Home » Viren, Trojaner & Malware Forum » Hartnäckige Trojaner » Themenansicht

Hartnäckige Trojaner

Thema ist geschlossen!
Thema ist geschlossen!
#0
15.10.2005, 22:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 http://virus-protect.org/silentrunner.html
poste das Log vom Silentrunner ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.10.2005, 14:12
nelli73
Member

Themenstarter

Beiträge: 85
#17 "Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Yahoo! Pager" = ""H:\Programme\Yahoo!\Messenger\ypager.exe" -quiet" ["Yahoo! Inc."]
"MSMSGS" = ""H:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"EM_EXEC" = "H:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "]
"KernelFaultCheck" = "H:\WINDOWS\system32\dumprep 0 -k" [MS]
"Zone Labs Client" = ""H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs Inc."]
"ToADiMon.exe" = "H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"]
"TkBellExe" = ""H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"NeroFilterCheck" = "H:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AVGCtrl" = ""H:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"SunJavaUpdateSched" = "H:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"SpySweeper" = ""H:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray" ["Webroot Software, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{6A373B7E-496E-424f-A9BE-486A5E9AB018}\(Default) = "BitComet Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "H:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{00000000-0001-0001-0000-000000000000}" = "shredderse"
-> {CLSID}\InProcServer32\(Default) = "h:\programme\steganos trace destructor 6\shredderse.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\WinRAR\rarext.dll" [null data]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e" [file not found], [MS], [file not found], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\ewido\security suite\context.dll" ["ewido networks"]
shredderse\(Default) = "{00000000-0001-0001-0000-000000000000}"
-> {CLSID}\InProcServer32\(Default) = "h:\programme\steganos trace destructor 6\shredderse.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\ewido\security suite\context.dll" ["ewido networks"]
shredderse\(Default) = "{00000000-0001-0001-0000-000000000000}"
-> {CLSID}\InProcServer32\(Default) = "h:\programme\steganos trace destructor 6\shredderse.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "H:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Warning homepage"
"Source" = "H:\WINDOWS\warnhp.html"
"SubscribedURL" = ""


Startup items in "Melanie" & "All Users" startup folders:
---------------------------------------------------------

H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Logitech SetPoint" -> shortcut to: "H:\Programme\Logitech\SetPoint\KEM.exe" ["Logitech Inc."]
"WinZip Quick Pick" -> shortcut to: "H:\Programme\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

"{2E608F70-C430-4BC5-96F6-608E02EBA5B2}" = "BitComet Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{E0E899AB-F487-11D5-8D29-0050BA6940E3}" = "FlashGet Bar"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\FlashGet\fgiebar.dll" ["Amaze Soft"]

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

"{2E608F70-C430-4BC5-96F6-608E02EBA5B2}" = "BitComet Toolbar"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll" [null data]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\ = "&Yahoo! Messenger" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\ = "&Yahoo! Messenger" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\
"ButtonText" = "Messenger"
"MenuText" = "Yahoo! Messenger"
"CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}"
-> {CLSID}\InProcServer32\(Default) = "H:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "&FlashGet"
"Exec" = "H:\PROGRA~1\FlashGet\flashget.exe" ["Amaze Soft"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "H:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""H:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""H:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "H:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
ewido security suite control, ewido security suite control, "H:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
TrueVector Internet Monitor, vsmon, "H:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
Webroot Spy Sweeper Engine, svcWRSSSDK, "H:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe" ["Webroot Software, Inc."]


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = INFECTION WARNING! "Lkbdflt2" ["Logitech"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S520\Driver = "CNMLM3m.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 38 seconds, including 16 seconds for message boxes)


Ich merke gerade das ich wieder ein problem habe, anscheind ist irgendwas gelöscht worden, dass dafür sorgte das ich meine bilder von der CompactFlash sofort auf mein pc laden konnte.
Das geht nun leider nicht mehr und ich bekomme immer die meldung: Es ist keine Kamera gefunden worden.
Das ist übel, da die Bilder HEUTE noch auf mein PC MÜSSEN. Ich muss sie weiterleiten.

LG Nelli
Dieser Beitrag wurde am 16.10.2005 um 14:48 Uhr von nelli73 editiert.
Seitenanfang Seitenende
16.10.2005, 18:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Gehe in die registry

Start-->Ausfuehren--> regedit

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\

loesche:

"FriendlyName" = "Warning homepage"
"Source" = "H:\WINDOWS\warnhp.html"
"SubscribedURL" = ""

kopiere noch mal in die killbox, um zu ueberpreufen, ob es geloescht ist:
H:\WINDOWS\warnhp.html

PC neustarten

Falls nötig, das ausführen (Geht auch über Systemsteuerung - Anzeige)
1 - Taskleiste Rechtsklick - dann Eigenschaften.
2 - Taskleiste automatisch ausblenden: Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop- hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Desktop - dann auf: Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Warning homepage" Löschen


Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip

ClickThis.bat (klicken)-> der texteditor oeffnet sich (poste das log)

psguardrem.reg (klicken) und der Registry beifuegen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.10.2005, 18:26
nelli73
Member

Themenstarter

Beiträge: 85
#19 Also die Meldung ist nicht mehr da, ich kann es nicht löschen.
Das Desktop funktioniert auch wieder, hab es selber hinbekommen.
Was halt nicht mehr klappt ist das meine CompactFlash-Karte nicht mehr angenommen wird.
Aber es scheint sonst alles weg zu sein.

Bin dir wirklich sehr dankbar, auch wenn es mir sehr viel zeit und nerven gekostet hat.

Vielen Lieben Dank

Nathalie
Seitenanfang Seitenende
01.11.2005, 05:53
rYanthusaR
...neu hier

Beiträge: 6
#20 Guten Morgen.
Ich habe mir leider den TR/click.ag.dj.13.b zugezogen. mein Antivir erkennt ihn zwar, kann ihn aber leider nicht beseitigen. Ich habe jetzt hier schon ein bischen geschmökert und hoffe das ich alle infos habe die ihr braucht, habe leider nicht ganz durchgeblickt. Hier erstmal mein Hijacklog:
Logfile of HijackThis v1.99.1
Scan saved at 04:31:15, on 01.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\locator.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\RYANTH~1\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128893653609
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe


mit escancheck hatte ich einige probleme, letztendlich doch zum laufen gebracht allerdings sieht die oberfläche etwas anders aus als in den beschreibungen. hier das log dazu:

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\pxsfs.dll". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\AVSDA.DLL". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\AVSDAM.DLL". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{0E7D4968-C730-4C50-9DA2-375665FB7117}" refers to invalid object "C:\PROGRA~1\Ashampoo\ASHAMP~1\PwrUpDlg.dll". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{5A61B58E-2B0A-4B67-A882-FFC6FEAF12EE}" refers to invalid object "C:\test\C_\bases_x\kavvlg.dll". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{6126F66E-EFD6-4A49-8835-C8ED89416FFA}" refers to invalid object "C:\PROGRA~1\Ashampoo\ASHAMP~1\PwrUpDlg.dll". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP27\A0003454.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP57\A0009946.EXE infiziert von "not-virus:BadJoke.Win32.Delf.m" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP57\A0009960.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP57\A0010633.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP57\A0011062.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen.

ich weiss es sieht etwas komisch aus, hoffe es geht so.
würde mich über eine antwort freuen.

rYan
Seitenanfang Seitenende
01.11.2005, 13:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 rYanthusaR

http://virus-protect.org/silentrunner.html
poste das Log vom Silentrunner

kopiere hier bitte laut Anweisungen die 4 logs ;)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2005, 21:53
rYanthusaR
...neu hier

Beiträge: 6
#22 Hallo,
erstmal danke für die schnelle Antwort. Silentrunner mag bei mir leider nicht. Der Windows Script Host spuckt mir leider nur eine fehlermeldung raus:
Fehler: Ungültiger Prozeduraufruf oder ungültiges Argument
Code: 800A0005
Quelle: Laufzeitfehler in Microsoft VBScript.
laut der Seite von Silentrunner soll man im regedit im schlüssel vom Windows Script Host "enabled" auf 1 stellen. leider habe ich den eintrag "enabeled" nicht und auch ein einfügen hat nicht geholfen.

hier erstmal die 4 logs von datfindbat:
Datentr„ger in Laufwerk C: ist rYanthusaR
Volumeseriennummer: FC79-72CE

Verzeichnis von C:\WINDOWS\system32

31.10.2005 17:15 12.598 wpa.dbl
30.10.2005 12:11 48.360 perfc007.dat
30.10.2005 12:11 316.924 perfh007.dat
30.10.2005 12:11 40.128 perfc009.dat
30.10.2005 12:11 311.740 perfh009.dat
30.10.2005 12:11 723.568 PerfStringBackup.INI
17.10.2005 17:59 5.618 jupdate-1.5.0_05-b05.log
09.10.2005 23:14 16.832 amcompat.tlb
09.10.2005 23:14 23.392 nscompat.tlb
09.10.2005 22:51 96.664 FNTCACHE.DAT
08.10.2005 08:33 4.212 zllictbl.dat
05.10.2005 03:09 2.301.792 MRT.exe
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
15.09.2005 06:32 307.200 atiiiexx.dll
15.09.2005 05:55 253.952 ATIDEMGR.dll
15.09.2005 05:14 6.680.576 atioglx1.dll
15.09.2005 04:13 4.837.376 atioglxx.dll
15.09.2005 03:58 241.664 ati2dvag.dll
15.09.2005 03:53 106.496 atipdlxx.dll
15.09.2005 03:53 73.728 Oemdspif.dll
15.09.2005 03:53 25.088 Ati2mdxx.exe
15.09.2005 03:53 39.936 ati2edxx.dll
15.09.2005 03:53 46.080 ati2evxx.dll
15.09.2005 03:52 376.832 ati2evxx.exe
15.09.2005 03:51 53.248 ATIDDC.DLL
15.09.2005 03:44 2.429.952 ati3duag.dll
15.09.2005 03:39 602.016 ativvaxx.dll
15.09.2005 03:27 147.456 atikvmag.dll
15.09.2005 03:04 17.408 atitvo32.dll
15.09.2005 02:59 233.472 ati2cqag.dll
14.09.2005 20:05 516.096 ati2sgag.exe
10.09.2005 02:54 2.067.968 cdosys.dll
06.09.2005 21:04 104.373 atiicdxx.dat
06.09.2005 20:52 34.064 lhacm.acm
06.09.2005 18:20 39.314 PWRUPXP.UND
06.09.2005 17:37 2.610 $winnt$.inf
06.09.2005 17:37 211 BOOTBAK.INI
06.09.2005 16:38 98.304 CmdLineExt.dll
06.09.2005 11:56 12.598 wpa.bak
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
02.09.2005 20:43 0 h323log.txt
02.09.2005 19:48 2.951 CONFIG.NT
02.09.2005 19:47 488 logonui.exe.manifest
02.09.2005 19:47 488 WindowsLogon.manifest
02.09.2005 19:47 749 nwc.cpl.manifest
02.09.2005 19:47 749 sapi.cpl.manifest
02.09.2005 19:47 749 ncpa.cpl.manifest
02.09.2005 19:47 749 cdplayer.exe.manifest
02.09.2005 19:47 749 wuaucpl.cpl.manifest
02.09.2005 19:46 21.740 emptyregdb.dat
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
29.08.2005 12:27 520.968 LegitCheckControl.DLL
26.08.2005 17:14 127.078 javaws.exe
26.08.2005 17:14 49.265 jpicpl32.cpl
26.08.2005 14:55 49.250 javaw.exe
26.08.2005 14:55 49.248 java.exe
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
16.08.2005 21:57 5.607 atifglpf.xml
09.08.2005 23:12 3.136 dtu_de.qm

Datentr„ger in Laufwerk C: ist rYanthusaR
Volumeseriennummer: FC79-72CE

Verzeichnis von C:\DOKUME~1\RYANTH~1\LOKALE~1\Temp

01.11.2005 21:41 1.236 jusched.log
01.11.2005 04:48 2.006 MWAV.LOG
01.11.2005 04:47 672 mwXface.log
01.11.2005 04:47 241.664 MYDB.DLL
01.11.2005 02:57 20.919.808 INSTAL.EXE
21.10.2005 16:36 41.440 troj028.avc
21.10.2005 16:36 43.378 troj027.avc
21.10.2005 16:36 151.242 unp026.avc
21.10.2005 16:36 49.418 worm005.avc
21.10.2005 16:36 26.717 ext005.avc
21.10.2005 16:36 50.443 troj018.avc
21.10.2005 16:36 3.580 daily-ex.avc
21.10.2005 16:36 50.028 troj031.avc
21.10.2005 16:36 51.731 daily.avc
21.10.2005 16:36 20.595 gen004.avc
21.10.2005 16:36 56.363 unp006.avc
21.10.2005 16:36 11.405 avp.klb
21.10.2005 16:36 50.224 worm001.avc
21.10.2005 16:36 44.162 malw004.avc
21.10.2005 16:36 68.829 unp010.avc
21.10.2005 16:36 172.423 troj034.avc
21.10.2005 14:12 43.711 Finnish.Age
21.10.2005 14:12 41.342 Polish.Age
21.10.2005 14:12 46.466 French.Age
21.10.2005 14:12 47.264 Spanish.Age
21.10.2005 14:12 42.860 Romanian.Age
21.10.2005 14:12 46.432 Portuguese.Age
21.10.2005 14:12 54.417 Italian.Age
21.10.2005 14:12 56.262 language.ini
21.10.2005 14:12 56.262 German.Age
21.10.2005 13:50 327.680 ESUPDATE.EXE
21.10.2005 13:32 373.824 mwavscan.com
21.10.2005 13:31 118.784 msvlclnt.dll
21.10.2005 13:29 41.024 Getvlist.exe
18.10.2005 12:13 339.968 MWAVReg.EXE
17.10.2005 17:37 145.160 spydb.avs
17.10.2005 15:55 36.253 virus020.avc
17.10.2005 15:55 29.201 worm006.avc
17.10.2005 15:55 21.103 fa.avc
15.10.2005 18:30 487.424 Download.exe
14.10.2005 13:17 41.682 English.Age
13.10.2005 11:36 56.628 troj022.avc
13.10.2005 11:36 69.441 ca.avc
11.10.2005 14:00 1.689 English.tcp
11.10.2005 11:05 48.074 ext003.avc
11.10.2005 11:05 44.571 unp018.avc
11.10.2005 11:05 74.103 virus010.avc
08.10.2005 17:35 48.724 troj030.avc
08.10.2005 17:35 52.101 unp009.avc
08.10.2005 17:35 50.740 unp001.avc
07.10.2005 14:41 96.768 MWAVL.exe
06.10.2005 21:25 7.414 English.lic
06.10.2005 10:42 62.189 krnunp.avc
06.10.2005 10:42 61.108 unp014.avc
06.10.2005 10:42 50.654 unp022.avc
06.10.2005 10:42 41.710 unp025.avc
04.10.2005 11:20 8.271 unp000.avc
04.10.2005 11:20 50.675 troj007.avc
04.10.2005 11:20 47.070 troj026.avc
03.10.2005 10:31 109.332 troj003.avc
01.10.2005 11:44 49.600 troj033.avc
01.10.2005 11:44 54.701 malw002.avc
28.09.2005 11:21 49.127 ext001.avc
27.09.2005 11:25 27.019 unp004.avc
27.09.2005 11:25 44.295 krn001.avc
27.09.2005 11:25 8.717 kernel.avc
26.09.2005 12:30 50.231 troj020.avc
26.09.2005 12:30 17.722 ext999.avc
26.09.2005 12:30 50.208 troj010.avc
26.09.2005 12:30 75.027 virus014.avc
26.09.2005 12:30 48.084 ext004.avc
26.09.2005 12:30 48.209 ext002.avc
23.09.2005 16:37 361.472 viewtcp.exe
21.09.2005 15:41 81.306 unp023.avc
19.09.2005 10:36 50.490 troj029.avc
19.09.2005 10:36 49.994 troj019.avc
16.09.2005 10:51 101.225 troj001.avc
15.09.2005 10:48 54.966 unp003.avc
13.09.2005 12:10 79.269 virus017.avc
13.09.2005 12:10 49.281 troj032.avc
12.09.2005 12:09 43.035 gen999.avc
09.09.2005 11:22 51.447 troj025.avc
09.09.2005 11:22 36.207 unp012.avc
08.09.2005 11:30 57.965 unp013.avc
06.09.2005 10:58 55.660 troj023.avc
04.09.2005 23:12 56.341 troj024.avc
03.09.2005 12:49 80.833 virus016.avc
03.09.2005 12:49 41.540 gen003.avc
01.09.2005 10:21 43.227 unp024.avc
31.08.2005 10:44 49.965 troj015.avc
30.08.2005 10:27 77.385 virus012.avc
30.08.2005 10:27 75.197 virus008.avc
29.08.2005 10:49 1.970 eicar.avc
29.08.2005 10:49 1.570 avp.set
29.08.2005 10:49 47.309 gen002.avc
26.08.2005 12:06 51.801 troj011.avc
26.08.2005 12:06 50.406 troj016.avc
26.08.2005 12:06 50.483 troj008.avc
24.08.2005 16:29 4.749 Polish.dow
24.08.2005 16:29 1.693 Polish.tcp
24.08.2005 16:29 9.655 Polish.con
24.08.2005 16:29 10.372 French.con
24.08.2005 16:29 1.886 French.tcp
24.08.2005 16:29 5.412 French.dow
24.08.2005 16:29 5.354 Portuguese.dow
24.08.2005 16:29 1.895 Portuguese.tcp
24.08.2005 16:29 10.655 Portuguese.con
24.08.2005 13:01 78.228 virus013.avc
20.08.2005 18:18 9.704 English.con
20.08.2005 14:48 59.950 malw001.avc
18.08.2005 17:45 71.736 unp002.avc
17.08.2005 16:36 50.230 troj021.avc
17.08.2005 16:36 49.623 troj012.avc
16.08.2005 15:33 56.352 virus019.avc
16.08.2005 15:33 74.128 virus007.avc
16.08.2005 15:33 51.387 troj006.avc
16.08.2005 15:33 34.766 gen001.avc
16.08.2005 15:24 58.536 bitmap1.bmp
16.08.2005 15:24 58.536 about.bmp
13.08.2005 19:43 50.873 troj009.avc
12.08.2005 19:01 80.280 unp019.avc
12.08.2005 19:01 51.739 worm003.avc
10.08.2005 18:32 76.290 virus015.avc
01.08.2005 13:10 14.376 Polish.lic

