Verzeichnisse die sich nicht löschen lassen und kein ICS mehr möglich

#0
06.11.2005, 09:46
...neu hier

Beiträge: 7
#1 Hallo,

ich habe seit einiger Zeit Probleme mit meinem Rechner die ich nicht mehr losbekomme. Zuerst fiel mir auf dass mein Rechner nach einigen Minuten im Internet einen konstanten Upstream von bis zu 20kb/s erzeugt. Durch installieren Sygate PFW konnte ich den Upstream unterbinden. Nach Benutzung einiger Scanner tritt das Problem nicht mehr auf. Mein System is trotzdem nicht sauber. So habe ich bei weiteren Nachforschungen Tools gefunden die mir Hinweise auf Aktivitäten geben. Leider sind die Ergebnisse für mich nicht verwertbar, weil ich die Ursache nicht finde.

Ein weiteres Problem ist das ich Internet Connection Sharing nicht aktivieren kann. Folgende Fehlermeldung erscheint:

Netzwerkverbindung:
Gemeinsam genutzter Zugriff kann nicht aktiviert werden.
Fehler 1075: Der Abhängigkeitsdienst ist nicht vorhanden oder wurde zum Löschenmarkiert.
****************************

System Virginity Verifier
von http://invisiblethings.org/

E:\Install\SVV>svv check /a
WARNING: Service Table redirection detected
origKiServiceTbl: 0x804d4000 - 0x804d4500
currKiServiceTbl: 0x804fe7a8 - 0x804fec18
ntoskrnl.exe (804d4000 - 806bb000)... suspected! (verdict = 4).
pciide.sys (f7c2b000 - f7c2c000)... Wrong PE image format!
(f7595000 - f75ab000)... error code = 0x5
Null.SYS (f7d6e000 - f7d6f000)... error code = 0x490
mnmdd.SYS (f7b83000 - f7b85000)... error code = 0x490
RDPCDD.sys (f7b85000 - f7b87000)... error code = 0x490
tcpip.sys (f5a7e000 - f5ad1000)... suspected! (verdict = 5).

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!


E:\Install\SVV>svv fix /a
WARNING: Service Table redirection detected
origKiServiceTbl: 0x804d4000 - 0x804d4500
currKiServiceTbl: 0x804fe7a8 - 0x804fec18
ntoskrnl.exe (804d4000 - 806bb000)... suspected! (verdict = 4).
pciide.sys (f7c2b000 - f7c2c000)... Wrong PE image format!
(f7595000 - f75ab000)... error code = 0x5
Null.SYS (f7d6e000 - f7d6f000)... error code = 0x490
mnmdd.SYS (f7b83000 - f7b85000)... error code = 0x490
RDPCDD.sys (f7b85000 - f7b87000)... error code = 0x490
tcpip.sys (f5a7e000 - f5ad1000)... suspected! (verdict = 5).

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!
current verdict level: 5
target verdict level : 2
WARNING: DISINFECTION process can crash your system!
You are doing it ON YOUR OWN RISK!!!
Are you sure (yes/no)?
yes
---> fixing kernel & current process modules
fixing module ntoskrnl.exe... fixed.
fixing module tcpip.sys... fixed.
---> fixing foreign processes' modules

***************************

Nachdem ich das Tool habe laufen lassen wurden Verzeichnisse sichtbar, die ich nicht löschen kann, von denen ich aber von Rootkit Revealer weiss, dass sich darin Strukturen und Dateien befinden.

C:\WINDOWS\system32\drivers\knlps\
C:\WINDOWS\system32\spool\prtprocs\_0_

Log von Rootkit Revealer v1.56

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 21.10.2005 10:43 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 31.10.2005 14:30 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\NetDDE 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 10.10.2005 16:10 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 21.10.2005 10:45 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_POLICYAGENT 26.06.2004 11:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCSS 26.06.2004 12:00 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\ClipSrv 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\eventlog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\NetDDE 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\PolicyAgent 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\RemoteAccess 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\NetDDE 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\NetDDEdsdm 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\PlugPlay 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\PolicyAgent 22.11.2004 10:21 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\RemoteAccess 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\RpcSs 22.11.2004 10:21 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\ClipSrv 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\ClipSrv 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIPSRV 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDE 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_POLICYAGENT 26.06.2004 11:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCSS 26.06.2004 12:00 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\ClipSrv 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\eventlog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\NetDDE 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\PolicyAgent 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\RemoteAccess 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\NetDDE 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\PlugPlay 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\PolicyAgent 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\RemoteAccess 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\RpcSs 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\ClipSrv 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\ClipSrv 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_CLIPSRV 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETDDE 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_POLICYAGENT 26.06.2004 11:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_RPCSS 26.06.2004 12:00 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\ClipSrv 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\eventlog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\NetDDE 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\PolicyAgent 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\RemoteAccess 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\NetDDE 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\PlugPlay 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\PolicyAgent 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\RemoteAccess 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\RpcSs 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Vax347s\Config\jdgg40 24.10.2005 13:16 0 bytes Hidden from Windows API.
HKLM\SYSTEM\Setup\AllowStart\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\Setup\AllowStart\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\Setup\AllowStart\Rpcss 26.06.2004 12:01 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps 16.10.2005 01:50 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul 16.10.2005 01:50 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr 16.10.2005 01:50 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin 18.10.2005 08:33 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_.exe 16.10.2005 01:50 38.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_1.bat 18.10.2005 08:32 2.96 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_1.lst 18.10.2005 08:32 18.06 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_2.bat 18.10.2005 08:32 4.71 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_2.exe 18.10.2005 08:32 92.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_bbt.exe 28.10.2005 13:29 81.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cc.exe 16.10.2005 01:50 102.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd.exe 16.10.2005 01:50 379.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd0131.txt 18.10.2005 08:32 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd0137.txt 18.10.2005 08:33 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd01370.txt 18.10.2005 08:33 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd29.txt 16.10.2005 09:12 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2931.txt 16.10.2005 04:49 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2932.txt 16.10.2005 04:56 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2934.txt 16.10.2005 06:29 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2935.txt 16.10.2005 06:59 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2936.txt 16.10.2005 06:59 42 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2937.txt 16.10.2005 07:02 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2939.txt 16.10.2005 07:18 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_du.exe 16.10.2005 01:50 27.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_findstr.exe 16.10.2005 01:50 25.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_handle.exe 16.10.2005 01:50 177.52 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_mbt.exe 28.10.2005 13:29 91.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_ntpass1.exe 16.10.2005 01:50 128.82 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_ntpass1a.exe 16.10.2005 01:50 129.11 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_ntpass2.exe 16.10.2005 01:50 133.52 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_ntpass2a.exe 16.10.2005 01:50 134.15 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_op.exe 16.10.2005 01:50 81.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_pse.exe 16.10.2005 01:50 104.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_psi.exe 16.10.2005 01:50 132.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_psk.exe 16.10.2005 01:50 112.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_psl.exe 16.10.2005 01:50 84.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_psll.exe 16.10.2005 01:50 64.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_pssd.exe 16.10.2005 01:50 120.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_reg.exe 16.10.2005 01:50 48.27 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_sc.exe 16.10.2005 01:50 61.77 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_scan.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_scl.exe 16.10.2005 01:50 10.27 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_stunnel.exe 28.10.2005 13:29 43.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_stunnel.pem 16.10.2005 01:50 2.73 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_tl.exe 16.10.2005 01:50 13.27 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_touch.exe 16.10.2005 01:50 35.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_xcacls.exe 16.10.2005 01:50 44.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\libeay32.dll 16.10.2005 01:50 1.13 MB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\libssl32.dll 16.10.2005 01:50 241.14 KB Hidden from Windows API.
C:\WINDOWS\system32\spool\prtprocs\_0_ 16.10.2005 01:47 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\spool\prtprocs\_0_\nul 13.07.2005 01:13 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\spool\prtprocs\_0_\nul\nul 16.10.2005 01:47 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API.
Dieser Beitrag wurde am 06.11.2005 um 09:57 Uhr von dermitdemroo editiert.
Seitenanfang Seitenende
06.11.2005, 09:55
Moderator

Beiträge: 7805
#2 Interessant. Pote bitte ein Hijackthis log und nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml

Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den REchner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier.


Das rootkitrevealer log waere auch nicht schlecht.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.11.2005, 10:03
...neu hier

Themenstarter

Beiträge: 7
#3 Sorry mein Beitrag war leider noch nicht fertig. Ich hoffe ich habe jetzt nichts vergessen.

Blacklight habe ich heute morgen laufen lassen. Es wurde nichts gefunden.

Logfile of HijackThis v1.99.1
Scan saved at 10:03:26, on 06.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
d:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
d:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
D:\programme\DU Meter\DUMeter.exe
D:\Programme\AVPersonal\AVGNT.EXE
d:\Programme\Trillian\trillian.exe
D:\programme\No-IP\DUC20.exe
C:\WINDOWS\System32\cmd.exe
D:\programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\taskmgr.exe
D:\programme\UltraEdit\uedit32.exe
D:\programme\UltraEdit\uedit32.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DU Meter] D:\programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] d:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [DriveLED] D:\programme\OO Software\DriveLED\oodled.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - d:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72095E94-5788-4207-BA1C-CE321B5DB95A}: NameServer = 195.50.140.250 195.50.140.114
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\programme\iPod\bin\iPodService.exe
O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - d:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - d:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - d:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - E:\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Seitenanfang Seitenende
06.11.2005, 10:51
Moderator

Beiträge: 7805
#4 Nagut, da scheint dich was haeftiges erwischt zu haben. Wenn du svv mit /fix ausgefuehrt hast, kannst du dann auf C:\WINDOWS\system32\drivers\knlps\ zugreifen? SOnst versuche bitte dir eine Linuxbootcd(Knoppix) oder eine BartPE CD (http://pcfreaks.big-clan.net/bartpe/index.shtml) zu erstellen oder zu organisieren. Starte von ihr und du kannst die Dinge kopieren. Bei Linux nur kopieren(usbstick oder aehnlichem), da da mit NTFS nicht gut klar kommt. Mit einer PE cd einfach die Sachen packen oder kopieren/Umbenennen.
Wenn du das schaffst, dann bitte folgendes an virus@protecus.de:

C:\WINDOWS\system32\drivers\knlps\nul\usr\bin 18.10.2005 08:33 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_.exe 16.10.2005 01:50 38.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_1.bat 18.10.2005 08:32 2.96 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_1.lst 18.10.2005 08:32 18.06 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_2.bat 18.10.2005 08:32 4.71 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_2.exe 18.10.2005 08:32 92.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_bbt.exe 28.10.2005 13:29 81.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cc.exe 16.10.2005 01:50 102.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd.exe 16.10.2005 01:50 379.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\libeay32.dll 16.10.2005 01:50 1.13 MB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\libssl32.dll 16.10.2005 01:50 241.14 KB Hidden from Windows API.
C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API.


Dann sehen wir weiter, ich sage dir aber gleich, der hat wohl wie wild bei dir geklaut und Sachen aufgezeichnet!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.11.2005, 11:12
Moderator

Beiträge: 7805
#5 Du koenntest noch zwei Sachen machen/ausschliessen.
Einmal ein ssv report mit Option /m und im abgesicherten Modus starten, vieleicht haben wir Glueck und das ist der eigentliche Rootkit, der im abgesicherten Modus nicht aktiv ist, ich denke zwar nicht, aber auschliessen wollte ich es gerne:
O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.11.2005, 12:41
...neu hier

Themenstarter

Beiträge: 7
#6 Ich habe gerade mit dem Erstellen der BartPE CD gekämpft. Jetzt läuft sie. werde sie gleich mal ausprobieren.

Das mit svv und dem abgesicherten Modus werde ich sofort mal ausprobieren und das log posten.

*****************************

Svv funktioniert im abgesicherten Modus nicht.
ERROR (code = 0x43c): loading driver

*****************************

Mit der BartPE-CD konnte ich in das Verzeichnis knlps\nul\usr\bin wecheln und alle sich darin befindlichen Dateien herauskopieren. Danach habe ich die Dateien in diesem Verzeichnis gelöscht. Leider konnte ich das Verzechnis bin nicht löschen.
Gibt es eine Möglichkeit knlps\nul\usr\bin zu löschen?

Die Email ist rausgeschickt. Die Datei heisst rootkit.zip

DANKE
Dieser Beitrag wurde am 06.11.2005 um 14:07 Uhr von dermitdemroo editiert.
Seitenanfang Seitenende
06.11.2005, 14:20
Moderator

Beiträge: 7805
#7 Ja, habe sie bekommen und schaue gerade nach.

Schicke bitte noch dise beiden:

C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API.

Dies Dateien bitte nur umbenennen, nicht loeschen!

Danach starte den REchner normal und poste ein neues Rootkitrevealer und Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.11.2005, 15:28
...neu hier

Themenstarter

Beiträge: 7
#8 C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API.

Die beiden Dateien existieren nicht mehr.

O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing)

*******************

C:\WINDOWS\system32\spool\prtprocs\_0_ 16.10.2005 01:47 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\spool\prtprocs\_0_\nul 13.07.2005 01:13 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\spool\prtprocs\_0_\nul\nul

in dieses Verzeichnis konnte ich mit der BartPE-CD leider nicht rein.

*******************

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 21.10.2005 10:43 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Skype 09.07.2005 20:13 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 10.10.2005 16:10 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 21.10.2005 10:45 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 06.11.2005 14:47 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 06.11.2005 14:47 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet003\Services\Vax347s\Config\jdgg40 24.10.2005 13:16 0 bytes Hidden from Windows API.

************************************

Da svv nicht im abgesicherten Modus lief habe ich es noch mal gerade eben nach dem Scan von Hijack und Rootkit Revealer laufen lassen.

