msdirectx.sys Hacktool.Rootkit entfernen + xpjava.exe + steam.exe

Thema ist geschlossen!
Thema ist geschlossen!
#0
04.08.2005, 12:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1

Zitat

Hallo Sabina,

wir hatten vor einem Jahr kontakt wegen dem Dialer.
Nun hab ich ein neues problem, mit einem Trojaner. Spysweeper zeigt mir
diesen an: msdirectx.sys.

Bitte um Deine Hilfe!!!!!

Hier mein log von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:06:19, on 04.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\D-Link\DSL-210\CnxDslTb.exe
C:\WINDOWS\System32\steam.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Dokumente und Einstellungen\rocco\Lokale Einstellungen\Temp\Temporäres
Verzeichnis 3 für hijackthis.zip\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair]
C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray]
C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\D-Link\DSL-210\CnxDslTb.exe"
O4 - HKLM\..\Run: [steam] steam.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame
Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite
6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [zBrowser Launcher]
C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [steam] steam.exe
O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate]
C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
/NoDialog
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy
Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash
/minimized
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate
Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -
Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Winpower - Zero G - C:\PROGRA~2\UpsPilot\Winpower.exe


Grüße Dome!

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2005, 12:26
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Hallo@

Zitat

http://www.sophos.de/virusinfo/analyses/w32rbotyc.html
W32/Rbot-YC ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform.
Der Wurm kopiert sich in eine Datei namens "xpjava.exe" im Windows-Systemordner und erzeugt folgende Registrierungseinträge:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
userinit.exe,xpjava.exe
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\System32\steam.exe


Gehe in die Registry

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten


Start-->Ausfuehren-->regedit

bearbeiten-->suchen-->

xpjava.exe
msdirectx

(loesche alles, was du findest)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [steam] steam.exe
O4 - HKLM\..\RunServices: [steam] steam.exe

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\msnt.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\msdirectx.sys

Pc neustarten


•Download Registry Search Tool :

http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

msdirectx

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


------------


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus (auch den jeweiligen Pfad mitkopieren)

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2005, 15:57
Member

Beiträge: 12
#3 Hallo Sabina,

danke für Deine schnelle Antwort und Deine Mühe!
Ich bin gerade bei der Arbeit und somit nicht in der Lage, was Du mir geschrieben hast durchzuführen.
Werde noch ca. eine Stunde bei der arbeit sein und dann mal schauen, was
zuhause Sache ist. Melde mich dann umgehend bei Dir.

Sonnige Grüße von Koh Samui ;-) !

Dome

;-)
Seitenanfang Seitenende
04.08.2005, 16:27
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 ich werde auch erst heute Abend wieder nachsehen koennen, bis dann also ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2005, 16:48
Member

Beiträge: 12
#5 Hier das Ergebnis von: www.virustotal.com

This is a report processed by VirusTotal on 08/04/2005 at 17:59:54 (CET) after scanning the file "steam.exe" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 08.04.2005 Worm/RBot.80503
Avast 4.6.695.0 08.03.2005 no virus found
AVG 718 08.03.2005 IRC/BackDoor.SdBot.196.AO
Avira 6.31.1.0 08.04.2005 Worm/RBot.80503
BitDefender 7.0 08.04.2005 Backdoor.RBot.01385309
CAT-QuickHeal 7.03 08.04.2005 (Suspicious) - DNAScan
ClamAV devel-20050725 08.04.2005 no virus found
DrWeb 4.32b 08.04.2005 no virus found
eTrust-Iris 7.1.194.0 08.04.2005 no virus found
eTrust-Vet 11.9.1.0 08.04.2005 no virus found
Fortinet 2.36.0.0 08.04.2005 W32/RBot.AF-bdr
F-Prot 3.16c 08.04.2005 no virus found
Ikarus 0.2.59.0 08.04.2005 no virus found
Kaspersky 4.0.2.24 08.04.2005 Backdoor.Win32.Rbot.af
McAfee 4549 08.03.2005 New Malware.n
NOD32v2 1.1185 08.01.2005 a variant of Win32/Rbot
Norman 5.70.10 08.01.2005 no virus found
Panda 8.02.00 08.04.2005 Bck/Agent.AFS
Sophos 3.96.0 08.04.2005 no virus found
Sybari 7.5.1314 08.04.2005 Worm.RBot.CCD
Symantec 8.0 08.04.2005 no virus found
TheHacker 5.8.2.080 08.03.2005 no virus found
VBA32 3.10.4 08.04.2005 Backdoor.Win32.Rbot.gen

