msdirectx.sys Hacktool.Rootkit entfernen + xpjava.exe + steam.exeThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
01.10.2005, 01:31
Ehrenmitglied
Themenstarter Beiträge: 29434 |
||
|
||
01.10.2005, 11:31
...neu hier
Beiträge: 6 |
#17
Guten Morgen,
vielen Dank für die schnelle Hilfe... Logfile of HijackThis v1.99.1 Scan saved at 11:20:43, on 01.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Webroot\Accelerate\accelerate.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\taskcntr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Accelerate] C:\Programme\Webroot\Accelerate\accelerate.exe /S O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Amyuni Optionen.lnk = C:\WINDOWS\Amyopt.exe O4 - Global Startup: kqstarter.lnk = C:\Programme\Stuttgarter\.kevuSSLV\SAS\kqstarter.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {60EDCD98-F416-40B0-8992-F3798B8554D7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {60EDCD98-F416-40B0-8992-F3798B8554D7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120317661644 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{47E0691F-2C1B-4685-9E71-44B8A15F661E}: NameServer = 217.237.151.161 217.237.151.33 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe 01.10.2005 11:11 7.168 remon.sys 01.10.2005 11:10 17.145 nvapps.xml 30.09.2005 22:17 13.002 wpa.dbl 30.09.2005 21:15 264 winsusrm.dll 08.09.2005 21:36 2.006.368 MRT.exe 23.08.2005 22:32 199.344 FNTCACHE.DAT 13.08.2005 21:41 118.784 sirenacm.dll 06.08.2005 11:32 380.486 perfh009.dat 06.08.2005 11:32 52.900 perfc009.dat 06.08.2005 11:32 391.330 perfh007.dat 06.08.2005 11:32 63.778 perfc007.dat 06.08.2005 11:32 896.432 PerfStringBackup.INI 03.08.2005 10:33 520.456 LegitCheckControl.DLL 02.08.2005 13:22 3.799 jupdate-1.5.0_04-b05.log 01.10.2005 11:29 1.118 CC84.tmp 01.10.2005 11:12 16.384 Perflib_Perfdata_bf0.dat 01.10.2005 11:10 22.353 jusched.log 29.09.2005 17:49 65.536 ~DF24B7.tmp 29.09.2005 16:36 147.456 ~DF3C5.tmp 29.09.2005 16:10 147.456 ~DF697B.tmp 29.09.2005 15:23 2.496 java_install_reg.log 28.09.2005 19:46 65.536 ~DFF043.tmp 27.09.2005 19:00 16.384 ~DF92C9.tmp 27.09.2005 19:00 512 ~DF849F.tmp 27.09.2005 19:00 16.384 ~DF8493.tmp 27.09.2005 15:56 16.384 Perflib_Perfdata_c10.dat 26.09.2005 20:06 65.536 ~DF1918.tmp 26.09.2005 18:03 17.614 ~LLB6.tmp 26.09.2005 16:24 65.536 ~DF633.tmp 25.09.2005 19:05 147.456 ~DF2F14.tmp 24.09.2005 15:37 16.384 ~DF9495.tmp 24.09.2005 15:37 16.384 ~DF4C6F.tmp 23.09.2005 20:02 717 control.xml 22.09.2005 22:23 27.777 TFR14.tmp 22.09.2005 15:33 16.384 Perflib_Perfdata_b0c.dat 21.09.2005 00:59 27.777 TFRBC.tmp 21.09.2005 00:59 21.122 TFRB8.tmp 20.09.2005 23:05 10.225 TFR7C.tmp 20.09.2005 17:32 27.777 TFR180.tmp 20.09.2005 17:32 32.204 TFR17F.tmp 20.09.2005 17:32 35.574 TFR17E.tmp 20.09.2005 17:32 10.225 TFR17D.tmp 20.09.2005 17:32 71.682 TFR17A.tmp 20.09.2005 17:32 23.427 TFR178.tmp 20.09.2005 17:32 21.122 TFR174.tmp 20.09.2005 17:32 67.560 TFR173.tmp 20.09.2005 17:32 59.218 TFR171.tmp 20.09.2005 17:32 56.657 TFR16F.tmp 20.09.2005 17:32 46.660 TFR16E.tmp 20.09.2005 17:32 20.560 TFR16D.tmp 20.09.2005 17:32 40.950 TFR16C.tmp 20.09.2005 17:32 67.994 TFR16A.tmp 20.09.2005 17:32 46.021 TFR169.tmp 20.09.2005 11:48 101.122 VGXD5.tmp 19.09.2005 19:57 147.456 ~DF4C7.tmp 19.09.2005 19:49 16.384 Perflib_Perfdata_898.dat 19.09.2005 16:07 16.384 Perflib_Perfdata_718.dat 