Windows Firewall geht nicht mehr!!! |
||
---|---|---|
#0
| ||
05.12.2005, 22:30
...neu hier
Beiträge: 3 |
||
|
||
05.12.2005, 22:37
Moderator
Beiträge: 2312 |
#2
Du hast Kerio installiert.
Hat es denn vorher funktioniert? mit 2 Firewalls? __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
05.12.2005, 22:38
...neu hier
Themenstarter Beiträge: 3 |
#3
Ich habe es erst installiert als die Windows Firewall ausgefallen ist... außerdem öffnet sich jeden start der Papierkorb
Dieser Beitrag wurde am 05.12.2005 um 22:50 Uhr von ThomasPa1306 editiert.
|
|
|
||
05.12.2005, 23:25
Member
Beiträge: 4730 |
#4
Du hast ein Virenproblem:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Hier jeweils ein Häkchen setzen und "fix checked" anklicken. Mit Killbox (http://managor.de/killbox.htm) folgende Datei löschen: C:\WINDOWS\system32\scvhost.exe Wenn der PC neugestartet ist, hoffe ich, dass Regedit nicht komplett deaktiviert wurde. Start -> Ausführen -> regedit Wechsle dort in das "Verzeichnis" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Dort sollte der Eintrag "ImagePath" den Wert "%SystemRoot%\system32\svchost.exe -k netsvcs" haben. Wenn nicht, ändere es entsprechend um. Schließe jetzt Regedit wieder. Mache einen Scan mit eScanCheck und poste den Bericht (http://managor.de/escan.htm) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.12.2005, 13:19
...neu hier
Themenstarter Beiträge: 3 |
#5
Hier der Bericht von EScan:
Object "searchexe Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "clientman Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\DIMM.DLL". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Microsoft AntiSpyware\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\License\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\DbgHelp\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\Trans\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\Config\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\Config\IDSRules\". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".mp3-missing". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object "OpenWithList". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "a-squared Free_is1". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Spybot - Search & Destroy_is1". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{536F7C74-844B-4683-B0C5-EA39E19A6FE3}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{A3B4A467-2DA6-404B-9F66-6C6B8DC6DC82}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{B1916B99-23C0-49FE-A473-95425695655A}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{B6F867E8-F092-4C5E-7D72-AC7057DBEF45}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{C6F1E87D-F3E1-4874-97EC-F87DAB6D6878}". Action Taken: No Action Taken. Entry "HKCR\CLSID\{03819E35-56B6-42BB-9CAD-5A8768D7556B}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{03F3EB8F-BF06-488F-A808-B3A3EAD5C968}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{0661FFC2-46C1-45C8-A78D-B85144D83B47}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{0DE200BA-4B11-49C4-83F9-9E1F749E5700}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{13973210-8B95-4B00-B4A0-87C7E6854CCE}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{398BD73C-76C2-4376-B595-5B35E4FA5F1D}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{456E55C3-6DC8-4B6A-8E72-D096E7812545}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{46A5C24D-6EE6-438D-B389-3C48C29C2CD0}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{4B718E68-C132-4319-8D3B-750FC01E7C43}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{4C7AAF4A-9414-455F-9D6D-54B3A7069DCF}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{50553481-A590-49D4-98A8-0136244F7F36}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{6A18FCA0-C53C-4AA1-9285-7FD98EE6AEF5}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{83417D49-C236-4946-91A3-67E24F8ABBBE}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{982A83F3-9B4D-4535-9EF6-1B45202390BC}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{B130644A-D587-4862-841D-500464FB7DB0}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{B26FB0EE-B290-4D33-B44C-3B4A8B2FB29D}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{BAA5FBCF-478D-4A57-AE8C-E94C6640CCAC}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{C0655A9E-42C5-45B8-AB83-16C8E4990213}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{D83A9597-7433-4283-AAAF-378CA2031666}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{E0FE17FC-4A33-4F65-88BA-130DF8F1661F}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{E74E4448-8D0A-4EF5-A432-19B0C03D0364}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{F555C8FD-FA97-46DF-9D83-3575CE6280B4}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{0E9FFA9E-B267-44DF-BC81-2B08E3977ED5}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{DCB43485-19FB-4D6D-BB3D-73C7F48D5F00}" refers to invalid object "C:\Programme\Messenger\rtcimsp.dll". Action Taken: No Action Taken. Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken. Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken. Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken. Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken. Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken. Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken. Entry "HKCR\ppifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\msppcnfg.exe /Config %1". Action Taken: No Action Taken. Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken. Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken. Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken. Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken. File C:\WINDOWS\system32\7X9eRXc4pY.ini infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken. File C:\DOKUME~1\Thomas\LOKALE~1\Temp\Temporäres Verzeichnis 1 für Microsoft_Windows_XP_Service_Pack_2.zip\keyfinder.exe tagged as not-a-virusSWTool.Win32.RAS.a. No Action Taken. File C:\!Submit\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken. |
|
|
||
06.12.2005, 15:38
Ehrenmitglied
Beiträge: 29434 |
#6
ThomasPa1306
das System ist hochgradig kompromitiert Zitat Backdoor.Win32.CiadoorDer Backdoor hat zudem einen Dienst erstellt Zitat O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exeund Veraenderungen in der Registry vorgenommen. Rootkit : C:\WINDOWS\system32\wsock32.sys C:\WINDOWS\system32\7X9eRXc4pY.ini Du solltest formatieren geholt hast du dir den Backdoor wahrscheinlich auf einer Warez-Seite, als du C:\DOKUME~1\T\LOKALE~1\Temp\Temporäres Verzeichnis 1 für Microsoft_Windows_XP_Service_Pack_2.zip\keyfinder.exe geladen hast. Investiere 70 Euro... fuer eine legale XP-Version .....die 70 hast du doch sicherlich ??????? Und alles laeuft, wie es soll................. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.04.2006, 22:21
Member
Beiträge: 12 |
#7
Habe das selbe prob ... kann meine windows-firewall auch nicht mehr starten ... habe gekaufte WinXP-Pro ... also alles original
