus0605\\WksPatchregsrch1600605.tmp.txt" [HKEY_USERS\S-1-5-21-1993962763-839522115-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt] "j"="C:\\Dokumente und Einstellungen\\Dr. HC Cäsar\\Desktop\\Antivirus0605\\WksPatchregsrch1600605.tmp.txt" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "DWMRCS" 17/06/2005 01:14:59 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" [HKEY_USERS\S-1-5-21-1993962763-839522115-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List] "File3"="C:\\Dokumente und Einstellungen\\Dr. HC Cäsar\\Desktop\\Antivirus0605\\DWMRCSregsrch1600605.tmp.txt" [HKEY_USERS\S-1-5-21-1993962763-839522115-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "e"="C:\\Dokumente und Einstellungen\\Dr. HC Cäsar\\Desktop\\Antivirus0605\\DWMRCSregsrch1600605.tmp.txt" [HKEY_USERS\S-1-5-21-1993962763-839522115-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt] "a"="C:\\Dokumente und Einstellungen\\Dr. HC Cäsar\\Desktop\\Antivirus0605\\DWMRCSregsrch1600605.tmp.txt" |
|
|
|
|
|
|
17.06.2005, 10:40
Ehrenmitglied
Beiträge: 29434 |
#24
das Registry-Tool darf nichts mehr anzeigen, starte den PC neu und scanne noch mal.
Falls die eintraege dann nicht weg sind, gebe ich dir Anweisungen zum manuellen loeschen ---------------- + CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html  + Deaktivieren Wiederherstellung (dann aktiviere sie wieder) http://virus-protect.org/Systemwiederherstellung.html «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. + •MRU-Clear XP 1.2 Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat. Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen. http://www.ok-s.de/download/download.html Zitat [HKEY_USERS\S-1-5-21-1993962763-839522115-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List] __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
18.06.2005, 11:38
Member
Themenstarter Beiträge: 14 |
#25
Hat nach Neustart wieder je 14 Eintraege angezeigt. Habe dann alles nach Anweisung gemacht, nur die Systemwiederherstellung ging nicht, da ich Windows 2000 pro habe, da heisst das wohl „letzte als funktionierend bekannte Funktion“, da kann man aber keine Deaktivierung machen, zumindest habe ich es nicht geschafft.
Regsrch.vbs zeigt danach nur noch je 9 Eintraege: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "WksPatch" 18/06/2005 11:22:48 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] "Service"="WksPatch" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "DWMRCS" 18/06/2005 11:25:23 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\0000] "Service"="DWMRCS" Hijack this danach: Logfile of HijackThis v1.99.1 Scan saved at 11:28:16, on 18/06/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Norton Speed Disk\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE C:\Programme\Netscape\Netscape\Netscp.exe C:\WINNT\System32\svchost.exe C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\Antivirus0605\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von planet-interkom O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [D066UUtility] C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .swf: C:\Programme\Netscape\Communicator\Program\PLUGINS\npswf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C13B3D38-8E4A-4E9E-A4A3-3EB97749A332}: NameServer = 192.168.0.11,192.168.0.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{D55BCE18-0B6E-4CC3-8500-85AA3FF56A98}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Norton Speed Disk\nopdb.exe O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe |
|
|
|
|
|
|
18.06.2005, 15:51
Ehrenmitglied
Beiträge: 29434 |
#26
entschuldige, natuerlich hat WIN2000 keine Systemwiederherstellung
Gehe in die registry http://virus-protect.org/023service.html Start-->Ausfuehren--> regedit Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWMRCS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWMRCS HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH PC neustarten dann scanne noch mal mit Regsrch.vbs ------------------------------------------------- Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 60 Tage raus einzeln reinkopieren: (dann posten, was der Editor anzeigt) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
19.06.2005, 12:36
Member
Themenstarter Beiträge: 14 |
#27
Verflicxt, ich glaube wir haben verloren:
Habe gestern versucht nach Anleitung zu loeschen, ging aber nicht, habe auch Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff nicht gefunden, dann hat sich der Rechner ploetzlich aufgehaengt, ich musste neustarten dann wurde angezeigt: Windows kann nicht gestartet werden, WINNT\System32 fehlerhaft oder nicht gefunden hat mir aber angeboten einen Rettungsversuch mit der Windows2000 CD zu unternehmen, hab ich bisher aber nicht gemacht, muss die uralte CD erstmal in noch nicht ausgepackten Umzugskisten suchen........ Kurz vorher war ich nochmal fuer 1 Minute im Netz, dabei wurde angezeigt insgesamt 4 Angriffe auf das Netzwerk erfolgreich abgewehrt, aber auch ein Trojaner und 1 Backdoortrojaner gefunden und geloescht (Kaspersky), hqbe dann nochmal Kaspersky komplett scannen lassen und hat auch nichts gefunden......... Sollen wir aufgeben, dacht wir waren so kurz vor'm Ziel..............??? Werde jetzt erstmal meinen Internetzugang als Router (NTA oder wie das heisst) konfigurieren um hoffentlich ein bisschen sicherer zu sein.......[/i] |
|
|
|
|
|
|
19.06.2005, 16:59
Ehrenmitglied
Beiträge: 29434 |
#28
versuche eine Reparatur mit der CD zu machen (also noch nicht formatieren)
dann versuche die Eintraege in der Registry zu loeschen, oder manuell, oder mit dem Tool ) es gibt FTP-Server, ueber die der Backdoor Zugriff hat...die muessen wir finden Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
alle Virenscanner deinstallieren, lade Kaspersky, scanne im abgesicherten Modus)
Kaspersky-Antivirus
Kaspersky.com/trials
Kaspersky Anti-Virus/Deutsch
http://virus-protect.org/antivirenshareware.html
ANSONSTEN:
Neu formatieren und installieren (XP/ Windows 2000)
Was tun nach Neuinstallation XP/Win2000 + Sicherheitsmassnahmen
http://virus-protect.org/seite1.html
Eingeschränktes Benutzerkonto/Administratorrechte unter Windows
http://virus-protect.org/administrator.html
__________
MfG Sabina
rund um die PC-Sicherheit