17.09.2005 22:39 16.384 Perflib_Perfdata_ef4.dat 17.09.2005 17:25 16.384 ~DF77C3.tmp 17.09.2005 17:25 16.384 ~DF675F.tmp 17.09.2005 16:58 16.384 Perflib_Perfdata_504.dat 17.09.2005 16:37 16.384 ~DFFE22.tmp 17.09.2005 16:36 512 ~DFDF5E.tmp 17.09.2005 16:36 16.384 ~DFDF4D.tmp 17.09.2005 16:34 16.384 Perflib_Perfdata_e80.dat 17.09.2005 11:03 147.456 ~DF4AA6.tmp 17.09.2005 10:17 16.384 ~DF44DF.tmp 17.09.2005 10:17 512 ~DFD1AE.tmp 17.09.2005 10:17 16.384 ~DFD189.tmp 17.09.2005 10:17 16.384 Perflib_Perfdata_b14.dat 16.09.2005 20:24 16.384 ~DF9963.tmp 16.09.2005 20:23 512 ~DF4657.tmp 16.09.2005 20:23 16.384 ~DF4646.tmp 16.09.2005 17:06 0 EPSLog.txt 16.09.2005 17:03 65.536 ~DF62D2.tmp 16.09.2005 16:05 65.536 ~DFF909.tmp 15.09.2005 18:36 492 STG2B.tmp 15.09.2005 17:51 65.536 ~DF1618.tmp 13.09.2005 19:27 16.384 ~DF407C.tmp 13.09.2005 19:27 512 ~DF144B.tmp 13.09.2005 19:27 16.384 ~DF1424.tmp 13.09.2005 19:27 16.384 Perflib_Perfdata_cec.dat 11.09.2005 20:12 101.122 VGXAF.tmp 11.09.2005 20:05 101.122 VGX91.tmp 10.09.2005 16:07 32.768 ~DFE51B.tmp 10.09.2005 15:59 16.384 ~DFD361.tmp 09.09.2005 11:48 16.384 ~DF9F7F.tmp 09.09.2005 11:48 16.384 ~DF7672.tmp 09.09.2005 11:31 147.456 ~DF7D14.tmp 09.09.2005 11:17 147.456 ~DF1B92.tmp 09.09.2005 11:17 2.097.152 NDLC3 09.09.2005 11:16 512 ~DF7BBD.tmp 09.09.2005 11:16 512 ~DF7BA3.tmp 09.09.2005 11:16 16.384 ~DF7BB1.tmp 09.09.2005 11:16 16.384 ~DF7B8D.tmp 09.09.2005 11:16 512 ~DF7B7F.tmp 09.09.2005 11:16 16.384 ~DF7B3F.tmp 09.09.2005 11:16 512 ~DF7B31.tmp 09.09.2005 11:16 16.384 ~DF7B13.tmp 09.09.2005 11:12 16.384 ~DFC0C9.tmp 09.09.2005 11:12 512 ~DFACB8.tmp 09.09.2005 11:12 16.384 ~DFACAC.tmp 09.09.2005 11:10 16.384 Perflib_Perfdata_be8.dat 08.09.2005 22:27 65.536 ~DF3B82.tmp 08.09.2005 15:52 147.456 ~DF85F3.tmp 08.09.2005 15:47 65.536 ~DF5280.tmp 06.09.2005 19:01 65.536 ~DFDAD0.tmp 06.09.2005 18:34 12.666 ICQ61.tmp 06.09.2005 18:34 4.645 ICQ60.tmp 13.08.2005 21:12 79.377 qmgr.cab 13.08.2005 21:12 2.072 qmgr.inf 01.10.2005 11:13 841 win.ini 01.10.2005 11:12 1.229.603 WindowsUpdate.log 01.10.2005 11:12 0 0.log 01.10.2005 11:11 159 wiadebug.log 01.10.2005 11:11 50 wiaservc.log 01.10.2005 11:10 2.048 bootstat.dat 01.10.2005 00:54 32.506 SchedLgU.Txt 30.09.2005 22:22 71.912 iis6.log 30.09.2005 22:22 12.548 comsetup.log 30.09.2005 22:22 105.540 ntdtcsetup.log 30.09.2005 22:22 186.261 tsoc.log 30.09.2005 22:22 1.374 imsins.log 30.09.2005 22:22 9.379 KB896727-IE6SP1-20050719.165959.log 30.09.2005 22:22 18.510 ocgen.log 30.09.2005 22:22 17.415 ocmsn.log 30.09.2005 22:22 23.783 msgsocm.log 30.09.2005 22:22 466.363 FaxSetup.log 30.09.2005 22:22 27.473 setupapi.log 30.09.2005 22:22 12.040 updspapi.log 30.09.2005 22:22 1.374 imsins.BAK 30.09.2005 22:22 15.028 KB896423.log 30.09.2005 22:21 14.094 KB899587.log 30.09.2005 22:21 13.659 KB899591.log 30.09.2005 22:20 13.847 KB893756.log 30.09.2005 22:20 13.392 KB899588.log 30.09.2005 22:04 7.736 svcpack.log 30.09.2005 21:55 0 setupact.log 30.09.2005 21:55 0 setuperr.log 30.09.2005 21:41 2.595 sql70.MIF 30.09.2005 19:47 64.512 taskcntr.exe 30.09.2005 15:47 194 setup.log 30.09.2005 15:47 7.459 sqlstp.log 30.09.2005 15:42 900 setup~0.iss 30.09.2005 15:41 25 dbvang.ini 30.09.2005 14:48 211 uno.ini 29.09.2005 21:27 54.156 QTFont.qfn 29.09.2005 15:15 1.409 QTFont.for 29.09.2005 15:12 3.586 GAUSS.INI 29.09.2005 15:12 362 UP.LOG 29.09.2005 15:12 3.586 GAUSS.bak 25.09.2005 19:52 3.824 ModemLog_Nokia 6230 USB.txt 23.09.2005 20:02 3.664 wmsetup.log 02.09.2005 17:54 253.952 Setup1.exe 02.09.2005 17:54 74.240 ST6UNST.EXE 02.09.2005 17:54 298 ST6UNST.000 23.08.2005 11:18 32 CD-Start.INI 21.08.2005 00:14 3.201 Jana.eml 21.08.2005 00:05 14.338 Jana.jpg 20.08.2005 22:36 12.672 SYMEVENT.LOG 20.08.2005 21:49 4.498 ODBCINST.INI 06.08.2005 11:38 22.479 KB901214.log 06.08.2005 11:37 16.724 KB826942.log 06.08.2005 11:37 1.532.411 setupapi.log.0.old 06.08.2005 11:37 624 avmcoins.log 06.08.2005 11:36 21.180 Q327979.log 06.08.2005 11:35 22.390 KB822603.log 06.08.2005 11:34 8.903 xpsp1hfm.log 06.08.2005 11:34 20.917 KB821253.log 06.08.2005 11:33 20.626 KB820291.log 06.08.2005 11:32 20.886 KB817778.log 06.08.2005 11:31 16.913 Q814995.log 06.08.2005 11:30 14.852 KB810243.log 06.08.2005 11:29 11.480 Q322011.log 01.10.2005 11:31 0 sys.txt 01.10.2005 11:30 11.673 system.txt 01.10.2005 11:29 5.142 systemtemp.txt 01.10.2005 11:27 104.930 system32.txt 01.10.2005 11:25 429 datFind.bat 01.10.2005 11:20 9.069 hijackthis.log 01.10.2005 11:10 402.653.184 pagefile.sys 30.09.2005 21:00 212.849 hijackthis.zip 14.09.2005 21:57 3.120.110 Adriano Celentano - Una Festa Sui Prati.mp3 14.09.2005 20:35 5.080.380 Acdc - Shoot To Thrill.mp3 14.09.2005 20:24 2.973.019 Given The Dog A Bone.mp3 03.09.2005 18:00 12.007.268 1.rar 16.02.2005 11:06 218.112 HijackThis.exe Gathor |
|
|
||
01.10.2005, 15:49
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#18
Hallo@Gathor
CCleaner (loesche alle temporaeren Dateien) http://virus-protect.org/temp.html Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "TASKESV (TESV)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "TASKESV (TESV) " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "TASKESV (TESV) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten. Doppelklick:regsrch.vbs reinkopieren: TASKESV Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Meldung (von Symantec) --- ignorieren warnmeldung:bösartiges skript entdeckt Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs Doppelklick:regsrch.vbs reinkopieren: remon Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) -------------- dann: du hast die Pfade nicht mit abkopiert und erschwerst mir so die Arbeit, ich nehme aber mal an, dass remon.sys unter System32 ist..... KillBox http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: C:\Windows\System32\remon.sys C:\WINDOWS\taskcntr.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten W32/Tilebot-S http://www.sophos.com/virusinfo/analyses/w32tilebots.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.10.2005, 17:45
...neu hier
Beiträge: 6 |
#19
Hi,
vielen Dank für deine Hilfe. Gestern Abend habe ich für mein Windows noch 8 Sicherheitsupdates gemacht, heute morgen zeigt mein Norton das rootkit nicht mehr an... Die Datei remon befindet sich unter C:\Windows\System32\remon.sys REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "TASKESV" 01.10.2005 17:33:10 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV\0000] "DeviceDesc"="TASKESV" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TESV] "DisplayName"="TASKESV" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TESV\0000] "DeviceDesc"="TASKESV" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TESV] "DisplayName"="TASKESV" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TESV\0000] "DeviceDesc"="TASKESV" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESV] "DisplayName"="TASKESV" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "remon" 01.10.2005 17:37:53 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon] "DisplayName"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon] "DisplayName"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Enum] Gathor |
|
|
||
01.10.2005, 21:16
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#20
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TESV\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TESV\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Enum] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Enum] ------------------------------------------------------------------------------------ in den normalmodus starten und poste noch mal Doppelklick:regsrch.vbs reinkopieren: TASKESV Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Meldung (von Symantec) --- ignorieren warnmeldung:bösartiges skript entdeckt Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs Doppelklick:regsrch.vbs reinkopieren: remon Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.10.2005, 16:24
...neu hier
Beiträge: 6 |
#21
Hi,
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "TASKESV" 02.10.2005 16:20:36 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV\0000] "DeviceDesc"="TASKESV" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TESV\0000] "DeviceDesc"="TASKESV" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TESV\0000] "DeviceDesc"="TASKESV" zu remon hat er nichts mehr gefunden... ;-) Vielen Dank für deine schnelle Hilfe. Gathor |
|
|
||
02.10.2005, 23:37
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#22
Start -->Ausfuehren-->regedit
bearbeiten--> suchen-->TASKESV Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. Zitat [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV\0000]PC neustarten dann ueberpruefe mit dem regtool, ob die Eintraege weg sind __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.10.2005, 11:04
...neu hier
Beiträge: 6 |
#23
Gutem Morgen,
wie kann sich eine Frau nur so gut mit PC auskennen??? Ich habe die Registrierungsschlüssel gelöscht, der letzte war gar nicht mehr da... regtool hat zu TASKESV nichts mehr gefunden. Heißt das jetzt für mich, dass das rootkit vollständig von meiner Festplatte verschwunden ist? Vielen Dank. Gathor |
|
|
||
03.10.2005, 14:48
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#24
Zitat wie kann sich eine Frau nur so gut mit PC auskennen???das hab ich nicht gelesen, oder nicht lesen wollen....das war nicht elegant von dir. deaktiviere noch die Systemwiederherstellung, dann aktiviere sie wieder. Onlinescan (Kaspersky und panda) + berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.10.2005, 18:51
...neu hier
Beiträge: 6 |
#25
Guten Abend Sabina,
mit meiner Aussage wollte ich nur meine Bewunderung dafür ausdrücken, mit was du dich alles auskennst und kannst... Wenn ich dir zu nahe getreten bin, entschuldige ich mich hiermit. Kaspersky hat remon.sys als Virus erkannt, ich habe es dann mit Killbox nochmal gelöscht. Jetzt ist es weg... ;-) Einen schönen Abend wünsche ich dir... Gathor |
|
|
||
und auch das hier alles abkopieren: (alle 4 Logs)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina
rund um die PC-Sicherheit