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contact En español
www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com

Wenn ich in der registry den eintrag: Legacy_Msdirectx löschen will, bekomme ich die Meldung: Fehler beim Löschen des Schlüssels---Legacy_Msdirectx kann nicht gelöscht werden : Fehler beim löschen des Schlüssels

Wenn ich regsrch.vbs ausführen will, geht ein Fenster au in dem steht:

Windows Script Host

Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden Sie sich an Ihren Administrator um weitere Details in Erfahrung zu bringen.

Das ist das Neue Log von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 23:06:22, on 04.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\D-Link\DSL-210\CnxDslTb.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\rocco\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\D-Link\DSL-210\CnxDslTb.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5527747-6FFB-4A2B-886A-90522E12B295}: NameServer = 203.155.33.2 202.44.144.34
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Winpower - Zero G - C:\PROGRA~2\UpsPilot\Winpower.exe

Also ich hab da noch ein Problem, ich weiß nicht wie Du das meinst bzw. was ich da machen soll:

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus (auch den jeweiligen Pfad mitkopieren)

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


Wenn ich unter: Start--> Ausfuehren--> cmd--> reingehe, dann soll ich wenn ich das richtig verstanden habe, z.B.: das:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

einfach in den schwarzen kasten wo der curser blinkt reinkopieren. richtig?
Hab ich gemacht, dann geht ein weises Fenster auf (Editor?) und da soll ich dann die Einträge der letzten 30 Tage löschen?

Hab ich gemacht, aber wenn ich das dann zum zweiten mal mache, um zu sehen ob sich was geändert hat, dann stehen da wieder die Einträge bis 04.08.2005?


Noch ne Frage....

Mein Rechner Stürzt regelmäßig ab (Blauer Bildschirm) dann kommt die Meldung:

DRIVER_IRQL_NOT_LESS_OR_EQUAL

weiter unten steht:

*** STOP: 0x000000D1 (0x00000000,0x00000002,0x00000001,0x86266000)

Kannst Du mir da helfen?

Bin hier in Thailand und hier kennt Sich keiner aus, ich bekomme immer nur als Antwort: Can not! Can not! May be in Bangkok....

:-(((((

Sorry, Sabina, ich raff das nett so ganz... :-(

Was nun?

Vielen Dank für Deine Mühe!!!!!!!!!!

Dome
Dieser Beitrag wurde am 04.08.2005 um 18:56 Uhr von samuidome editiert.
Seitenanfang Seitenende
05.08.2005, 01:13
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#6 nun gut, ich erklaere es noch mal:

Zitat

soll ich dann die Einträge der letzten 30 Tage löschen?
... nein !!!!!!!! Nicht loeschen, sondern abkopieren und mir hier posten.
So weiss ich, was du alles auf dem PC hast.

du sollst in das schwarze DOS-Fenster kopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

dann oeffnet sich der Editor, du kopierst die letzten 30 Tage ab (mit Pfad und allem) und postest es hier,

dann kommt das naechste ;)


.-------------

der PC ist voellig verseucht, mit Backdoors, aber wenn du mir alles postest, koennen wir vielleicht noch was retten, ohne neu zu formatieren)

Gruss aus Lissabon
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 06:00
Member

Beiträge: 12
#7 Guten Morgen, Sabina,

danke für Deine Antwort, werde ich so machen, allerdings wieder erst heute abend. Was sind denn die Backdoors, gefährlich?

edit: doch früher...

Das hab ich jetzt gerafft,...