Hier mein Log von Hijack Logfile of HijackThis v1.99.1 Scan saved at 22:11:51, on 01.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\htpatch.exe C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MOZILLA\MOZILLA.EXE C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\tlntsvr.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Tobias\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R3 - Default URLSearchHook is missing O1 - Hosts: 134.76.252.196 l2testauthd.lineage2.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {2A3E7CE8-3A2B-4259-8AD8-1D8DFFCE94A9} - C:\WINDOWS\system32\ieakui32.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file) O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [VF0060 STISvc] RunDLL32.exe V0060Pin.dll,RunDLL32EP 513 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\MOZILLA\MOZILLA.EXE" -turbo O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/17a8b7c7e6259b6e5e20/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1058058597843 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143919383484 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Habe leider keine ahnung wie ich das nachgucken ob alles in ordnung ist ... aber dafür frage ich ja hier nach ^^ ... danke euch schonmal __________ ~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~ |
|
|
||
02.04.2006, 14:26
Ehrenmitglied
Beiträge: 29434 |
#8
Dwayne
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - Default URLSearchHook is missing O1 - Hosts: 134.76.252.196 l2testauthd.lineage2.com O2 - BHO: (no name) - {2A3E7CE8-3A2B-4259-8AD8-1D8DFFCE94A9} - C:\WINDOWS\system32\ieakui32.dll O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file) O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing) PC neustarten 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten 3. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.04.2006, 18:12
Member
Beiträge: 12 |
#9
Nach den HijackThis Fixen kommt nun immer eine Fehlermeldung:
Microsoft Windows Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt. Für diesen Fehler wurde ein Protokoll erstellt. Für weitere Informationen zu diesem Fehler, klicken Sie hier. (neues Fenster öffnet sich) Microsoft Windows Problemsignatur BCCode : 100000d1 BCP1 : F7E2409C BCP2 : 00000002 BCP3 : 00000000 BCP4 : F7BFFF75 OSVer : 5_1_2600 SP : 2_0 Product : 256_1 Um technische Informationen zu dem Problembericht zu sehen, klicken Sie hier (neues Fenster öffnet sich) Problemberichtinhalt Die folgenden Dateien werden in Ihren Problembericht aufgenommen: C:\DOKUME~1\Tobias\LOKALE~1\Temp\WER7c0d.dir00\Mini121405-01.dmp C:\DOKUME~1\Tobias\LOKALE~1\Temp\WER7c0d.dir00\sysdata.xml (Jedes mal wenn ich das Fenster versuche zu schießen öffnet sich ein neues wodurch sich die Problemsignatur und Problemberichtinhalt sich ständig ändert.) ---------------------------------------------------------------------------- 1. Durch CleanUp habe ich nun 287MB mehr platz ^^ ---------------------------------------------------------------------------- 2. 04/02/06 17:49:43 [Info]: BlackLight Engine 1.0.33 initialized 04/02/06 17:49:43 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/02/06 17:49:44 [Note]: 7019 4 04/02/06 17:49:44 [Note]: 7005 0 04/02/06 17:49:46 [Note]: 7006 0 04/02/06 17:49:46 [Note]: 7011 1696 04/02/06 17:49:46 [Note]: FSRAW library version 1.7.1015 04/02/06 17:52:35 [Note]: 7007 0 ----------------------------------------------------------------------------- 3. C:\WINDOWS\system32 (ab das Jahr 2006) 01.04.2006 22:10 400.624 perfh009.dat 01.04.2006 22:10 62.286 perfc009.dat 01.04.2006 22:10 415.124 perfh007.dat 01.04.2006 22:10 74.988 perfc007.dat 01.04.2006 22:10 965.398 PerfStringBackup.INI 01.04.2006 