E:\Install\SVV>svv check /m
WARNING: Service Table redirection detected
origKiServiceTbl: 0x804d4000 - 0x804d4500
currKiServiceTbl: 0x804fe7a8 - 0x804fec18
ntoskrnl.exe (804d4000 - 806bb000)... suspected! (verdict = 4).
module ntoskrnl.exe [0x804d4000 - 0x806bb000]:
0x804fe80c 4 byte(s): SUSPECTED code modification:
file :be 05 5a 80
memory :fc c7 e1 b9
verdict = 4

0x804fe83c 4 byte(s): SUSPECTED code modification:
file :ce 00 56 80
memory :6a cb e1 b9
verdict = 4

0x804fe84c 4 byte(s): SUSPECTED code modification:
file :d4 0b 60 80
memory :10 8c 62 f7
verdict = 4

0x804fe85c 4 byte(s): SUSPECTED code modification:
file :80 f5 58 80
memory :70 cc 61 f7
verdict = 4

0x804fe87c 4 byte(s): SUSPECTED code modification:
file :ce 37 5b 80
memory :40 4c 9e f7
verdict = 4

0x804fe8c4 4 byte(s): SUSPECTED code modification:
file :f0 13 60 80
memory :fe d4 61 f7
verdict = 4

0x804fe8cd 3 byte(s): SUSPECTED code modification:
file :16 60 80
memory :8d 62 f7
verdict = 4

0x804fe958 4 byte(s): SUSPECTED code modification:
file :f2 59 59 80
memory :d0 48 9e f7
verdict = 4

0x804fe978 4 byte(s): SUSPECTED code modification:
file :48 11 56 80
memory :9e d1 e1 b9
verdict = 4

0x804fe984 4 byte(s): SUSPECTED code modification:
file :88 1e 60 80
memory :d4 8b 62 f7
verdict = 4

0x804fea28 4 byte(s): SUSPECTED code modification:
file :9e 21 60 80
memory :1e d5 61 f7
verdict = 4

0x804fea6c 4 byte(s): SUSPECTED code modification:
file :98 ef 5f 80
memory :a6 8c 62 f7
verdict = 4

0x804feb6c 4 byte(s): SUSPECTED code modification:
file :9c 01 63 80
memory :f0 84 62 f7
verdict = 4

0x804feb8c 4 byte(s): SUSPECTED code modification:
file :e6 06 5f 80
memory :70 4e 9e f7
verdict = 4

0x804febac 4 byte(s): SUSPECTED code modification:
file :ae 4f 5b 80
memory :00 4e 9e f7
verdict = 4

0x804febf0 4 byte(s): SUSPECTED code modification:
file :2e 3d 56 80
memory :0e c9 e1 b9
verdict = 4

0x80531912 1 byte(s): exclusion filter: single byte modification
file :05
memory :06
verdict = 1

0x80535bce 18 byte(s): exclusion filter: KeFlushCurrentTb()
file :d8 0f 22 d8 c3 0f 20 e0 25 7f ff ff ff 0f 22 e0 0d 80
memory :e0 25 7f ff ff ff 0f 22 e0 0d 80 00 00 00 0f 22 e0 c3
verdict = 1

0x80535be6 1 byte(s): exclusion filter: single byte modification
file :c3
memory :00
verdict = 1

0x805365b4 [RtlPrefetchMemoryNonTemporal()+0] 1 byte(s): exclusion filter: s
ingle byte modification
file :c3
memory :90
verdict = 1

module ntoskrnl.exe: end of details
tcpip.sys (f5a7e000 - f5ad1000)... suspected! (verdict = 5).
module tcpip.sys [0xf5a7e000 - 0xf5ad1000]:
0xf5a81341 6 byte(s): SUSPECTED code modification:
file :ff 70 04 ff 50 30
memory :e8 ba 8e 99 01 90
verdict = 5

0xf5a8aea9 6 byte(s): SUSPECTED code modification:
file :ff 70 04 ff 50 30
memory :e8 52 f3 98 01 90
verdict = 5

0xf5a95f7c 6 byte(s): SUSPECTED code modification:
file :ff 70 04 ff 50 30
memory :e8 7f 42 98 01 90
verdict = 5

module tcpip.sys: end of details

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!

E:\Install\SVV>svv fix /m
WARNING: Service Table redirection detected
origKiServiceTbl: 0x804d4000 - 0x804d4500
currKiServiceTbl: 0x804fe7a8 - 0x804fec18
ntoskrnl.exe (804d4000 - 806bb000)... suspected! (verdict = 4).
module ntoskrnl.exe [0x804d4000 - 0x806bb000]:
0x804fe80c 4 byte(s): SUSPECTED code modification:
file :be 05 5a 80
memory :fc c7 e1 b9
verdict = 4

0x804fe83c 4 byte(s): SUSPECTED code modification:
file :ce 00 56 80
memory :6a cb e1 b9
verdict = 4

0x804fe84c 4 byte(s): SUSPECTED code modification:
file :d4 0b 60 80
memory :10 8c 62 f7
verdict = 4

0x804fe85c 4 byte(s): SUSPECTED code modification:
file :80 f5 58 80
memory :70 cc 61 f7
verdict = 4

0x804fe87c 4 byte(s): SUSPECTED code modification:
file :ce 37 5b 80
memory :40 4c 9e f7
verdict = 4

0x804fe8c4 4 byte(s): SUSPECTED code modification:
file :f0 13 60 80
memory :fe d4 61 f7
verdict = 4

0x804fe8cd 3 byte(s): SUSPECTED code modification:
file :16 60 80
memory :8d 62 f7
verdict = 4

0x804fe958 4 byte(s): SUSPECTED code modification:
file :f2 59 59 80
memory :d0 48 9e f7
verdict = 4

0x804fe978 4 byte(s): SUSPECTED code modification:
file :48 11 56 80
memory :9e d1 e1 b9
verdict = 4

0x804fe984 4 byte(s): SUSPECTED code modification:
file :88 1e 60 80
memory :d4 8b 62 f7
verdict = 4

0x804fea28 4 byte(s): SUSPECTED code modification:
file :9e 21 60 80
memory :1e d5 61 f7
verdict = 4

0x804fea6c 4 byte(s): SUSPECTED code modification:
file :98 ef 5f 80
memory :a6 8c 62 f7
verdict = 4

0x804feb6c 4 byte(s): SUSPECTED code modification:
file :9c 01 63 80
memory :f0 84 62 f7
verdict = 4

0x804feb8c 4 byte(s): SUSPECTED code modification:
file :e6 06 5f 80
memory :70 4e 9e f7
verdict = 4

0x804febac 4 byte(s): SUSPECTED code modification:
file :ae 4f 5b 80
memory :00 4e 9e f7
verdict = 4

0x804febf0 4 byte(s): SUSPECTED code modification:
file :2e 3d 56 80
memory :0e c9 e1 b9
verdict = 4

0x80531912 1 byte(s): exclusion filter: single byte modification
file :05
memory :06
verdict = 1

0x80535bce 18 byte(s): exclusion filter: KeFlushCurrentTb()
file :d8 0f 22 d8 c3 0f 20 e0 25 7f ff ff ff 0f 22 e0 0d 80
memory :e0 25 7f ff ff ff 0f 22 e0 0d 80 00 00 00 0f 22 e0 c3
verdict = 1

0x80535be6 1 byte(s): exclusion filter: single byte modification
file :c3
memory :00
verdict = 1

0x805365b4 [RtlPrefetchMemoryNonTemporal()+0] 1 byte(s): exclusion filter: s
ingle byte modification
file :c3
memory :90
verdict = 1

module ntoskrnl.exe: end of details
tcpip.sys (f5a7e000 - f5ad1000)... suspected! (verdict = 5).
module tcpip.sys [0xf5a7e000 - 0xf5ad1000]:
0xf5a81341 6 byte(s): SUSPECTED code modification:
file :ff 70 04 ff 50 30
memory :e8 ba 8e 99 01 90
verdict = 5

0xf5a8aea9 6 byte(s): SUSPECTED code modification:
file :ff 70 04 ff 50 30
memory :e8 52 f3 98 01 90
verdict = 5

0xf5a95f7c 6 byte(s): SUSPECTED code modification:
file :ff 70 04 ff 50 30
memory :e8 7f 42 98 01 90
verdict = 5

module tcpip.sys: end of details

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!
current verdict level: 5
target verdict level : 2
WARNING: DISINFECTION process can crash your system!
You are doing it ON YOUR OWN RISK!!!
Are you sure (yes/no)?
yes
---> fixing kernel & current process modules
fixing module ntoskrnl.exe... fixed.
fixing module tcpip.sys... fixed.
---> fixing foreign processes' modules
Seitenanfang Seitenende
06.11.2005, 15:46
Moderator

Beiträge: 7805
#9

Zitat

C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API.

Die beiden Dateien existieren nicht mehr.
Hast du alle versteckten Dateien anzeigen lassen:
http://people.freenet.de/rene-gad/invisible.html

Du hast das Hijackthis log vergessen.....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.11.2005, 16:13
...neu hier

Themenstarter

Beiträge: 7
#10 Ja, die Einstellungen sind richtig. Die Dateien sind nicht mehr vorhanden. Leider muss ich gestehen, dass das Rootkit Revealer Log das ich gepostet habe zu dem Zeitpunkt als ich mein erstes Posting verfasst habe nicht mehr aktuell war.

*************************


Logfile of HijackThis v1.99.1
Scan saved at 14:45:15, on 06.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rsvp.exe
D:\programme\DU Meter\DUMeter.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
D:\programme\OO Software\DriveLED\oodled.exe
d:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
d:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
d:\Programme\RealVNC\VNC4\WinVNC4.exe
D:\programme\Norton Commander\NC.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DU Meter] D:\programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] d:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [DriveLED] D:\programme\OO Software\DriveLED\oodled.exe
O4 - Startup: start.bat
O4 - Startup: yonc.exe.lnk = D:\programme\Yonc\yonc.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - d:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - d:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\programme\iPod\bin\iPodService.exe
O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - D:\PROGRA~1\Serv-U\SERVUD~1.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - d:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - d:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - d:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - E:\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Seitenanfang Seitenende
06.11.2005, 16:37
Moderator

Beiträge: 7805
#11 Nagut, dann mal die Sacche weiter eingrenzen. Du brauchst vnc und den serv-u ftp Server?

Wozu brauchst du das:
O4 - Startup: start.bat
O4 - Startup: yonc.exe.lnk = D:\programme\Yonc\yonc.exe

und poste bitte ein Datfind log:
http://virus-protect.org/datfindbat.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.11.2005, 17:04
...neu hier

Themenstarter

Beiträge: 7
#12 Ja ich brauche VNC um auf meinen Zweitrechner zugreifen zu können an dem kein Monitor hängt und der FTP-Server wird auch benötigt.

start.bat:
pause
start d:\programme\Skype\Phone\Skype.exe /nosplash /minimized
start d:\programme\MailBell\mailbell.exe
start d:\programme\Serv-U\ServUAdmin.exe
start d:\programme\Mirc\mirc.exe

eine batch Datei die mir alle Anwendungen die eine aktive Internetverbindung benötigen erst dann starten wenn ich mit yonc eine Internetverbindung hergestellt habe

Yonc • Your Dial Up Networking Companion
http://www.emtec.com/yonc/index.html

MailBell • Email Notification for Windows
http://www.emtec.com/mailbell/index.html


*****************************


Datentr„ger in Laufwerk C: ist WinXP-Boot
Volumeseriennummer: 7CA5-66A3

Verzeichnis von C:\WINDOWS\system32

06.11.2005 14:42 13.968 OODBS.lor
06.11.2005 14:41 24.264 BMXCtrlState-{00000002-00000000-00000009-00001102-00000002-80271102}.rfx
06.11.2005 14:41 24.264 BMXBkpCtrlState-{00000002-00000000-00000009-00001102-00000002-80271102}.rfx
06.11.2005 14:41 16.324 BMXState-{00000002-00000000-00000009-00001102-00000002-80271102}.rfx
06.11.2005 14:41 16.324 BMXStateBkp-{00000002-00000000-00000009-00001102-00000002-80271102}.rfx
06.11.2005 14:41 1.080 settingsbkup.sfm
06.11.2005 14:41 1.080 settings.sfm
06.11.2005 14:41 24 DVCStateBkp-{00000002-00000000-00000009-00001102-00000002-80271102}.dat
06.11.2005 14:41 24 DVCState-{00000002-00000000-00000009-00001102-00000002-80271102}.dat
05.11.2005 18:46 8.139.838 NQSQQP
05.11.2005 15:26 0 h323log.txt
05.11.2005 11:47 2.206 wpa.dbl
01.11.2005 16:26 7.564.860 KSZVKE
31.10.2005 17:16 309.810 perfh007.dat
31.10.2005 17:16 308.378 perfh009.dat
31.10.2005 17:16 45.672 perfc007.dat
31.10.2005 17:16 38.780 perfc009.dat
31.10.2005 17:16 709.646 PerfStringBackup.INI
18.10.2005 08:16 28.996 nvapps.xml
17.10.2005 20:39 2.550 Uninstall.ico
17.10.2005 20:39 1.406 Help.ico
17.10.2005 20:39 1.718 Open.ico
17.10.2005 20:39 5.350 IE.ico
17.10.2005 20:39 9.470 Desktop.ico
17.10.2005 20:39 1.718 Quick.ico
16.10.2005 21:56 4.212 zllictbl.dat
01.10.2005 03:24 118 RFERRORS.TXT
01.10.2005 03:24 118 rfmsglog.txt
28.09.2005 18:53 682 results.txt
09.09.2005 04:08 2.006.368 MRT.exe
01.09.2005 16:05 65.536 QuickTimeVR.qtx
30.08.2005 08:26 1.233.408 quartz.dll
23.08.2005 04:51 112.128 umpnpmgr.dll
22.08.2005 19:36 154.624 netman.dll
11.08.2005 16:21 57.856 nwwks.dll
05.08.2005 18:23 234.496 msieftp.dll
02.08.2005 15:35 319.488 nvwrsnl.dll
02.08.2005 15:35 299.008 nvwrsno.dll
02.08.2005 15:35 294.912 nvwrspl.dll
02.08.2005 15:35 323.584 nvwrspt.dll
02.08.2005 15:35 319.488 nvwrsptb.dll
02.08.2005 15:35 315.392 nvwrsru.dll
02.08.2005 15:35 299.008 nvwrssk.dll
02.08.2005 15:35 303.104 nvwrssl.dll
02.08.2005 15:35 294.912 nvwrssv.dll
02.08.2005 15:35 303.104 nvwrstr.dll
02.08.2005 15:35 163.840 nvwrszhc.dll
02.08.2005 15:35 167.936 nvwrszht.dll
02.08.2005 15:35 1.519.616 nwiz.exe
02.08.2005 15:35 323.584 nvwrsit.dll
02.08.2005 15:35 315.392 nvwrshu.dll
02.08.2005 15:35 278.528 nvwrshe.dll
02.08.2005 15:35 327.680 nvwrsfr.dll
02.08.2005 15:35 303.104 nvwrsfi.dll
02.08.2005 15:35 327.680 nvwrsesm.dll
02.08.2005 15:35 335.872 nvwrses.dll
02.08.2005 15:35 286.720 nvwrseng.dll
02.08.2005 15:35 335.872 nvwrsel.dll
02.08.2005 15:35 393.216 keystone.exe
02.08.2005 15:35 311.296 nvwrsde.dll
02.08.2005 15:35 294.912 nvwrsda.dll
02.08.2005 15:35 286.720 nvwrscs.dll
02.08.2005 15:35 282.624 nvwrsar.dll
02.08.2005 15:35 1.019.904 nvwimg.dll
02.08.2005 15:35 1.662.976 nvwdmcpl.dll
02.08.2005 15:35 81.920 nvwddi.dll
02.08.2005 15:35 176.128 nvudisp.exe
02.08.2005 15:35 212.992 nvwrsja.dll
02.08.2005 15:35 73.728 nvtuicpl.cpl
02.08.2005 15:35 127.043 nvsvc32.exe
02.08.2005 15:35 466.944 nvshell.dll
02.08.2005 15:35 114.688 nvrszht.dll
02.08.2005 15:35 212.992 nvrszhc.dll
02.08.2005 15:35 245.760 nvrstr.dll
02.08.2005 15:35 3.908.864 nv4_disp.dll
02.08.2005 15:35 241.664 nvrssv.dll
02.08.2005 15:35 442.368 nvappbar.exe
02.08.2005 15:35 241.664 nvrssl.dll
02.08.2005 15:35 245.760 nvrssk.dll
02.08.2005 15:35 258.048 nvrsru.dll
02.08.2005 15:35 32.768 nvcod.dll
02.08.2005 15:35 32.768 nvcodins.dll
02.08.2005 15:35 147.456 nvcolor.exe
02.08.2005 15:35 7.110.656 nvcpl.dll
02.08.2005 15:35 14.757 nvdisp.nvu
02.08.2005 15:35 1.339.392 nvdspsch.exe
02.08.2005 15:35 253.952 nvrsptb.dll
02.08.2005 15:35 262.144 nvrspt.dll
02.08.2005 15:35 540.672 nvhwvid.dll
02.08.2005 15:35 1.466.368 nview.dll
02.08.2005 15:35 241.664 nvrspl.dll
02.08.2005 15:35 86.016 nvmctray.dll
02.08.2005 15:35 241.664 nvrsno.dll
02.08.2005 15:35 286.720 nvnt4cpl.dll
02.08.2005 15:35 5.140.480 nvoglnt.dll
02.08.2005 15:35 262.144 nvrsnl.dll
02.08.2005 15:35 315.392 nvrsar.dll
02.08.2005 15:35 233.472 nvrscs.dll
02.08.2005 15:35 249.856 nvrsko.dll
02.08.2005 15:35 241.664 nvrsda.dll
02.08.2005 15:35 266.240 nvrsde.dll
02.08.2005 15:35 270.336 nvrsel.dll
02.08.2005 15:35 253.952 nvrsja.dll
02.08.2005 15:35 237.568 nvrseng.dll
02.08.2005 15:35 270.336 nvrses.dll
02.08.2005 15:35 262.144 nvrsesm.dll
02.08.2005 15:35 237.568 nvrsfi.dll
02.08.2005 15:35 270.336 nvrsit.dll
02.08.2005 15:35 270.336 nvrsfr.dll
02.08.2005 15:35 245.760 nvrshu.dll
02.08.2005 15:35 311.296 nvrshe.dll
02.08.2005 15:35 32.768 SET589.tmp
02.08.2005 15:35 196.608 nvwrsko.dll

******

Datentr„ger in Laufwerk E: ist WinXP-Swap
Volumeseriennummer: 6C13-4993

Verzeichnis von E:\temp

06.11.2005 16:04 260 WcesView.log
06.11.2005 15:02 16.384 Perflib_Perfdata_aa0.dat
06.11.2005 09:41 824 sOutTmp94133.tmp
06.11.2005 08:50 1.042 sOutTmp84127.tmp
06.11.2005 08:40 834 sOutTmp84034.tmp
06.11.2005 08:32 824 sOutTmp8324.tmp
24.10.2005 17:10 97.792 S.exe
24.10.2005 17:10 97.792 BKKYPDQ.exe
8 Datei(en) 215.752 Bytes
0 Verzeichnis(se), 897.368.064 Bytes frei


S.exe und BKKYPDQ.exe sind Kopien des Rootkit Revealers der sich ins Temp Verzechnis kopiert und sich von da aus als Dienst installiert und startet.


*********


Datentr„ger in Laufwerk C: ist WinXP-Boot
Volumeseriennummer: 7CA5-66A3

Verzeichnis von C:\

06.11.2005 16:51 0 systemtemp.txt
06.11.2005 16:47 115.632 system32.txt
06.11.2005 16:46 429 datFind.bat
04.01.2005 09:14 194 boot.ini
26.06.2004 12:47 47.580 NTDETECT.COM
26.06.2004 12:47 235.296 ntldr
26.06.2004 11:14 0 MSDOS.SYS
26.06.2004 11:14 0 IO.SYS
23.08.2001 13:00 4.952 bootfont.bin
9 Datei(en) 404.083 Bytes
0 Verzeichnis(se), 405.684.224 Bytes frei

******

Datentr„ger in Laufwerk C: ist WinXP-Boot
Volumeseriennummer: 7CA5-66A3

Verzeichnis von C:\WINDOWS

06.11.2005 16:36 54.156 QTFont.qfn
06.11.2005 16:36 1.409 QTFont.for
06.11.2005 14:44 0 0.log
06.11.2005 14:43 50 wiaservc.log
06.11.2005 14:43 159 wiadebug.log
06.11.2005 14:42 2.048 bootstat.dat
06.11.2005 14:41 32.412 SchedLgU.Txt
06.11.2005 12:59 536.206 ntbtlog.txt
06.11.2005 12:53 7.757 setupapi.log
06.11.2005 11:51 0 svcpack.log
06.11.2005 10:44 828 win.ini
06.11.2005 10:38 95 winamp.ini
05.11.2005 10:49 5.943 cFosSpeed_Setup_Log.txt
05.11.2005 10:46 352 system.ini
04.11.2005 17:30 862 TSC.ini
04.11.2005 16:40 2.418.874 tsc.ptn
04.11.2005 16:39 170.053 tsc.exe
04.11.2005 16:39 71.749 HCExtOutput.dll
04.11.2005 16:39 1.044.560 vsapi32.dll
04.11.2005 16:39 43.008 BPMNT.dll
04.11.2005 16:39 16.315.789 VPTNFILE.929
04.11.2005 16:39 16.315.789 LPT$VPN.929
04.11.2005 16:39 170 GetServer.ini
04.11.2005 16:39 507.904 TMUPDATE.DLL
04.11.2005 16:39 69.689 UNZIP.DLL
04.11.2005 16:39 286.720 PATCH.EXE
31.10.2005 11:20 49 NeroDigital.ini
27.10.2005 16:51 468.480 WRUninstall.dll
21.10.2005 15:55 684.032 libeay32.dll
21.10.2005 15:55 155.648 ssleay32.dll
17.10.2005 20:07 52 pu32i.ini
03.10.2005 10:27 3.932.214 ACD Wallpaper.bmp
01.10.2005 20:24 120 cconvert.ini
01.10.2005 03:23 16 SCN.ini
22.09.2005 13:35 99.970 UninstallFirefox.exe
22.09.2005 13:35 6.575 mozver.dat
07.07.2005 12:53 0 NC.INI


******
Seitenanfang Seitenende
06.11.2005, 17:17
Moderator

Beiträge: 7805
#13 Kontrollier die Dateien
e:\temp\S.exe
c:\windows\PATCH.EXE

bitte hier
http://virusscan.jotti.org/

Wie gesagt, mach ein Backup und setzt den PC neu auf. Sichere ihn besser, durch Router und aehnlichem. Denke daran, das Serv-u und vnc(du hast auf dem Rechner anscheinen auch den vnc Server laufen!) bei einigen Versionen bugy und exploitanfaellig ist!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.11.2005, 17:36
...neu hier

Themenstarter

Beiträge: 7
#14 beide Dateien sind laut der Web-Site in Ordung.

Ja neu den Rechner aufsetzen wäre sicher ne Möglichkeit die ich aber erst mal nicht in Betracht ziehen will weil das sehr lange Zeit in Anspruch nimmt.

Cer VNC-Server wird nicht auf diesem Rechner gestartet. Serv-u ist eine aktuelle Version.
Seitenanfang Seitenende
06.11.2005, 17:49
Moderator

Beiträge: 7805
#15 Da laeuft doch irgendwo Acronis true image. HAst du nicht noch ein Backup, welches nicht infiziert ist?
Fix mal das:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing)
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - E:\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Du solltest dich fuer Sophos oder Antivir entscheiden. Im Zweifelsfalle nimm Antivir. Das SP2 musst du auch noch installieren.

Einige der svv Meldungen koennen teilweise durch die Firewall kommen, da sie sich dort auch einklinkt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »