winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV) |
||
---|---|---|
#0
| ||
21.09.2005, 17:55
Moderator
Beiträge: 7805 |
||
|
||
21.09.2005, 18:43
Member
Themenstarter Beiträge: 45 |
#17
So, Rechner ist gebootet, winlogon-Trojaner poppt auch wieder regelmäßig auf(habe übrigens bad-Dateien trotzdem draußen lassen, ebenso die iexplore.exe umbenannt).
Im Moment läuft gerade das rootkitreveal-Tool, für silentrunners mußte ich den WSH wieder aktivieren(muß ich da neu starten?)- mal sehen Hab momentan keinen Plan wies weitergeht, habe noch nicht alle eure Vorschläge durch, insbesondere die längere Anleitung von Sabina. Es wäre mir geholfen wenn ihr einfach die Teile eurer Posts nochmal in den Thread kopiert, die als nächstes Sinn gäben. Danke. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
21.09.2005, 18:49
Moderator
Beiträge: 7805 |
#18
Eins nach dem anderen Silentrunners und die rootkitrevealer logs waeren als naechstes nicht schlecht.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.09.2005, 19:15
Member
Themenstarter Beiträge: 45 |
#19
Rootkitreveal:
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 21.09.2005 18:25 80 bytes Data mismatch between Windows API and raw hive data. C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat:KAVICHS 20.09.2005 14:52 36 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\LocalService\ntuser.dat:KAVICHS 20.09.2005 14:52 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat:KAVICHS 20.09.2005 14:52 36 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT:KAVICHS 20.09.2005 14:52 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\mario\CAWX6R2B.:Zone.Identifier 19.09.2005 22:55 26 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\xxx\Eigene Dateien\mario\CAX8QTT3.:Zone.Identifier 19.09.2005 22:55 26 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat:KAVICHS 20.09.2005 14:53 36 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG:KAVICHS 21.09.2005 18:34 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\xxx\ntuser.dat:KAVICHS 20.09.2005 14:52 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\xxx\Recent\Silent Runners.vbs.lnk 21.09.2005 18:30 682 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\xxx\Recent\Silent Runners_v401.lnk 21.09.2005 18:30 505 bytes Hidden from Windows API. C:\WINDOWS\Help\drwtsn32.hlp:KAVICHS 01.01.1601 02:00 36 bytes Hidden from Windows API. C:\WINDOWS\Prefetch\MMC.EXE-22FA564C.pf 21.09.2005 18:31 62.69 KB Hidden from Windows API. C:\WINDOWS\Prefetch\WSCRIPT.EXE-32960AB9.pf 21.09.2005 18:31 59.22 KB Hidden from Windows API. C:\WINDOWS\Prefetch\XP-ANTISPY.EXE-11A3E50D.pf 21.09.2005 18:32 54.97 KB Hidden from Windows API. C:\WINDOWS\system32\config\default.LOG:KAVICHS 21.09.2005 18:24 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\default:KAVICHS 21.09.2005 13:14 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\SAM.LOG:KAVICHS 21.09.2005 18:23 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\SAM:KAVICHS 21.09.2005 13:14 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\SECURITY.LOG:KAVICHS 21.09.2005 18:33 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\SECURITY:KAVICHS 21.09.2005 13:14 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\software.LOG:KAVICHS 21.09.2005 18:40 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\software:KAVICHS 21.09.2005 13:14 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\system.LOG:KAVICHS 21.09.2005 18:38 196 bytes Hidden from Windows API. C:\WINDOWS\system32\config\system:KAVICHS 21.09.2005 18:23 196 bytes Hidden from Windows API. C:\WINDOWS\system32\dllcache\winlogon.exe 21.09.2005 18:23 495.50 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32\winlogon.exe:KAVICHS 21.09.2005 18:46 36 bytes Hidden from Windows API. D:\Uti\Spyware\l2mfix\l2mfix\Process.exe 13.01.2005 21:41 52.00 KB Visible in Windows API, but not in MFT or directory index. +++Ende RKR "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Arcor Online" = (empty string) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "notepad.exe" = "msmsgs.exe" [file not found] "notepad2.exe" = "popuper.exe" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "Arcor Online" = (empty string) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS] "{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Sammelmappen-Teiler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\UNBIND.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*b" (unwritable string) -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"] "{A68865DD-EE3C-4442-9BE9-1BAB2576E3FA}" = "NOMAD Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL" ["Creative Technology Ltd"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q8590762_disk.dll" [file not found] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {CLSID}\InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {CLSID}\InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"] +++Ende silentrunners Spasseshalber zwischendurch noch einHJT-log: Logfile of HijackThis v1.99.1 Scan saved at 18:56:40, on 21.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe D:\Uti\Spyware\_spam\hijackthis_v1991\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe +++Ende HJT smitrem-Tool hab ich auch laufen lassen: smitRem log file version 2.4 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ screen.html ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ screen.html ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ wininet.dll is missing!! +++Ende smitfiles ...jetzt weiß ich auch, was die macht! hatte auch mit blacklight-dingens angefangen, dauert mir zu lang: packe zusammen und nehm alles mit heim. .... da bin ich jetzt, blacklightbeta lief durch mit ner Nullmeldung. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 21.09.2005 um 21:25 Uhr von Sunny-pc editiert.
|
|
|
||
21.09.2005, 22:50
Ehrenmitglied
Beiträge: 29434 |
#20
gehe in die Registry
Start-->Ausfuehren--> regedit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ loeschen: "notepad.exe" = "msmsgs.exe" "notepad2.exe" = "popuper.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ loeschen "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q8590762_disk.dll" eigentlich muesste es schon geloescht sein, aber kopiere es dennoch noch mal in die Killbox, wenn es da ist, wird es bei Neustart geloescht.: C:\WINDOWS\popuper.exe C:\WINDOWS\system32\msmsgs.exe C:\WINDOWS\sites.ini C:\WINDOWS\q8590762_disk.dll C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\screen.html PC neustarten ------------------------------------------------------------------------------- winini32.exe.xxx <--wuerde mich interessieren, was das ist (schicke die exe an raman, aber vorher scanne die exe auf den zwei Seiten, die ich gepostet hatte) ------------------------------------------------------------------------------- Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Systemdrive%\wininet.dll /a h /s > files.txt start notepad files.txt - Speichern als: wininet.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text -------------------------------------------------------------------------------- Click Start > Ausfuehren> sigverif > OK click OK and Start. Der computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet) suche die winlogon.exe in sigverif.txt und poste es. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.09.2005, 23:54
Member
Themenstarter Beiträge: 45 |
#21
So, jetzt aber
Zitat HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Die beiden Einträge gibts dort nicht mehr. Eine Komplettsuche ergab für popuper keine Treffer, für msmsgs.exe nur welche an anderen Stellen, die nicht suspekt waren. Interessant dabei fand ich nur, dass anscheinend msmsgs.exe sowohl im Verzeichnis c:\Programme\Messenger\ als auch in c:\Programme\MSN Messenger\ existierte Zitat "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"done Zitat C:\WINDOWS\popuper.exenicht da Zitat C:\WINDOWS\screen.htmlgelöscht alle nochmal in killbox - oooops - ging schief: "PendingFileRenameOperations Registry DAta has been removed by External Process!" Hab die Schüssel einfach mal runtergefahren, könnte sie wieder offline anhängen!? [/b] winini32.exe has left the building Habe PC wieder booten lassen: Virus sagt immer noch regelmäßig hallo. Mache einfach mit Sabinas Tipps weiter. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 22.09.2005 um 00:43 Uhr von Sunny-pc editiert.