21:43 13.646 wpa.dbl 28.03.2006 16:38 380.040 FNTCACHE.DAT 21.03.2006 21:00 21.840 SIntfNT.dll 21.03.2006 21:00 17.212 SIntf32.dll 21.03.2006 21:00 12.067 SIntf16.dll 09.03.2006 16:21 4.799.320 MRT.exe 14.02.2006 10:20 550.120 LegitCheckControl.dll 08.02.2006 02:45 18.944 xpsp3res.dll 01.02.2006 04:50 3.033.088 mshtml.dll 18.01.2006 14:05 57.344 avsda.dll 09.01.2006 20:01 205.312 dxtrans.dll 09.01.2006 20:01 1.056.256 danim.dll 09.01.2006 20:01 474.624 shlwapi.dll 09.01.2006 20:01 96.768 inseng.dll 09.01.2006 20:01 55.808 extmgr.dll 09.01.2006 20:01 1.492.480 shdocvw.dll 09.01.2006 20:01 152.064 cdfview.dll 09.01.2006 20:01 614.400 urlmon.dll 09.01.2006 20:01 448.512 mshtmled.dll 09.01.2006 20:01 1.022.976 browseui.dll 09.01.2006 20:01 530.944 mstime.dll 09.01.2006 20:01 146.432 msrating.dll 09.01.2006 20:01 251.392 iepeers.dll 09.01.2006 20:01 664.064 wininet.dll 09.01.2006 20:01 39.424 pngfilt.dll 08.01.2006 05:19 320 stt82.ini 08.01.2006 05:19 914 ps.a3d 04.01.2006 05:35 68.096 webclnt.dll 02.01.2006 18:00 0 klgcptini.dat C:\DOKUME~1\Tobias\LOKALE~1\Temp 02.04.2006 17:55 201 jusched.log 1 Datei(en) 201 Bytes 0 Verzeichnis(se), 12.386.680.832 Bytes frei C:\WINDOWS (ab das Jahr 2006) 02.04.2006 17:52 159 wiadebug.log 02.04.2006 17:52 50 wiaservc.log 02.04.2006 17:45 0 0.log 02.04.2006 17:45 1.548.881 WindowsUpdate.log 02.04.2006 17:44 2.048 bootstat.dat 02.04.2006 17:43 32.544 SchedLgU.Txt 01.04.2006 22:06 32.731 spupdsvc.log 01.04.2006 22:02 27.637 tabletoc.log 01.04.2006 22:02 324.216 tsoc.log 01.04.2006 22:02 1.100.762 iis6.log 01.04.2006 22:02 37.340 ocmsn.log 01.04.2006 22:02 220.493 comsetup.log 01.04.2006 22:02 17.098 KB904942.log 01.04.2006 22:02 148.338 ntdtcsetup.log 01.04.2006 22:02 1.355 imsins.log 01.04.2006 22:02 33.116 msgsocm.log 01.04.2006 22:02 47.336 medctroc.Log 01.04.2006 22:02 428.908 ocgen.log 01.04.2006 22:02 109.298 netfxocm.log 01.04.2006 22:02 594.261 FaxSetup.log 01.04.2006 22:02 271.750 msmqinst.log 01.04.2006 22:02 39.002 updspapi.log 01.04.2006 22:01 1.355 imsins.BAK 01.04.2006 22:01 19.796 KB912945.log 01.04.2006 22:01 7.179 WMCSetup.log 01.04.2006 22:01 458.205 setupapi.log 01.04.2006 22:01 4.117 basecsp.log 01.04.2006 22:01 9.288 KB902344.log 01.04.2006 20:10 51.448 WGA.log 30.03.2006 17:34 912 PT2000G.INI 30.03.2006 16:41 178.156 wmsetup.log 30.03.2006 16:36 54.156 QTFont.qfn 24.03.2006 11:23 116 NeroDigital.ini 07.03.2006 18:58 833 win.ini 07.03.2006 18:23 131 Sierra.ini 21.02.2006 13:55 2.172 regopt.log 15.02.2006 23:34 10.708 KB911927.log 15.02.2006 23:34 8.262 KB911564.log 15.02.2006 23:34 8.563 KB911565.log 15.02.2006 23:34 9.856 KB901190.log 15.02.2006 23:34 6.688 KB913446.log 09.02.2006 19:56 227 system.ini 26.01.2006 22:55 249.856 Setup1.exe 26.01.2006 22:55 73.216 ST6UNST.EXE 15.01.2006 16:40 329 nsw.log 12.01.2006 17:03 1.409 QTFont.for 12.01.2006 17:01 182.437 setupact.log 11.01.2006 17:33 737.280 iun6002.exe 11.01.2006 16:40 10.127 KB908519.log 08.01.2006 05:37 166.373 DirectX.log 06.01.2006 03:04 10.977 KB912919.log 04.01.2006 16:20 94.208 rtpmsi32.dll 02.01.2006 17:58 0 uniq C:\ (ab das Jahr 2006) 02.04.2006 18:09 0 sys.txt 02.04.2006 18:07 10.638 system.txt 02.04.2006 18:05 293 systemtemp.txt 02.04.2006 18:03 110.568 system32.txt 02.04.2006 17:44 1.610.612.736 pagefile.sys 15.01.2006 15:52 104 shutdown.log Anhang: Bild.JPG __________ ~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~ |
|
|
||
02.04.2006, 22:51
Ehrenmitglied
Beiträge: 29434 |
#10
Dwayne
da ist ein Haxdoor auf dem System Zitat 08.01.2006 05:19 320 stt82.iniLade die haxfix.exe http://users.telenet.be/marcvn/tools/haxfix.exe runter. Speichere sie auf deinem Desktop. Schliesse alle anderen Programme und schliesse alle offenen Fensterchen. Mach einen Doppelklick auf die haxfix.exe um die Installation zu starten. (normalerweise verwendet man den Ordner C:\Programme\haxfix) Wenn die Installation beendet ist, sorge dafür, dass ein Häkchen bei "Launch HaxFix" gesetzt ist. Nun öffnet sich ein rotes Dos Fensterchen. Wenn der Bericht kommt (er kommt zweimal): Insert the haxdoor notify subkey without the numbers, and then press enter: tippst du folgendes ein: den Unterschlüssel : avpe (also nur die Buchstaben avpe ohne die 32) Drücke auf Enter. Nun wird der Rechner gescannt, ob bestimmte Dienste installiert sind, die für diese Infektion ausschlaggebend sind. Wenn nichts gefunden wird, bekommst du die Meldung: No infection found. Dann hört das Programm auf zu laufen. Werden aber doch Dienste gefunden, auch wenn es nur ein einziger ist, wirst du gebeten alle Fensterchen zu schliessen, denn der Rechner wird nun neu aufstarten. Schliesse also alle geöffneten Fensterchen, ausser dem roten Dos Fensterchen vom Haxfix. Das muss auf bleiben. Drücke dann wieder auf enter. Der Rechner wird nun wieder neu aufstarten. Wenn der Rechner wieder hochgefahren ist, suchst du die Datei c:\haxfix.txt Diese Datei ist das Logfile vom HaxFix und gibt an, was gefunden und gelöscht worden ist, in Bezug auf diese Infektion. ---------------------------------------------------- Poste diese Datei...dann sehen wir weiter + poste die 4 logs von Datfindbat bis Anfang Dezember __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 20:17
Member
Beiträge: 12 |
#11
SO sorry das ich mich länger nicht mehr gemeldet habe doch ich war auf Montage in Belgien und konnte daher nicht mehr ins I-net. So habe es runter geladen und habe das Programm gestartet und den scan durchgeführt.
Und hier das ergebniss: HAXFIX logfile - by Marckie -------------- version 2.31 14.04.2006 20:16:28,42 checking for ps.a3d.... ps.a3d is present! checking for p2s2.a3d.... p2s2.a3d not found checking for matching notify keys.... no matching notify keys found checking for matching services.... matching services found ASPI32 avpe32 avpe64 checking for matching safeboot services.... matching safeboot services found avpe32.sys avpe64.sys von datFind.bat: system32ab Dezember 2005 rest s.o) 29.12.2005 04:54 280.064 gdi32.dll 19.12.2005 00:20 23.392 nscompat.tlb 19.12.2005 00:20 16.832 amcompat.tlb 14.12.2005 10:24 118.784 sirenacm.dll 07.12.2005 19:05 716.800 divxdec.ax 07.12.2005 19:05 573.952 DivX.dll 07.12.2005 19:05 679.936 divx_xx07.dll 07.12.2005 19:05 679.936 divx_xx0c.dll 07.12.2005 19:05 663.552 divx_xx11.dll 06.12.2005 07:02 5.533.696 wmp.dll 05.12.2005 22:51 10.716 dsm_ja.qm 05.12.2005 22:51 15.331 dsm_de.qm 05.12.2005 22:51 15.172 dsm_fr.qm 05.12.2005 19:09 2.323.664 d3dx9_28.dll 05.12.2005 19:07 61.136 xinput9_1_0.dll 05.12.2005 07:12 61.440 pxhpinst.exe 03.12.2005 16:38 7.006 jupdate-1.5.0_06-b05.log systemtemp.txt: nix vorhanden system.txt: (ab Dezember 2005 rest s.o.) 19.12.2005 00:20 467 wmsetup10.log 19.12.2005 00:19 316.640 WMSysPr9.prx 19.12.2005 00:06 13.310 KB888656.log 15.12.2005 21:03 1.562 ATIWDM.LOG 15.12.2005 20:01 9.894 KB910437.log 15.12.2005 20:00 16.208 KB905915.log 10.12.2005 22:46 261 game.ini sys.txt: (ab November [Dezember war nix] 2005 rest s.o.) 10.11.2005 18:10 211 boot.ini 03.11.2005 00:11 130 CtDrvIns.log __________ ~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~ Dieser Beitrag wurde am 14.04.2006 um 20:31 Uhr von Dwayne editiert.
|
|
|
||
14.04.2006, 20:29
Ehrenmitglied
Beiträge: 29434 |
#12
Dwayne
Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) avpe32 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) avpe64 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) ASPI32 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ------------------------- RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html poste dieses Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 20:39
Member
Beiträge: 12 |
#13
avpe32:
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 14.04.2006 20:36:03 for strings: ; 'avpe32' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpe32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpe32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpe32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpe32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpe32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpe32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32\Enum] ; End Of The Log... avpe64: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 14.04.2006 20:37:41 for strings: ; 'avpe64' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpe64.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpe64.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32] ; Contents of value: ; \??\C:\WINDOWS\system32\avpe64.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64] ; Contents of value: ; \??\C:\WINDOWS\system32\avpe64.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpe64.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpe64.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32] ; Contents of value: ; \??\C:\WINDOWS\system32\avpe64.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64] ; Contents of value: ; \??\C:\WINDOWS\system32\avpe64.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpe64.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpe64.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32] ; Contents of value: ; \??\C:\WINDOWS\system32\avpe64.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64] ; Contents of value: ; \??\C:\WINDOWS\system32\avpe64.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\ 6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64\Security] ; End Of The Log... ASPI32: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 14.04.2006 20:39:59 for strings: ; 'aspi32' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4D4277F459254D1188BE0005AD53970C] "467B7D4A04144D1188BE0005AD53970C"="C:\\Programme\\ahead\\Nero\\WNASPI32.DLL" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ASPI32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ASPI32\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ASPI32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ASPI32\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASPI32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASPI32\Parameters] ; End Of The Log... __________ ~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~ |
|
|
||
15.04.2006, 13:04
Ehrenmitglied
Beiträge: 29434 |
#14
Dwayne
Einzelne Dateien scannen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html http://sandbox.norman.no/live_4.html C:\WINDOWS\rtpmsi32.dll C:\WINDOWS\system32\ieakui32.dll poste hier das Ergebnis --------------------------------------------------------------- 0. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:klicke die "gruene Ampel" das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten poste bitte das Log vom Avenger 01. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 1. RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html poste dieses Log 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen Zitat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 15:40
Member
Beiträge: 12 |
#15
Einzelne Dateien scannen:
This is a report processed by VirusTotal on 04/15/2006 at 14:27:40 (CET) after scanning the file "rtpmsi32.dll" file. Antivirus Version Update Result AntiVir 6.34.0.24 04.15.2006 no virus found Avast 4.6.695.0 04.03.2006 no virus found AVG 386 04.14.2006 no virus found Avira 6.34.0.56 04.15.2006 no virus found BitDefender 7.2 04.15.2006 no virus found CAT-QuickHeal 8.00 04.14.2006 no virus found ClamAV devel-20060202 04.15.2006 no virus found DrWeb 4.33 04.15.2006 no virus found eTrust-InoculateIT 23.71.130 04.14.2006 no virus found eTrust-Vet 12.4.2162 04.13.2006 no virus found Ewido 3.5 04.15.2006 no virus found Fortinet 2.71.0.0 04.14.2006 no virus found F-Prot 3.16c 04.13.2006 no virus found Ikarus 0.2.59.0 04.14.2006 no virus found Kaspersky 4.0.2.24 04.15.2006 no virus found McAfee 4741 04.14.2006 no virus found NOD32v2 1.1490 04.15.2006 no virus found Norman 5.90.15 04.14.2006 no virus found Panda 9.0.0.4 04.15.2006 no virus found Sophos 4.04.0 04.15.2006 no virus found Symantec 8.0 04.15.2006 no virus found TheHacker 5.9.7.129 04.13.2006 no virus found UNA 1.83 04.14.2006 no virus found VBA32 3.10.5 04.14.2006 no virus found Norman Scanner Engine 5.90. 7 Sandbox 05.90, dated 8/03-2006 Your message ID (for later reference): 20060415-1058 rtpmsi32.dll : Not detected by sandbox (Signature: NO_VIRUS) [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 94208 bytes. * MD5 hash: c3b7b788dad72a2821d085d46c9c05de. (C) 2004-2006 Norman ASA. All Rights Reserved. The material presented is distributed by Norman ASA as an information source only. Sent by dwayne84@web.de to sandbox. Received 15.Apr 2006 at 14.58 - processed 15.Apr 2006 at 14.59. Die Datei "ieakui32.dll" befindet sich nicht auf mein Rechner. ----------------------------------------------------------------------------- Avenger: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\wsnlnxcm ******************* Script file located at: \??\C:\WINDOWS\system32\pakdgwih.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\avpe64.sys not found! Deletion of file C:\WINDOWS\system32\avpe64.sys failed! Could not process line: C:\WINDOWS\system32\avpe64.sys Status: 0xc0000034 File C:\WINDOWS\system32\avpe32.sys not found! Deletion of file C:\WINDOWS\system32\avpe32.sys failed! Could not process line: C:\WINDOWS\system32\avpe32.sys Status: 0xc0000034 File C:\WINDOWS\system32\ieakui32.dll not found! Deletion of file C:\WINDOWS\system32\ieakui32.dll failed! Could not process line: C:\WINDOWS\system32\ieakui32.dll Status: 0xc0000034 File C:\WINDOWS\uniq deleted successfully. File C:\WINDOWS\system32\stt82.ini deleted successfully. File C:\WINDOWS\system32\ps.a3d deleted successfully. File C:\WINDOWS\system32\klgcptini.dat deleted successfully. Completed script processing. ******************* Finished! Terminate. ----------------------------------------------------------------------------- RootkitRevealer: HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 26.11.2005 12:11 26 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 26.11.2005 12:15 26 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40 17.03.2006 15:38 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Tobias\Desktop\Neuer Ordner\RootkitRevealer.chm 15.04.2006 15:08 99.77 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Tobias\Desktop\Neuer Ordner\RootkitRevealer.exe 15.04.2006 15:08 232.08 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Tobias\Desktop\RootkitRevealer.chm 07.12.2005 14:19 99.77 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Tobias\Desktop\RootkitRevealer.exe 01.02.2006 17:02 232.08 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 15.04.2006 14:53 132 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\plugtmp 15.04.2006 15:08 0 bytes Hidden from Windows API. C:\System Volume Information\_restore{EBD53076-356C-4038-9593-EB4DB435F1C5}\RP628\A0134434.ini 15.04.2006 13:01 1.04 KB Hidden from Windows API. C:\System Volume Information\_restore{EBD53076-356C-4038-9593-EB4DB435F1C5}\RP628\A0134435.ini 15.04.2006 13:01 10.58 KB Hidden from Windows API. C:\System Volume Information\_restore{EBD53076-356C-4038-9593-EB4DB435F1C5}\RP628\A0134436.ini 15.04.2006 13:01 92 bytes Hidden from Windows API. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 12.02.2006 21:42 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 12.02.2006 21:42 111.50 KB Visible in Windows API, but not in MFT or directory index. ----------------------------------------------------------------------------- Registry Search: (avpe32) REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 15.04.2006 15:37:36 for strings: ; 'avpe32' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVPE32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVPE32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVPE32\0000] "Service"="avpe32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AVPE32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AVPE32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AVPE32\0000] "Service"="avpe32" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVPE32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVPE32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVPE32\0000] "Service"="avpe32" ; End Of The Log... Registry Search: (avpe64) REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 15.04.2006 15:39:03 for strings: ; 'avpe64' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... __________ ~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~ |
|
|
||
Irgendwie geht meine Windows Firewall nicht mehr aber ich habe keinen plan wieso nicht...
Hier ist mal die LOG- Datei von HiJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 22:09:07, on 05.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133097258421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
bitte helft mir diese Probleme zu beheben... Ach ja und schreibt es leicht verständlich bitte ;-)