Datentr„ger in Laufwerk C: ist rYanthusaR
Volumeseriennummer: FC79-72CE

Verzeichnis von C:\WINDOWS

01.11.2005 21:41 0 0.log
01.11.2005 21:41 614.420 WindowsUpdate.log
01.11.2005 21:41 2.048 bootstat.dat
01.11.2005 21:40 26.058 SchedLgU.Txt
01.11.2005 04:48 480 CPERROR.LOG
01.11.2005 04:47 0 Lic.xxx
01.11.2005 04:41 849 win.ini
01.11.2005 03:47 380.708 setupapi.log
01.11.2005 03:26 200 FLASH.LOG
01.11.2005 03:22 231 system.ini
01.11.2005 03:22 3.233 mailremv.log
01.11.2005 03:22 9.781 ESCAN.LOG
01.11.2005 03:22 144 INST_TSP.LOG
01.11.2005 03:18 182.707 setupact.log
01.11.2005 03:17 1.374 imsins.log
01.11.2005 03:17 105.297 tsoc.log
01.11.2005 03:17 14.625 ocmsn.log
01.11.2005 03:17 58.713 ntdtcsetup.log
01.11.2005 03:17 96.563 comsetup.log
01.11.2005 03:17 38.389 iis6.log
01.11.2005 03:17 22.837 KB901017.log
01.11.2005 03:17 146.399 ocgen.log
01.11.2005 03:17 13.391 msgsocm.log
01.11.2005 03:17 250.000 FaxSetup.log
01.11.2005 03:17 1.374 imsins.BAK
01.11.2005 03:17 26.392 KB902400.log
01.11.2005 03:17 16.616 updspapi.log
01.11.2005 03:17 16.469 KB896688.log
01.11.2005 03:17 14.909 KB905414.log
01.11.2005 03:17 14.826 KB900725.log
01.11.2005 03:17 12.033 KB904706.log
01.11.2005 03:17 12.687 KB905749.log
01.11.2005 03:06 70.020 winsbak2.reg
01.11.2005 03:06 9.106 winsbak.reg
30.10.2005 12:09 50 wiaservc.log
30.10.2005 12:09 216 wiadebug.log
30.10.2005 12:09 155 winamp.ini
29.10.2005 02:04 55.297 wmsetup.log
27.10.2005 16:41 468.480 WRUninstall.dll
24.10.2005 12:10 22.115 DirectX.log
23.10.2005 16:27 40 nero.INI
21.10.2005 15:55 155.648 ssleay32.dll
21.10.2005 15:55 684.032 libeay32.dll
17.10.2005 18:00 3.688 mozver.dat
09.10.2005 23:11 231 wmsetup10.log
09.10.2005 23:11 316.640 WMSysPr9.prx
09.10.2005 22:50 26.540 KB896727.log
09.10.2005 22:50 22.564 KB894391.log
09.10.2005 22:50 20.575 KB896423.log
09.10.2005 22:50 20.063 KB899587.log
09.10.2005 22:50 19.559 KB899591.log
09.10.2005 22:50 19.437 KB893756.log
09.10.2005 22:49 19.544 KB899588.log
09.10.2005 22:49 19.100 KB896358.log
09.10.2005 22:49 20.687 KB890859.log
09.10.2005 22:49 16.637 KB901214.log
09.10.2005 22:49 16.783 KB893066.log
09.10.2005 22:49 16.440 KB896428.log
09.10.2005 22:49 16.771 KB896422.log
09.10.2005 22:49 16.810 KB890046.log
09.10.2005 22:49 15.579 KB885250.log
09.10.2005 22:49 15.777 KB885835.log
09.10.2005 22:49 15.704 KB893086.log
09.10.2005 22:49 14.487 KB887742.log
09.10.2005 22:49 14.518 KB873333.log
09.10.2005 22:49 12.071 KB888113.log
09.10.2005 22:48 12.116 KB891781.log
09.10.2005 22:48 12.013 KB887472.log
09.10.2005 22:48 12.044 KB888302.log
09.10.2005 22:48 11.491 KB885836.log
09.10.2005 22:48 7.886 KB886185.log
09.10.2005 22:48 11.489 KB873339.log
09.10.2005 22:38 7.356 KB898461.log
09.10.2005 22:37 7.175 KB893803v2.log
08.10.2005 18:12 5.760.054 Firefox Wallpaper.bmp
08.10.2005 18:08 1.902.518 ACD Hintergrund.bmp
08.10.2005 08:37 98.910 ntbtlog.txt
13.09.2005 06:19 99.970 UninstallFirefox.exe
06.09.2005 21:08 8.192 Thumbs.db
06.09.2005 17:37 1.174 OEWABLog.txt
06.09.2005 17:36 2.741 sessmgr.setup.log
06.09.2005 17:36 641 DtcInstall.log
06.09.2005 17:33 2.746 regopt.log
06.09.2005 17:33 8.192 REGLOCS.OLD
06.09.2005 16:24 0 nsreg.dat
06.09.2005 11:56 856.980 setuplog.txt
02.09.2005 20:43 0 Sti_Trace.log
02.09.2005 20:39 0 setuperr.log
02.09.2005 19:52 61 smscfg.ini
02.09.2005 19:48 0 control.ini
02.09.2005 19:48 4.161 ODBCINST.INI
02.09.2005 19:47 749 WindowsShell.Manifest
02.09.2005 19:45 36 vb.ini
02.09.2005 19:45 37 vbaddin.ini
02.09.2005 19:44 200 cmsetacl.log

Datentr„ger in Laufwerk C: ist rYanthusaR
Volumeseriennummer: FC79-72CE

Verzeichnis von C:\

01.11.2005 21:52 0 sys.txt
01.11.2005 21:51 6.832 system.txt
01.11.2005 21:51 11.396 systemtemp.txt
01.11.2005 21:48 88.805 system32.txt
01.11.2005 21:41 2.147.012.608 hiberfil.sys
01.11.2005 21:41 2.145.386.496 pagefile.sys
06.09.2005 18:23 194 boot.ini
02.09.2005 19:48 0 AUTOEXEC.BAT
02.09.2005 19:48 0 MSDOS.SYS
02.09.2005 19:48 0 IO.SYS
02.09.2005 19:48 0 CONFIG.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr

mfG

rYan
Seitenanfang Seitenende
01.11.2005, 21:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 rYanthusaR

Zitat

Problem:
Was den "Silentrunners" angeht...der funktioniert leider nicht. bekomme immer die meldung: "Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert." und ich solle mich an den Administrator wenden.

Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten)
http://virus-protect.org/silentrunner.html
nun fehlt noch der Silentrunner ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2005, 22:00
rYanthusaR
...neu hier

Beiträge: 6
#24 Hier mal der Auszug was bei mir unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
zu finden ist:
(Standard) Wert 0
Activedebugging Wert 1
Displaylogo Wert 1
SilentTerminate Wert 0
UseWINSAVER Wert 1

das einfügen von "enabled" mit dem wert 1 und einem neustart hat leider nicht geholfen
Dieser Beitrag wurde am 01.11.2005 um 22:04 Uhr von rYanthusaR editiert.
Seitenanfang Seitenende
01.11.2005, 22:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 also in den Dateien finde ich nicts, was auf Malware hinweist:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2005, 22:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26
loeschen:
C:\WINDOWS\Firefox Wallpaper.bmp
C:\WINDOWS\ACD Hintergrund.bmp

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2005, 22:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 http://virus-protect.org/onlinescan.html
scanne mit kaspersky und mit Panda und poste den scanreport ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2005, 23:16
rYanthusaR
...neu hier

Beiträge: 6
#28 sooo, nette scanorgie :p

Blacklightlog:
11/01/05 22:09:02 [Info]: BlackLight Engine 1.0.24 initialized
11/01/05 22:09:02 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/01/05 22:09:02 [Note]: 4019 4
11/01/05 22:09:02 [Note]: 4005 0
11/01/05 22:09:10 [Note]: 4006 0
11/01/05 22:09:10 [Note]: 4011 1492
11/01/05 22:09:10 [Note]: FSRAW library version 1.7.1013
11/01/05 22:09:33 [Note]: 4007 0

pandaactivescan:
Incident Status Location

Adware:adware/securityerror No disinfected C:\Dokumente und Einstellungen\rYanthusaR\Favoriten\Antivirus Test Online.url

kasperskylog:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, November 01, 2005 23:10:03
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 1/11/2005
Kaspersky Anti-Virus database records: 157712
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 59171
Number of viruses found: 12
Number of infected objects: 27
Number of suspicious objects: 0
Duration of the scan process: 1577 sec

Infected Object Name - Virus Name
C:\Saved\Tools\mirc616.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616
C:\Saved\Tools\mirc616.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0018.BIN Infected: not-a-virus:AdWare.Win32.Quick.a
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0019.BIN Infected: not-a-virus:AdWare.Win32.NewDotNet
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0020.BIN/data0003/data0001 Infected: not-a-virus:AdWare.Win32.WebRebates.g
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0020.BIN/data0003 Infected: not-a-virus:AdWare.Win32.WebRebates.g
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0020.BIN/data0003 Infected: not-a-virus:AdWare.Win32.WebRebates.b
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0020.BIN/data0004 Infected: not-a-virus:AdWare.Win32.HelpExpress
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0020.BIN/data0005 Infected: not-a-virus:AdWare.Win32.WebRebates.b
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0020.BIN Infected: not-a-virus:AdWare.Win32.WebRebates.b
C:\Saved\Tools\Style XP + Themes\31777.exe/WISE0021.BIN Infected: not-a-virus:AdWare.Win32.EZula.ac
C:\Saved\Tools\Style XP + Themes\31777.exe Infected: not-a-virus:AdWare.Win32.EZula.ac
C:\Saved\Tools\Style XP + Themes\68471.exe/WISE0017.BIN Infected: not-a-virus:AdWare.Win32.Quick.a
C:\Saved\Tools\Style XP + Themes\68471.exe/WISE0018.BIN Infected: not-a-virus:AdWare.Win32.NewDotNet
C:\Saved\Tools\Style XP + Themes\68471.exe/WISE0019.BIN Infected: not-a-virus:AdWare.Win32.Gator.3103
C:\Saved\Tools\Style XP + Themes\68471.exe Infected: not-a-virus:AdWare.Win32.Gator.3103
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP26\A0003311.exe Infected: Trojan-Clicker.Win32.Agent.dj
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP27\A0003320.exe Infected: Trojan-Clicker.Win32.Agent.dj
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP27\A0003370.exe Infected: Trojan-Downloader.Win32.Small.brr
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP27\A0003454.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.603
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP57\A0009946.EXE Infected: not-virus:BadJoke.Win32.Delf.m
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP57\A0009960.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.603
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP57\A0010633.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.603
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP57\A0011062.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.603
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP58\A0011986.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.603
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP58\A0012028.exe/data0003 Infected: not-a-virus:Client-IRC.Win32.mIRC.603
C:\System Volume Information\_restore{EE6E0908-2A94-40DF-BC80-FB6204DD716F}\RP58\A0012028.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.603

Scan process completed.

Habe die Wallpaper gelöscht und CCcleaner laufen lassen. leider mag silentrunner trotzdem nicht :´(
Seitenanfang Seitenende
01.11.2005, 23:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 loesche:

C:\Saved\Tools\Style XP + Themes

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

dan aktiviere die Systemherstellung wieder ; )
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.11.2005, 00:04
rYanthusaR
...neu hier

Beiträge: 6
#30 hier der neue pandascan:
Incident Status Location

Adware:adware/securityerror No disinfected C:\Dokumente und Einstellungen\rYanthusaR\Favoriten\Antivirus Test Online.url

keine änderung
die systemwiederherstellung hab ich wie befolgt deaktiviert und wieder reaktiviert
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 123