|
|
|
||
22.09.2005, 00:42
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.09.2005, 01:13
Member
Themenstarter Beiträge: 45 |
#23
wininet.bat-Text
Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 249F-069A Verzeichnis von C:\WINDOWS\ServicePackFiles\i386 04.08.2004 01:57 662.016 wininet.dll 1 Datei(en) 662.016 Bytes Verzeichnis von C:\WINDOWS\system32 17.09.2005 17:58 662.016 wininet.dll 1 Datei(en) 662.016 Bytes +++Ende wininet.bat sigverif ******************************** Microsoft Signaturverifizierung Protokolldatei wurde am 22.09.2005 um 00:46 erstellt. Betriebssystem: Windows 2000 (x86), Version: 5.1, Build: 2600, CSDVersion: Service Pack 2 Scanergebnisse: Dateien insgesamt: 3423, Signiert: 2415, Nicht signiert: 4, Nicht gescannt: 1004 Datei Geändert Version Status Katalog Signiert von ------------------ ------------ ----------- ------------ ----------- ------------------- Publisher wininet.dll 17.09.2005 6.0.2900.2180 Nicht signiert Nicht zutreffend Publisher dtwmnic5.sys 20.12.2002 1.1.0.5 Nicht signiert Nicht zutreffend Publisher wsfaxdrv.dll 29.12.2001 5.0.2195.1 Nicht signiert Nicht zutreffend wsfaxdrv.gpd 03.06.1980 Keine Nicht signiert Nicht zutreffend +++Ende sigverif silentrunners "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Arcor Online" = (empty string) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "Arcor Online" = (empty string) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS] "{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Sammelmappen-Teiler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\UNBIND.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*b" (unwritable string) -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"] "{A68865DD-EE3C-4442-9BE9-1BAB2576E3FA}" = "NOMAD Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL" ["Creative Technology Ltd"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {CLSID}\InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" -> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" +++Ende silentrunners Nachtrag sigverif winlogon.exe: "Zugriff verveigert" __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 22.09.2005 um 01:21 Uhr von Sunny-pc editiert.
|
|
|
||
22.09.2005, 01:20
Ehrenmitglied
Beiträge: 29434 |
#24
Using Windows Explorer (You can get to Windows Explorer, by Going to Start - "My Computer", then double-clicking "C:\"), locate this file:
Directory of C:\WINDOWS\SYSTEM32 17.09.2005 17:58 662.016 wininet.dll 1 Datei(en) 662.016 Bytes C:\WINDOWS\System32\wininet.dll Right-click on it and select "Rename" and rename it to wininet.old Then go into this folder (it will be hidden so make sure hidden files are showing!): Verzeichnis von C:\WINDOWS\ServicePackFiles\i386 04.08.2004 01:57 662.016 wininet.dll 1 Datei(en) 662.016 Bytes Inside the "C:\WINDOWS\ServicePackFiles\i386" folder, locate wininet.dll. Right-click on it and choose "copy" (NOT cut!). Then go back into C:\WINDOWS\System32 Right-click an open space and choose "Paste". Delete the following: C:\WINDOWS\System32\wininet.old ------------------------------------------------------------------------- wie geht es der winlogon.exe ???? -------------------------------------------------------------------------- wsfaxdrv.dll wsfaxdrv.gpd --> das Datum ist sehr suspekt.....03.06.1980 einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/de/ Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.09.2005, 01:49
Member
Themenstarter Beiträge: 45 |
#25
done, but works only if I do the mentioned to \dllcache first, then to \system32. This I did. Unfortunately I cannot delete the *.old file, whereas I can delete the original file without a problem.
Maybe I should do this in the offline mode!? Generally talking: do you have the impression any undesireable action is taken when shutting down the system(at this point). Should I always kill it instead of shutting down until we got a solution? any clue for further proceeding? winlogon.exe still infected Scan wsfaxdrv.gpd Jotti Auslastung: 0% 100% Datei: Wsfaxdrv.gpd Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden +++Ende Jotti Virustotal: This is a report processed by VirusTotal on 09/22/2005 at 01:50:10 (CET) after scanning the file "Wsfaxdrv.gpd" file. Antivirus Version Update Result AntiVir 6.32.0.6 09.21.2005 no virus found Avast 4.6.695.0 09.21.2005 no virus found AVG 718 09.21.2005 no virus found Avira 6.32.0.6 09.21.2005 no virus found BitDefender 7.2 09.22.2005 no virus found CAT-QuickHeal 8.00 09.21.2005 no virus found ClamAV devel-20050917 09.21.2005 no virus found DrWeb 4.32b 09.21.2005 no virus found eTrust-Iris 7.1.194.0 09.22.2005 no virus found eTrust-Vet 11.9.1.0 09.21.2005 no virus found F-Prot 3.16c 09.21.2005 no virus found Ikarus 0.2.59.0 09.21.2005 no virus found Kaspersky 4.0.2.24 09.22.2005 no virus found McAfee 4587 09.21.2005 no virus found NOD32v2 1.1229 09.21.2005 no virus found Norman 5.70.10 09.21.2005 no virus found Panda 8.02.00 09.21.2005 no virus found Sophos 3.97.0 09.22.2005 no virus found Symantec 8.0 09.21.2005 no virus found TheHacker 5.8.2.113 09.21.2005 no virus found VBA32 3.10.4 09.21.2005 no virus found +++Ende Virustotal was tun? ich könnte versuchen, offline die wininet und die winlogon aus einem integeren WXPsp2 reinzukopieren, bringt das was? etwas ernüchtert inzwischen... zähle mich an sich zu den hartnäckigen Individuen, das hier ist inzwischen somewhat out of bounds Nicht falsch verstehen, ich freu mich über eure intensive Hilfe und Bemühungen, möchte aber auch eure Zeit nicht über die Gebühr strapazieren, v.a. wenn wir jetzt keine konkreten Ansätze finden fürs weitere procedere finden sollten. Danke __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 22.09.2005 um 10:49 Uhr von Sunny-pc editiert.
|
|
|
||
22.09.2005, 11:19
Moderator
Beiträge: 7805 |
#26
Wir sind ja noch am Ball und du hast noch das Image!
Mir faellt da noch wohl was zu ein..... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.09.2005, 14:17
Member
Themenstarter Beiträge: 45 |
#27
@raman
also, hier das Ergebnis des NAI-scans: McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4587 created Sep 21 2005 Scanning for 149626 viruses, trojans and variants. 09/22/2005 13:01:12 Options: H:\WINDOWS /ALL /ANALYZE /MANALYZE /MIME /PANALYZE /PROGRAM /RPTCOR /RPTERR /STREAMS /SUB /SECURE /UNZIP /REPORT WINDOWS.REP /TIMEOUT 300 Scanning H: [SYSTEM] Scanning H:\WINDOWS\*.* Summary report on H:\WINDOWS\*.* File(s) Total files: ........... 21662 Clean: ................. 21662 Possibly Infected: ..... 0 Time: 00:15.38 +++Report Ende nicht ergiebig, aber Fakt __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
22.09.2005, 15:15
Moderator
Beiträge: 7805 |
#28
Nicht wirklich. Jag Mcafee mal ueber die ganze Partition, bzw auf jeden Fall ueber den "dokumente und Einstellungen" Ordner.
BTW: Die wininet.dll ist deshalb anders, bzw nicht mehr signiert, da sie wohl von einem Virus befallen war und ein AV-Programm diese gereinigt hat. Sprich sie ist nicht mehr im Orginalzustand. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.09.2005, 15:22
Ehrenmitglied
Beiträge: 29434 |
#29
was ich nicht verstehe:
Zitat Wininet.dll ~~~obwohl eine da ist und normalerweise ist smitrem-Tool so programmiert, dass es andere wininet.dll auf dem System sucht und die verseuchte ersetzt.... die wurde nicht erkannt und nicht ersetzt: 04.08.2004 01:57 662.016 wininet.dll das ist die "neue"...wurde nicht als verseucht erkannt.... 17.09.2005 17:58 662.016 wininet.dll Zitat Datentr„ger in Laufwerk C: ist SYSTEM __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.09.2005, 17:12
Member
Themenstarter Beiträge: 45 |
#30
was könnte ich also tun?
habe noch das Image, allerdings ist da nicht ganz der Erstzustand drauf. Ich könnte in den Backups der beteiligten Scanrechner nach original infizierten wininet.dlls suchen!?? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
__________
MfG Ralf
SEO-Spam Hunter