Ergebnisse:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 88D3-D382

Verzeichnis von C:\WINDOWS\system32

05.08.2005 12:20 201.252 DSL210.log
03.08.2005 23:25 44 msssc.dll
03.08.2005 23:18 351.166 perfh009.dat
03.08.2005 23:18 50.816 perfc009.dat
03.08.2005 23:18 363.932 perfh007.dat
03.08.2005 23:18 61.152 perfc007.dat
03.08.2005 23:18 828.752 PerfStringBackup.INI
03.08.2005 23:17 35.992 jspWinRnia.DLL
03.08.2005 23:17 53.248 jspWinRni.DLL
03.08.2005 23:17 56.832 smemory.dll
03.08.2005 23:17 49.152 TrayIcon12.dll
03.08.2005 23:17 60.156 jspWinNm.DLL
03.08.2005 23:17 45.056 jspWin.dll
03.08.2005 23:11 110.992 FNTCACHE.DAT
03.08.2005 22:31 3.241 CnxDslWz.log
03.08.2005 22:29 1.503 lvcoinst.log
03.08.2005 22:28 573 Installer.log
03.08.2005 17:36 2.206 wpa.dbl
03.08.2005 17:35 0 TFTP1268
02.08.2005 23:58 25.065 wmpscheme.xml
02.08.2005 13:32 0 h323log.txt
02.08.2005 13:22 261 $winnt$.inf
02.08.2005 13:20 2.951 CONFIG.NT
02.08.2005 13:20 16.832 amcompat.tlb
02.08.2005 13:20 23.392 nscompat.tlb
02.08.2005 13:19 488 logonui.exe.manifest
02.08.2005 13:19 488 WindowsLogon.manifest
02.08.2005 13:19 749 nwc.cpl.manifest
02.08.2005 13:19 749 cdplayer.exe.manifest
02.08.2005 13:19 749 ncpa.cpl.manifest
02.08.2005 13:19 749 sapi.cpl.manifest
02.08.2005 13:19 749 wuaucpl.cpl.manifest
02.08.2005 13:17 21.740 emptyregdb.dat



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 88D3-D382

Verzeichnis von C:\DOKUME~1\rocco\LOKALE~1\Temp

05.08.2005 12:18 19.006 LVCOMSX.LOG
04.08.2005 23:30 16.384 ~DFAF8E.tmp
04.08.2005 22:44 199 kb.log
04.08.2005 22:41 16.384 ~DFBCED.tmp
04.08.2005 22:29 16.384 Perflib_Perfdata_950.dat
04.08.2005 22:25 16.384 ~DF4856.tmp
04.08.2005 13:21 514.569 tmp.xpi
04.08.2005 13:12 16.384 ~DF8990.tmp
04.08.2005 13:03 512 ~DF766C.tmp
04.08.2005 13:02 16.384 ~DF6F0F.tmp
04.08.2005 12:50 16.384 ~DFAE2D.tmp
04.08.2005 12:41 512 ~DF6C72.tmp
03.08.2005 23:29 0 ~2E.tmp
03.08.2005 23:28 0 ~2C.tmp
03.08.2005 23:25 0 ~1.tmp
03.08.2005 23:14 16 persistent_state
03.08.2005 23:10 5.851 plfA8.tmp
03.08.2005 22:59 9.555 Microsoft Office 2003 Setup(0001).txt
03.08.2005 22:59 377.770 Microsoft Office 2003 Setup(0001)_Task(0001).txt
03.08.2005 22:54 49.217 offcln11.log
20 Datei(en) 1.091.895 Bytes
0 Verzeichnis(se), 15.849.975.808 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 88D3-D382

Verzeichnis von C:\WINDOWS

05.08.2005 12:20 0 0.log
05.08.2005 12:20 159 wiadebug.log
05.08.2005 12:20 50 wiaservc.log
05.08.2005 12:18 51 iTouch.ini
05.08.2005 12:18 2.048 bootstat.dat
05.08.2005 00:11 4.902 SchedLgU.Txt
04.08.2005 13:21 3.254 mozver.dat
04.08.2005 13:00 65.536 DUMP2bd2.tmp
03.08.2005 23:29 625.317 setupapi.log
03.08.2005 23:28 3.006 Windows Update.log
03.08.2005 23:24 2.888 Ascd_tmp.ini
03.08.2005 23:10 238.828 setupact.log
03.08.2005 23:08 0 nsreg.dat
03.08.2005 23:08 99.970 UninstallFirefox.exe
03.08.2005 22:59 400 ODBC.INI
03.08.2005 22:58 568 win.ini
02.08.2005 23:58 829 OEWABLog.txt
02.08.2005 23:58 632.789 setuplog.txt
02.08.2005 14:08 4.612 regopt.log
02.08.2005 14:08 231 system.ini
02.08.2005 14:06 374 setuperr.log
02.08.2005 13:42 1.326 imsins.BAK
02.08.2005 13:30 0 Sti_Trace.log
02.08.2005 13:23 8.192 REGLOCS.OLD
02.08.2005 13:22 19.995 ntdtcsetup.log
02.08.2005 13:22 36.655 comsetup.log
02.08.2005 13:22 89.713 iis6.log
02.08.2005 13:22 22.580 tsoc.log
02.08.2005 13:22 4.326 imsins.log
02.08.2005 13:22 3.125 tabletoc.log
02.08.2005 13:20 0 control.ini
02.08.2005 13:20 299.552 WMSysPrx.prx
02.08.2005 13:20 4.161 ODBCINST.INI
02.08.2005 13:19 749 WindowsShell.Manifest
02.08.2005 13:18 2.313 ocmsn.log
02.08.2005 13:18 2.025 msgsocm.log
02.08.2005 13:18 33.640 ocgen.log
02.08.2005 13:18 26.611 FaxSetup.log
02.08.2005 13:18 1.060 sessmgr.setup.log
02.08.2005 13:17 5.757 netfxocm.log
02.08.2005 13:17 371 DtcInstall.log
02.08.2005 13:16 22.492 msmqinst.log
02.08.2005 07:34 37 vbaddin.ini
02.08.2005 07:34 36 vb.ini



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 88D3-D382

Verzeichnis von C:\

05.08.2005 12:25 0 sys.txt
05.08.2005 12:23 5.111 system.txt
05.08.2005 12:22 1.281 systemtemp.txt
05.08.2005 12:21 90.986 system32.txt
05.08.2005 12:18 1.073.315.840 hiberfil.sys
05.08.2005 12:18 1.610.612.736 pagefile.sys
03.08.2005 23:10 0 itouch_crash_info.txt
02.08.2005 13:20 0 CONFIG.SYS
02.08.2005 13:20 0 IO.SYS
02.08.2005 13:20 0 MSDOS.SYS
02.08.2005 13:20 0 AUTOEXEC.BAT
02.08.2005 13:16 194 boot.ini





Bis später....

Sonnige Grüße nach Lissabon!

Dome
Dieser Beitrag wurde am 05.08.2005 um 07:26 Uhr von samuidome editiert.
Seitenanfang Seitenende
05.08.2005, 11:31
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#8 Hallo@samuidome

das hast du gut gemacht ;)
Du musst verstehen, dass ich bestimmte Infos ueber deinen PC brauche, denn ich sitze ja nicht davor und kann nachsehen.

Ein Backdoor hat vollen Zugriff auf deinen PC, kann loeschen, veraendern und alle deine Passworte usw. stehlen.
In diesem Fall geschieht die Verbindung ueber einen TFTP-Server (den du loeschen wirst)

ich brauche diese Eintraege....das Tool wird sie erstellen und ich mache dann eine reg-Datei fuer die Registry


HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

msdirectx

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

SYSMON32

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

falls es noch nicht geloescht ist:
C:\WINDOWS\System32\msnt.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\msdirectx.sys

das ist unbedingt zu loeschen:
C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\system32\smemory.dll
C:\WINDOWS\system32\SYSMON32.EXE
C:\WINDOWS\System32\steam.exe
C:\WINDOWS\system32\TFTP1268

PC neustarten



Lade: rkfiles.zip (warte unbedingt, bis sich das schwarze DOS-Fenster von allein schliesst.....auch wenn es sehr lange dauert)
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

AboutBuster (scanne solange, bis keine Fehlermeldung mehr kommt--> suche dann die log-Datei vom Scan und poste sie mir)
http://virus-protect.org/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus-->F8 druecken, wenn der PC hochfaehrt und dann den abgesicherten modus waehlen)) ausführen.

Zitat

Dieser Trojaner, wie es auch immer üblich ist, wird von jedem Antivirus Hersteller anders genannt, Sophos nennt ihn zum Beispiel
W32/RBOT-ACD oder Trojan.Win32.Rootkit.h

Das Entfernen dieses Fieslings ist extrem schwierig, hier zwei Lösungsvorschläge wie man ihn Entfernt.
Symptome:

Die albewerten Entfernungsprogramme, wie Hijackthis, Adware oder das neue von Microsoft scheitern an der Datei msdirectx.sys. Nach erfolgreichem entfernen, ist die der Trojaner nach einem Neustart wieder auf dem Rechner. Sogar das Removal Tool von Symantec W32.Mytob.AR@mm-Removal-Tool scheint bei manchen Usern nicht den gewünschten Effekt zu bringen.

Wenn man die Msdirectx.sys per Hand löscht, ist sie binnen 30 Sekunden wieder da. Das deaktivieren der Dienste SCA und NetworkClient bringt anscheint auch nichts.

Will man alle Registry Einträge über Regedit Löschen, weigert Windows sich den Schlüssel "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX" zu löschen.
n der Registry befindet sich noch ein Eintrag einer „SYSMON32.EXE“ diese übernimmt den Computer und ermöglicht das sich die MSDIRECTX.SYS immer wieder installiert und der Trojaner so nicht von der Platte verschwindet.
http://www.winhilfe.info/sicherheit/saeuberung/msdirectx.sys_hacktool.rootkit_entfernen_20050708111/

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 12:46
Member

Beiträge: 12
#9 Hallo Sabina,

ich hatte gestern schon das Problem, dass sich Regsrch.vbs nicht öffnen kann.Ich bekomme folgende Meldung:

Windows Script Host

Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden Sie sich an Ihren Administrator um weitere Details in Erfahrung zu bringen.



Bin in ungefähr zwei Stunden zuhause, hast Du dann Zeit für mich?

1000 Dank!

Dome

p.s: Was machst Du denn in Lissabon?
Seitenanfang Seitenende
05.08.2005, 12:57
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#10 dann gehe in die Registry

Start-->Ausfuehren--> regedit

bearbeiten--> ausfuehren-->

schreib rein: msdirectx

poste mir alle Eintraege, die du findest, ungefaehr in dieser Form:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX
HKLM\SYSTEM\CurrentControlSet1\Enum\Root\LEGACY_MSDIRECTX
HKLM\SYSTEM\CurrentControlSet2\Enum\Root\LEGACY_MSDIRECTX

dann suche: SYSMON32

und natuerlich moechte ich auch, dass du mit der Killbox loeschst und die anderen Tools rkfiles.zip+ AboutBuster anwendest.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 16:46
Member

Beiträge: 12
#11 Hallo Sabina,

bin nun endlich zuhause.
war in regedit, kann aber kein bearbeiten--ausfuhren finden.

Was tun?

Grüße, dome
Seitenanfang Seitenende
05.08.2005, 17:20
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#12 wenn du START-->Ausfuehren-->regedit , kommst du in die Registry

oben links muesstest du dann unter einem Link diese Funktionen finden (bearbeiten-->suchen)

du kannst es auch mit diesem Tool versuchen
http://virus-protect.org/registrarlite.html

das Beispiel auf der Seite trifft nicht auf dich zu, du musst was anderes suchen ;)

msdirectx
SYSMON32

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.08.2005, 09:36
Member

Beiträge: 12
#13 Hallo Sabina,

ich glaube das Problem hat sich dann erledigt.
Nachdem mein Rechner nun garnicht mehr starten wollte, auch nicht im Abges. Modus, hab ich Ihn und die Pferdchen zum Schlachter gebracht...Komplett formatiert und neu installiert. Bisher funktioniert alles, toi toi toi das dies so bleibt...

Danke für Deine Bemühungen!

Sonnige Grüße nach Lissabon?!

Dome
Seitenanfang Seitenende
30.09.2005, 22:08
...neu hier

Beiträge: 6
#14 Guten Abend,
leider habe ich mir auch so ein Problem wie samiudome eingefangen :-(
Bei mir zeigt Norton Antivirus an, dass es einen Virus mit dem Namen Hacktool.Rootkit in der Datei C:\WINDOWS\system32\remon.sys gefunden hat.
Leider habe ich von der ganzen Materie keine Ahnung und würde mich freuen, wenn mir jemand schnell helfen könnte, weil ich meinen PC nicht formatieren möchte.
Vielen Dank...
Gathor
Seitenanfang Seitenende
30.09.2005, 23:43
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Hallo@Gathor

Download Hijack This (poste das Log hier )
http://virus-protect.org/hjtkurz.html
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: