cmd.exe Auslastung des CPU mit 100% nach einigen Stunden

#0
18.12.2005, 16:48
...neu hier

Beiträge: 10
#1 Hallo,

gesucht habe ich nun und hoffe nichts überlesen zu haben. Hier jetzt also mein Problem, an dem ich seit 11 Tagen herum arbeite. Ich werde es mal so gut wie möglich zu erklären versuchen:

Nach einer gewissen Zeit im Internet öffnet sich eine Fehlermeldung:

cmd.exe - Fehler in der Anwendung
Die Anwendung konnte nicht richtig installiert werden ( 0xc0000142 )

Das Ganze zeigt sich dann im Taskmanager: Hier wurde die cmd.exe bis zu 300x gestartet, ist unterschiedlich. Jede Öffnung der cmd.exe hat zwischen 600 und 1200 KB. Das lastet den CPU zu 100 % aus.

Habe bisher mit HiJackThis gefixt ( über die Selbstfindung im Internet )
AdAware hat Alexa gefunden und gekillt

Der SecurityTaskManager meldet mir ein Programm auf C:\, an welches er nicht ran kann: "delus" ! Ist unsichtbar !
Ferner meldet er:
- clipsvr.exe = besteht eine E\A Überlappung. Programm besteht angeblich nicht mehr. Wird auch aus unsichtbar geführt.
- netdde.exe = Handle ungültig, kann daher auch nicht in die Quarantäne.
Selbiges für:
_0_stunnel.exe
_0_mbt.exe
_0_bbt.exe
Ich weiss nicht, ob das was zu bedeuten hat. Ich komm nicht ran, der SecurityTaskManager meldet aber: potentiell gefährlich.

Hier nochmal mein neuestes File:

Logfile of HijackThis v1.99.1
Scan saved at 16:45:55, on 18.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://looking4.it.helsinki.fi/activex/AxisCamControl.cab
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Jetzt hoffe ich mal, ihr könnt etwas damit anfangen. Bin inzwischen wirklich ratlos und für jede gute Idee zu haben.

Danke für die Mühe schon mal im Voraus

Grüße
Banni

P.S.: Hab noch was vergessen, dass wichtig sein könnte:
Blende ich versteckte Ordner ein und die Systemdateien, dann finde ich auf meinem Rechner 1x eine Datei evntcmd.exe, 2x eine Anwendung vcmd und 5x die cmd.exe ! Gehört das so ??
Dieser Beitrag wurde am 18.12.2005 um 16:57 Uhr von Banni editiert.
Seitenanfang Seitenende
18.12.2005, 17:27
Moderator

Beiträge: 7805
#2 Das ist ein Rootkit.

Nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml

Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den Rechner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.12.2005, 17:42
...neu hier

Themenstarter

Beiträge: 10
#3 Okay, kommt hier. Danke schon mal...

12/18/05 17:37:13 [Info]: BlackLight Engine 1.0.30 initialized
12/18/05 17:37:13 [Info]: OS: 5.0 build 2195 (Service Pack 4)
12/18/05 17:37:13 [Note]: 7019 4
12/18/05 17:37:13 [Note]: 7005 0
12/18/05 17:37:22 [Note]: 7006 0
12/18/05 17:37:22 [Note]: 7011 840
12/18/05 17:37:23 [Note]: 7018 472
12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\wbem\clipsvr.exe
12/18/05 17:37:23 [Note]: 7018 536
12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\wbem\netdde32.exe
12/18/05 17:37:23 [Note]: 7018 560
12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_stunnel.exe
12/18/05 17:37:23 [Note]: 7018 588
12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_mbt.exe
12/18/05 17:37:23 [Note]: 7018 704
12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_bbt.exe
12/18/05 17:37:23 [Note]: FSRAW library version 1.7.1014
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_cmd.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_op.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\libeay32.dll
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\libssl32.dll
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_1.bat
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_1.lst
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_2.bat
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_2.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_bbt.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_cc.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_pse.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_psi.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_psk.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_psl.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_psll.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_pssd.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_reg.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_sc.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_scan.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_scl.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_stunnel.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_stunnel.pem
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_tl.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_touch.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_xcacls.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_du.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_findstr.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_handle.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_mbt.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass1.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass1.log
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass1a.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass2.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass2.log
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass2a.exe
12/18/05 17:37:28 [Note]: 10002 3
12/18/05 17:37:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\Bannier1\Lokale Einstellungen\Temp\F-Secure\BlackLight\
12/18/05 17:37:50 [Note]: 10002 3
12/18/05 17:37:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\Bannier1\Lokale Einstellungen\Temp\F-Secure\BlackLight\
12/18/05 17:37:50 [Note]: 10002 3
12/18/05 17:37:57 [Info]: Hidden file: C:\WINNT\system32\wbem\clipsvr.exe
12/18/05 17:37:57 [Note]: 10002 1
12/18/05 17:37:57 [Info]: Hidden file: C:\WINNT\system32\wbem\netdde32.exe
12/18/05 17:37:57 [Note]: 10002 1
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:38:01 [Note]: 10002 3
12/18/05 17:39:56 [Note]: 7007 0
Seitenanfang Seitenende
18.12.2005, 17:55
Moderator

Beiträge: 7805
#4 Uh, wenn ich das recht in Erinnerung habe, ist das eines der haeftigeren Rootkits. Nicht unbedingt, das man es nicht reinigen kann, aber es veraendert einiges und klaut auch einiges.

Lasse bitte alles von Blacklight umbenennen(Dateinamen anhaken und rename druecken) und starte dann neu. Bitte dann ein neues Hijackthis log erstellen und alles was sich im
C:\WINNT\system32\drivers\knlps\nul\usr\bin Ordner befindet packen und an virus@protecus.de schicken.

Zusaetzlich noch alle Dateien mit der Endung .ren aus dem Ordner C:\WINNT\system32\wbem
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.12.2005, 18:01
...neu hier

Themenstarter

Beiträge: 10
#5 Okay, werd das jetzt gleich in Angriff nehmen. Kann einen kleinen Moment dauern.

Mann, bin ich froh, dass ich dieses Forum und dich gefunden hab.
Seitenanfang Seitenende
18.12.2005, 18:09
Moderator

Beiträge: 7805
#6 Naja, eigentlich wollte ich dir PAsswortwechsel und neu Aufsetzen empfehlen! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.12.2005, 18:16
...neu hier

Themenstarter

Beiträge: 10
#7 Mach keinen Mist :-)

Hier das File:

Logfile of HijackThis v1.99.1
Scan saved at 18:11:51, on 18.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://looking4.it.helsinki.fi/activex/AxisCamControl.cab
O23 - Service: ClipBook (ClipSrv) - Unknown owner - C:\WINNT\system32\wbem\clipsvr.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINNT\system32\wbem\netdde32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Jetzt das Problem:

Mein eigener Rechner verweigert mir den Zugriff auf den Ordner knlps !!!
Ich komm also gar nicht an bin Ordner ran. Und nun ? Soll ich den Ordner "drivers" senden ? Kannst Du da dann ran ?

C:\WINNT\system32\wbem wäre kein Problem....
Seitenanfang Seitenende
18.12.2005, 18:20
Moderator

Beiträge: 7805
#8 Nein, das wird nicht gehen. Versuche es bitte im abgesicherten Modus, bzw nutze nochmal Blacklight, ob noch was gemeldet wird. Ein problem bekommen wir, wenn noch ein Rootkit-Treiber aktiv ist.

Hm, ich sehe gerade, du nutzt kein AV-Programm?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.12.2005, 18:23
...neu hier

Themenstarter

Beiträge: 10
#9 Okay, abgesicherter Modus geht nach dem erneuten Scan los.

Ich hatte AntiVir drauf, habs dann mal wegen der delus-Datei gelöscht. Um anzutesten...

Ansonsten besteht dieses Problem ( das es bekannt ist ) erst seitdem ich einen Router habe.

Und keine Firewall benutzt habe, Asche auf mein Haupt, ja, ich weiss


Okay, Blacklight hat nix gefunden. Ich versuch jetzt den abgesicherten Modus *hoff*
Dieser Beitrag wurde am 18.12.2005 um 18:27 Uhr von Banni editiert.
Seitenanfang Seitenende
18.12.2005, 18:30
Moderator

Beiträge: 7805
#10 Fast vergessen, du musst diese Ueberbleibsel noch fixen:

O23 - Service: ClipBook (ClipSrv) - Unknown owner - C:\WINNT\system32\wbem\clipsvr.exe (file missing)
O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINNT\system32\wbem\netdde32.exe (file missing)

Ein Router ist okay!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.12.2005, 18:41
...neu hier

Themenstarter

Beiträge: 10
#11 Okay, ja, werd ich nun fixen.

Komm im abgesicherten Mod auch nicht an den Ordner dran :-(

Jetzt hab ich ein Problem, oder ?

Die gute Nachricht ist, dass die Dateien, die der securityTaskManager angegeben hat, nun weg sind.

Vielleicht liegt es an diesem delus Programm, dass der STM im abgesicherten Mod zeigt ? Wird angeblich beim Windows Start mit angezeigt..und ist unsichtbar

Die beiden lassen sich nicht fixen.

Geht das auch im abgesicherten Modus ?
Dieser Beitrag wurde am 18.12.2005 um 18:43 Uhr von Banni editiert.
Seitenanfang Seitenende
18.12.2005, 18:52
Moderator

Beiträge: 7805
#12 Hm, kannst du mir deie dren Dateien aus dem WBEM Ordner schicken? Ich denke, das wird eine Hackdefender Variante sein. Delus wird teilweise auch von Antivir bei der installation genutzt.

Bevor wir SVV nutzen, versuche es mal mit Rootkitrevealer. Erstelle damit ein Log und poste es dann hier.
Du kannst es hier finden:
http://www.sysinternals.com/Utilities/RootkitRevealer.html
Einfach starten, scan druecken und dann den Report speichern (geht soweit ich weiss ueber file save as)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.12.2005, 18:58
...neu hier

Themenstarter

Beiträge: 10
#13 Die Dateien schick ich gleich los

Die beiden Einträge lassen sich auch nicht im abgesicherten Mod fixen :-(

Okay, den Scan mach ich jetzt ( nach dem senden )

Dateien sind hoffentlich unterwegs
Dieser Beitrag wurde am 18.12.2005 um 19:07 Uhr von Banni editiert.
Seitenanfang Seitenende
18.12.2005, 19:12
Moderator

Beiträge: 7805
#14 Wie schon geschrieben, sind sie es nicht!;) Poste bitte das Rootkitrevealer log.

Ich muss leider immer antworten, da dun nicht auf deine eigene Threads antworten kannst...;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.12.2005, 19:16
...neu hier

Themenstarter

Beiträge: 10
#15 Heisst das du hast die Dateien nicht bekommen ?

Das Log ist leer, Rootkidrevealer hat nix gefunden ( Hat C und sogar F gescannt )

Du hattest ne Mail geschickt, sorry.

Nachdem ich die Dateien mit win.rar nicht packen durfte, hab ich versucht, sie anzuhängen. Ging wohl auch nicht.

Was ist das bloss für ein *******, so ein Roolkit ??
Dieser Beitrag wurde am 18.12.2005 um 19:24 Uhr von Banni editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: