Elitetoolbar eingefangen

#0
18.08.2005, 02:27
Member
Avatar Gool

Beiträge: 4730
#16 MerlinX, das ist kein HijackThis-Log, sondern was ganz anderes.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
18.08.2005, 02:36
MerlinX
zu Gast
#17 @Managor
Sorry dann helfe!!
MfG Merlinx ;)
Dieser Beitrag wurde am 18.08.2005 um 02:51 Uhr von Merlinx editiert.
Seitenanfang Seitenende
18.08.2005, 11:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 SilverSand

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\iun6002.exe
C:\WINDOWS\System32\ntfsnlpa.exe
C:\WINDOWS\System32\cisvvc.exe
C:\WINDOWS\System32\drv2cltr.dll
C:\WINDOWS\System32\hybsys32.dll
C:\WINDOWS\System32\loadctr.exe
C:\WINDOWS\System32\rdsndin.exe
C:\WINDOWS\System32\pxpcya64.exe
C:\WINDOWS\balloon.wav
C:\WINDOWS\rdt.ini

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fix.reg" auf dem Desktop doppelklicken. und sofort den PC neustarten

dann scanne bitte noch einmal mit: Findt
--------

Info:
%windir%\iun6002.exe: iun6002.exe is a Spyware.DsktopSurveil.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 12:32
Member

Themenstarter

Beiträge: 13
#19 @Merlin: Was soll der Hijackthis log? Den hab ich doch schon reingestellt...

@Sabina:
Ich hab die ganzen Dateien die ich mit der Killbox löschen soll nicht...
Das mit der fix.reg versteh ich nicht ganz, was soll der Teil?

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""


Als ich die Datei im abgesicherten Modus angeklickt hab, stand da nur, ob ich die datei fix.reg der Registry hinzufügen möchte...
Seitenanfang Seitenende
18.08.2005, 12:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 wenn du die Dateien in die Killbox kopierst, was wird da angezeigt? Nicht vorhanden???
Das kann nicht sein...sie sind da....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 13:09
Member

Themenstarter

Beiträge: 13
#21 Wenn ich die Datei in den Pfad reinkopier und die Datei auch da ist wird sie drunter nochmal in blau angezeigt, wenn sie nicht da ist wird gar nichts angezeigt...und wenn ich die Dateien im system32 ordner such sind sie auch einfach nicht da...
Seitenanfang Seitenende
18.08.2005, 13:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 kopier einfach alles rein, egal was passiert und dann starte den PC neu

dann scanne bitte noch einmal mit: Findt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 13:24
Member

Themenstarter

Beiträge: 13
#23 Hab ich gemacht, also die Dateien gelöscht egal was angezeigt wird...hier ist nochmal das Find T


C:\Find T>if exist file.txt del file.txt

C:\Find T>echo PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES
, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UN
SURE OF WHAT IT IS LEAVE THEM ALONE. 1>>file.txt

C:\Find T>echo ╗╗╗╗╗ Search by size & name's... 1>>file.txt
╗╗╗╗╗ Search by size
Der Befehl "name's..." ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Find T>echo. 1>>file.txt

C:\Find T>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>fil
e.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:5-11-03! /S:43528! /NR /N 1>
>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>fil
e.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:6-19-03! /S:43528! /NR /N 1>
>file.txt

/D+ find Directories only
/D- files only, no Directories
/D both files and Directories (default)

/D:[start][,end] only Dates in range
/D:date! only one specific date
/D:T only items dated today

/US show dates in US format: Jan 31 1996
/UK show dates in UK format: 31 Jan 1996
/UJ show dates in ISO format: 1996-01-31

Local date format: DD-MM-YYYY

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:28680! /NR /N 1>>fi
le.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:6-19-03! /S:11264! /NR /N 1>
>file.txt

/D+ find Directories only
/D- files only, no Directories
/D both files and Directories (default)

/D:[start][,end] only Dates in range
/D:date! only one specific date
/D:T only items dated today

/US show dates in US format: Jan 31 1996
/UK show dates in UK format: 31 Jan 1996
/UJ show dates in ISO format: 1996-01-31

Local date format: DD-MM-YYYY

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>fi
le.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.ren /D- /D:T-10M /S:43528! /NR /N 1>>fi
le.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\ntfsnlpa.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\cisvvc.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\drv2cltr.dll /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\hybsys32.dll /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\loadctr.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\rdsndin.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\pxpcya64.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>file
.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:5-11-03! /S:43528! /NR /N 1>>f
ile.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>file.
txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:6-19-03! /S:43528! /NR /N 1>>f
ile.txt

/D+ find Directories only
/D- files only, no Directories
/D both files and Directories (default)

/D:[start][,end] only Dates in range
/D:date! only one specific date
/D:T only items dated today

/US show dates in US format: Jan 31 1996
/UK show dates in UK format: 31 Jan 1996
/UJ show dates in ISO format: 1996-01-31

Local date format: DD-MM-YYYY

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:28680! /NR /N 1>>file
.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:6-19-03! /S:11264! /NR /N 1>>f
ile.txt

/D+ find Directories only
/D- files only, no Directories
/D both files and Directories (default)

/D:[start][,end] only Dates in range
/D:date! only one specific date
/D:T only items dated today

/US show dates in US format: Jan 31 1996
/UK show dates in UK format: 31 Jan 1996
/UJ show dates in ISO format: 1996-01-31

Local date format: DD-MM-YYYY

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>file
.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\ntfsnlpa.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\cisvvc.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\drv2cltr.dll /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\hybsys32.dll /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\loadctr.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\rdsndin.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\pxpcya64.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\rdt.ini /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\balloon.wav /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\startm~1\programs\startup\*.exe /NR /N 1>>file.txt


C:\FINDT~1>LOCATE C:\docume~1\alluse~1\startm~1\programs\startup\*.exe /NR /N 1
>>file.txt

C:\FINDT~1>echo. 1>>file.txt

C:\FINDT~1>notepad.exe file.txt
Seitenanfang Seitenende
18.08.2005, 14:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 nun, es scheint, das alles noch da ist.....

silentrunners
http://virus-protect.org/silentrunner.html
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 14:47
Member

Themenstarter

Beiträge: 13
#25 Da kommt ne Fehlermeldung das Windows Script Host deaktiviert ist...
Seitenanfang Seitenende
18.08.2005, 14:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst....auch wenn es lange dauert....--->poste C:\log.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 15:28
Member

Themenstarter

Beiträge: 13
#27 ok...hier ist der log...

C:\Dokumente und Einstellungen\Marion\Desktop

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye
Seitenanfang Seitenende
18.08.2005, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 SilverSand

dieses Tool zeigt nichts an,und ich gehe davon aus, dass die Malware wahrscheinlich wirklich nicht mehr vorhanden ist.

Belassen wir es dabei, wenn es Probleme geben sollte, komme wieder in diesen Thread ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 16:20
Member

Themenstarter

Beiträge: 13
#29 Ja das sind doch mal gute Nachrichten, also vielen Dank für die Hilfe ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: