msdirectx.sys Hacktool.Rootkit entfernen + xpjava.exe + steam.exe

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.10.2005, 01:31
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#16 Hallo@Gathor

und auch das hier alles abkopieren: (alle 4 Logs)
http://virus-protect.org/datfindbat.html ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.10.2005, 11:31
...neu hier

Beiträge: 6
#17 Guten Morgen,
vielen Dank für die schnelle Hilfe...

Logfile of HijackThis v1.99.1
Scan saved at 11:20:43, on 01.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Webroot\Accelerate\accelerate.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\taskcntr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Accelerate] C:\Programme\Webroot\Accelerate\accelerate.exe /S
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Amyuni Optionen.lnk = C:\WINDOWS\Amyopt.exe
O4 - Global Startup: kqstarter.lnk = C:\Programme\Stuttgarter\.kevuSSLV\SAS\kqstarter.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {60EDCD98-F416-40B0-8992-F3798B8554D7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {60EDCD98-F416-40B0-8992-F3798B8554D7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120317661644
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47E0691F-2C1B-4685-9E71-44B8A15F661E}: NameServer = 217.237.151.161 217.237.151.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe

01.10.2005 11:11 7.168 remon.sys
01.10.2005 11:10 17.145 nvapps.xml
30.09.2005 22:17 13.002 wpa.dbl
30.09.2005 21:15 264 winsusrm.dll
08.09.2005 21:36 2.006.368 MRT.exe
23.08.2005 22:32 199.344 FNTCACHE.DAT
13.08.2005 21:41 118.784 sirenacm.dll
06.08.2005 11:32 380.486 perfh009.dat
06.08.2005 11:32 52.900 perfc009.dat
06.08.2005 11:32 391.330 perfh007.dat
06.08.2005 11:32 63.778 perfc007.dat
06.08.2005 11:32 896.432 PerfStringBackup.INI
03.08.2005 10:33 520.456 LegitCheckControl.DLL
02.08.2005 13:22 3.799 jupdate-1.5.0_04-b05.log

01.10.2005 11:29 1.118 CC84.tmp
01.10.2005 11:12 16.384 Perflib_Perfdata_bf0.dat
01.10.2005 11:10 22.353 jusched.log
29.09.2005 17:49 65.536 ~DF24B7.tmp
29.09.2005 16:36 147.456 ~DF3C5.tmp
29.09.2005 16:10 147.456 ~DF697B.tmp
29.09.2005 15:23 2.496 java_install_reg.log
28.09.2005 19:46 65.536 ~DFF043.tmp
27.09.2005 19:00 16.384 ~DF92C9.tmp
27.09.2005 19:00 512 ~DF849F.tmp
27.09.2005 19:00 16.384 ~DF8493.tmp
27.09.2005 15:56 16.384 Perflib_Perfdata_c10.dat
26.09.2005 20:06 65.536 ~DF1918.tmp
26.09.2005 18:03 17.614 ~LLB6.tmp
26.09.2005 16:24 65.536 ~DF633.tmp
25.09.2005 19:05 147.456 ~DF2F14.tmp
24.09.2005 15:37 16.384 ~DF9495.tmp
24.09.2005 15:37 16.384 ~DF4C6F.tmp
23.09.2005 20:02 717 control.xml
22.09.2005 22:23 27.777 TFR14.tmp
22.09.2005 15:33 16.384 Perflib_Perfdata_b0c.dat
21.09.2005 00:59 27.777 TFRBC.tmp
21.09.2005 00:59 21.122 TFRB8.tmp
20.09.2005 23:05 10.225 TFR7C.tmp
20.09.2005 17:32 27.777 TFR180.tmp
20.09.2005 17:32 32.204 TFR17F.tmp
20.09.2005 17:32 35.574 TFR17E.tmp
20.09.2005 17:32 10.225 TFR17D.tmp
20.09.2005 17:32 71.682 TFR17A.tmp
20.09.2005 17:32 23.427 TFR178.tmp
20.09.2005 17:32 21.122 TFR174.tmp
20.09.2005 17:32 67.560 TFR173.tmp
20.09.2005 17:32 59.218 TFR171.tmp
20.09.2005 17:32 56.657 TFR16F.tmp
20.09.2005 17:32 46.660 TFR16E.tmp
20.09.2005 17:32 20.560 TFR16D.tmp
20.09.2005 17:32 40.950 TFR16C.tmp
20.09.2005 17:32 67.994 TFR16A.tmp
20.09.2005 17:32 46.021 TFR169.tmp
20.09.2005 11:48 101.122 VGXD5.tmp
19.09.2005 19:57 147.456 ~DF4C7.tmp
19.09.2005 19:49 16.384 Perflib_Perfdata_898.dat
19.09.2005 16:07 16.384 Perflib_Perfdata_718.dat
17.09.2005 22:39 16.384 Perflib_Perfdata_ef4.dat
17.09.2005 17:25 16.384 ~DF77C3.tmp
17.09.2005 17:25 16.384 ~DF675F.tmp
17.09.2005 16:58 16.384 Perflib_Perfdata_504.dat
17.09.2005 16:37 16.384 ~DFFE22.tmp
17.09.2005 16:36 512 ~DFDF5E.tmp
17.09.2005 16:36 16.384 ~DFDF4D.tmp
17.09.2005 16:34 16.384 Perflib_Perfdata_e80.dat
17.09.2005 11:03 147.456 ~DF4AA6.tmp
17.09.2005 10:17 16.384 ~DF44DF.tmp
17.09.2005 10:17 512 ~DFD1AE.tmp
17.09.2005 10:17 16.384 ~DFD189.tmp
17.09.2005 10:17 16.384 Perflib_Perfdata_b14.dat
16.09.2005 20:24 16.384 ~DF9963.tmp
16.09.2005 20:23 512 ~DF4657.tmp
16.09.2005 20:23 16.384 ~DF4646.tmp
16.09.2005 17:06 0 EPSLog.txt
16.09.2005 17:03 65.536 ~DF62D2.tmp
16.09.2005 16:05 65.536 ~DFF909.tmp
15.09.2005 18:36 492 STG2B.tmp
15.09.2005 17:51 65.536 ~DF1618.tmp
13.09.2005 19:27 16.384 ~DF407C.tmp
13.09.2005 19:27 512 ~DF144B.tmp
13.09.2005 19:27 16.384 ~DF1424.tmp
13.09.2005 19:27 16.384 Perflib_Perfdata_cec.dat
11.09.2005 20:12 101.122 VGXAF.tmp
11.09.2005 20:05 101.122 VGX91.tmp
10.09.2005 16:07 32.768 ~DFE51B.tmp
10.09.2005 15:59 16.384 ~DFD361.tmp
09.09.2005 11:48 16.384 ~DF9F7F.tmp
09.09.2005 11:48 16.384 ~DF7672.tmp
09.09.2005 11:31 147.456 ~DF7D14.tmp
09.09.2005 11:17 147.456 ~DF1B92.tmp
09.09.2005 11:17 2.097.152 NDLC3
09.09.2005 11:16 512 ~DF7BBD.tmp
09.09.2005 11:16 512 ~DF7BA3.tmp
09.09.2005 11:16 16.384 ~DF7BB1.tmp
09.09.2005 11:16 16.384 ~DF7B8D.tmp
09.09.2005 11:16 512 ~DF7B7F.tmp
09.09.2005 11:16 16.384 ~DF7B3F.tmp
09.09.2005 11:16 512 ~DF7B31.tmp
09.09.2005 11:16 16.384 ~DF7B13.tmp
09.09.2005 11:12 16.384 ~DFC0C9.tmp
09.09.2005 11:12 512 ~DFACB8.tmp
09.09.2005 11:12 16.384 ~DFACAC.tmp
09.09.2005 11:10 16.384 Perflib_Perfdata_be8.dat
08.09.2005 22:27 65.536 ~DF3B82.tmp
08.09.2005 15:52 147.456 ~DF85F3.tmp
08.09.2005 15:47 65.536 ~DF5280.tmp
06.09.2005 19:01 65.536 ~DFDAD0.tmp
06.09.2005 18:34 12.666 ICQ61.tmp
06.09.2005 18:34 4.645 ICQ60.tmp
13.08.2005 21:12 79.377 qmgr.cab
13.08.2005 21:12 2.072 qmgr.inf

01.10.2005 11:13 841 win.ini
01.10.2005 11:12 1.229.603 WindowsUpdate.log
01.10.2005 11:12 0 0.log
01.10.2005 11:11 159 wiadebug.log
01.10.2005 11:11 50 wiaservc.log
01.10.2005 11:10 2.048 bootstat.dat
01.10.2005 00:54 32.506 SchedLgU.Txt
30.09.2005 22:22 71.912 iis6.log
30.09.2005 22:22 12.548 comsetup.log
30.09.2005 22:22 105.540 ntdtcsetup.log
30.09.2005 22:22 186.261 tsoc.log
30.09.2005 22:22 1.374 imsins.log
30.09.2005 22:22 9.379 KB896727-IE6SP1-20050719.165959.log
30.09.2005 22:22 18.510 ocgen.log
30.09.2005 22:22 17.415 ocmsn.log
30.09.2005 22:22 23.783 msgsocm.log
30.09.2005 22:22 466.363 FaxSetup.log
30.09.2005 22:22 27.473 setupapi.log
30.09.2005 22:22 12.040 updspapi.log
30.09.2005 22:22 1.374 imsins.BAK
30.09.2005 22:22 15.028 KB896423.log
30.09.2005 22:21 14.094 KB899587.log
30.09.2005 22:21 13.659 KB899591.log
30.09.2005 22:20 13.847 KB893756.log
30.09.2005 22:20 13.392 KB899588.log
30.09.2005 22:04 7.736 svcpack.log
30.09.2005 21:55 0 setupact.log
30.09.2005 21:55 0 setuperr.log
30.09.2005 21:41 2.595 sql70.MIF
30.09.2005 19:47 64.512 taskcntr.exe
30.09.2005 15:47 194 setup.log
30.09.2005 15:47 7.459 sqlstp.log
30.09.2005 15:42 900 setup~0.iss
30.09.2005 15:41 25 dbvang.ini
30.09.2005 14:48 211 uno.ini
29.09.2005 21:27 54.156 QTFont.qfn
29.09.2005 15:15 1.409 QTFont.for
29.09.2005 15:12 3.586 GAUSS.INI
29.09.2005 15:12 362 UP.LOG
29.09.2005 15:12 3.586 GAUSS.bak
25.09.2005 19:52 3.824 ModemLog_Nokia 6230 USB.txt
23.09.2005 20:02 3.664 wmsetup.log
02.09.2005 17:54 253.952 Setup1.exe
02.09.2005 17:54 74.240 ST6UNST.EXE
02.09.2005 17:54 298 ST6UNST.000
23.08.2005 11:18 32 CD-Start.INI
21.08.2005 00:14 3.201 Jana.eml
21.08.2005 00:05 14.338 Jana.jpg
20.08.2005 22:36 12.672 SYMEVENT.LOG
20.08.2005 21:49 4.498 ODBCINST.INI
06.08.2005 11:38 22.479 KB901214.log
06.08.2005 11:37 16.724 KB826942.log
06.08.2005 11:37 1.532.411 setupapi.log.0.old
06.08.2005 11:37 624 avmcoins.log
06.08.2005 11:36 21.180 Q327979.log
06.08.2005 11:35 22.390 KB822603.log
06.08.2005 11:34 8.903 xpsp1hfm.log
06.08.2005 11:34 20.917 KB821253.log
06.08.2005 11:33 20.626 KB820291.log
06.08.2005 11:32 20.886 KB817778.log
06.08.2005 11:31 16.913 Q814995.log
06.08.2005 11:30 14.852 KB810243.log
06.08.2005 11:29 11.480 Q322011.log

01.10.2005 11:31 0 sys.txt
01.10.2005 11:30 11.673 system.txt
01.10.2005 11:29 5.142 systemtemp.txt
01.10.2005 11:27 104.930 system32.txt
01.10.2005 11:25 429 datFind.bat
01.10.2005 11:20 9.069 hijackthis.log
01.10.2005 11:10 402.653.184 pagefile.sys
30.09.2005 21:00 212.849 hijackthis.zip
14.09.2005 21:57 3.120.110 Adriano Celentano - Una Festa Sui Prati.mp3
14.09.2005 20:35 5.080.380 Acdc - Shoot To Thrill.mp3
14.09.2005 20:24 2.973.019 Given The Dog A Bone.mp3
03.09.2005 18:00 12.007.268 1.rar
16.02.2005 11:06 218.112 HijackThis.exe

Gathor
Seitenanfang Seitenende
01.10.2005, 15:49
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#18 Hallo@Gathor

CCleaner (loesche alle temporaeren Dateien)
http://virus-protect.org/temp.html

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.


Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "TASKESV (TESV)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"TASKESV (TESV) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "TASKESV (TESV) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten.


Doppelklick:regsrch.vbs
reinkopieren:

TASKESV

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt
Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs

Doppelklick:regsrch.vbs
reinkopieren:

remon

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

--------------

dann: du hast die Pfade nicht mit abkopiert und erschwerst mir so die Arbeit, ich nehme aber mal an, dass remon.sys unter System32 ist.....

KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\Windows\System32\remon.sys
C:\WINDOWS\taskcntr.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

W32/Tilebot-S
http://www.sophos.com/virusinfo/analyses/w32tilebots.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.10.2005, 17:45
...neu hier

Beiträge: 6
#19 Hi,
vielen Dank für deine Hilfe.
Gestern Abend habe ich für mein Windows noch 8 Sicherheitsupdates gemacht, heute morgen zeigt mein Norton das rootkit nicht mehr an...
Die Datei remon befindet sich unter C:\Windows\System32\remon.sys


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "TASKESV" 01.10.2005 17:33:10

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TESV]
"DisplayName"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TESV]
"DisplayName"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESV]
"DisplayName"="TASKESV"


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "remon" 01.10.2005 17:37:53

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon]
"DisplayName"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]
"DisplayName"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Enum]

Gathor
Seitenanfang Seitenende
01.10.2005, 21:16
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#20 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TESV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TESV\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TESV]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TESV\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Enum]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Enum]


------------------------------------------------------------------------------------
in den normalmodus starten und poste noch mal

Doppelklick:regsrch.vbs
reinkopieren:

TASKESV

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt
Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs

Doppelklick:regsrch.vbs
reinkopieren:

remon

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.10.2005, 16:24
...neu hier

Beiträge: 6
#21 Hi,

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "TASKESV" 02.10.2005 16:20:36

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"


zu remon hat er nichts mehr gefunden... ;-)


Vielen Dank für deine schnelle Hilfe.


Gathor
Seitenanfang Seitenende
02.10.2005, 23:37
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#22 Start -->Ausfuehren-->regedit

bearbeiten--> suchen-->TASKESV

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

Zitat

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TESV\0000]
"DeviceDesc"="TASKESV"
PC neustarten

dann ueberpruefe mit dem regtool, ob die Eintraege weg sind
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2005, 11:04
...neu hier

Beiträge: 6
#23 Gutem Morgen,
wie kann sich eine Frau nur so gut mit PC auskennen???
Ich habe die Registrierungsschlüssel gelöscht, der letzte war gar nicht mehr da...
regtool hat zu TASKESV nichts mehr gefunden.
Heißt das jetzt für mich, dass das rootkit vollständig von meiner Festplatte verschwunden ist?
Vielen Dank.
Gathor
Seitenanfang Seitenende
03.10.2005, 14:48
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#24

Zitat

wie kann sich eine Frau nur so gut mit PC auskennen???
das hab ich nicht gelesen, oder nicht lesen wollen....das war nicht elegant von dir.
deaktiviere noch die Systemwiederherstellung, dann aktiviere sie wieder.

Onlinescan (Kaspersky und panda) + berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2005, 18:51
...neu hier

Beiträge: 6
#25 Guten Abend Sabina,
mit meiner Aussage wollte ich nur meine Bewunderung dafür ausdrücken,
mit was du dich alles auskennst und kannst...
Wenn ich dir zu nahe getreten bin, entschuldige ich mich hiermit.
Kaspersky hat remon.sys als Virus erkannt, ich habe es dann mit Killbox nochmal gelöscht. Jetzt ist es weg... ;-)
Einen schönen Abend wünsche ich dir...
Gathor
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: