Command.exe als ProzessThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
13.11.2006, 15:47
Ehrenmitglied
Beiträge: 29434 |
||
|
||
13.11.2006, 16:01
Member
Beiträge: 41 |
#62
Beim Versuch RegSrch.vbs auszuführen sagt er mir, daß der Zugrif auf Windows Script Host auf diesem Rechner deaktiviert wurde.
Liegt das evtl an Spybot SD, SpywareBlaster oder XPAntispy? |
|
|
||
13.11.2006, 16:03
Ehrenmitglied
Beiträge: 29434 |
#63
liegt am XPAntispy - dort den Windows Script Host freischalten
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.11.2006, 16:09
Member
Beiträge: 41 |
#64
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "Microsoft authenticate service" 13.11.2006 16:10:47 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC\0000] "DeviceDesc"="Microsoft authenticate service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc] "DisplayName"="Microsoft authenticate service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000] "DeviceDesc"="Microsoft authenticate service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc] "DisplayName"="Microsoft authenticate service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000] "DeviceDesc"="Microsoft authenticate service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc] "DisplayName"="Microsoft authenticate service" =================================================================== REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "MsaSvc" 13.11.2006 16:11:39 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC\0000] "Service"="MsaSvc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc\Enum] "0"="Root\\LEGACY_MSASVC\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000] "Service"="MsaSvc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000] "Service"="MsaSvc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Enum] "0"="Root\\LEGACY_MSASVC\\0000" |
|
|
||
13.11.2006, 16:16
Ehrenmitglied
Beiträge: 29434 |
#65
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\ipv6monl.dll C:\WINDOWS\system32\winpfg32.sys C:\WINDOWS\system32\dxclib303562752.dll C:\WINDOWS\system32\wunauclt.exe C:\WINDOWS\system32\npptNT2.sys C:\WINDOWS\PI.EXE C:\WINDOWS\system32\DomainHelper.dll C:\WINDOWS\system32\zirf2d63.dll poste die reporte _________________________________________________________________ ist fuer mich Zitat HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.11.2006, 17:00
Member
Beiträge: 41 |
#66
Achja, die beiden die du noch im Nachhinein angegeben hast kann ich nicht mehr scannen weil sie mittlerweile verschwunden sind. Wahrscheinlich im Zuge des lokalen Scans mit combofix.
gemeint sind: C:\WINDOWS\system32\DomainHelper.dll C:\WINDOWS\system32\zirf2d63.dll ============================================= Complete scanning result of "ipv6monl.dll", received in VirusTotal at 11.13.2006, 16:23:45 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.13.2006 HEUR/Malware Authentium 4.93.8 11.10.2006 W32/Goldun.gen1 Avast 4.7.892.0 11.13.2006 no virus found AVG 386 11.12.2006 no virus found BitDefender 7.2 11.13.2006 Trojan.Spy.Goldun.HO CAT-QuickHeal 8.00 11.13.2006 no virus found ClamAV devel-20060426 11.13.2006 Trojan.Bzub-38 DrWeb 4.33 11.13.2006 no virus found eTrust-InoculateIT 23.73.53 11.13.2006 no virus found eTrust-Vet 30.3.3190 11.13.2006 no virus found Ewido 4.0 11.13.2006 no virus found Fortinet 2.82.0.0 11.13.2006 suspicious F-Prot 3.16f 11.10.2006 W32/Goldun.gen1 F-Prot4 4.2.1.29 11.10.2006 W32/Goldun.gen1 Ikarus 0.2.65.0 11.13.2006 no virus found Kaspersky 4.0.2.24 11.13.2006 no virus found McAfee 4893 11.10.2006 Generic PWS.q Microsoft 1.1609 11.13.2006 PWS:Win32/Cimuz.gen NOD32v2 1863 11.13.2006 no virus found Norman 5.80.02 11.13.2006 W32/Goldun.gen1 Panda 9.0.0.4 11.12.2006 Suspicious file Sophos 4.11.0 11.07.2006 Troj/Cimuz-Gen TheHacker 6.0.1.117 11.12.2006 no virus found UNA 1.83 11.13.2006 no virus found VBA32 3.11.1 11.13.2006 suspected of Malware.Agent.4 VirusBuster 4.3.15:9 11.13.2006 TrojanSpy.Agent.BD.Gen Aditional Information File size: 70872 bytes MD5: 81e46750748e7296a2d0a60dc494befb SHA1: 7ad8aa96a36cff487a932d3dd897676d434b121a packers: UPX ====================================================== Complete scanning result of "winpfg32.sys", received in VirusTotal at 11.13.2006, 16:26:49 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.13.2006 no virus found Authentium 4.93.8 11.10.2006 no virus found Avast 4.7.892.0 11.13.2006 no virus found AVG 386 11.12.2006 no virus found BitDefender 7.2 11.13.2006 no virus found CAT-QuickHeal 8.00 11.13.2006 no virus found ClamAV devel-20060426 11.13.2006 no virus found DrWeb 4.33 11.13.2006 no virus found eTrust-InoculateIT 23.73.53 11.13.2006 no virus found eTrust-Vet 30.3.3190 11.13.2006 no virus found Ewido 4.0 11.13.2006 no virus found Fortinet 2.82.0.0 11.13.2006 no virus found F-Prot 3.16f 11.10.2006 no virus found F-Prot4 4.2.1.29 11.10.2006 no virus found Ikarus 0.2.65.0 11.13.2006 no virus found Kaspersky 4.0.2.24 11.13.2006 no virus found McAfee 4893 11.10.2006 no virus found Microsoft 1.1609 11.13.2006 no virus found NOD32v2 1863 11.13.2006 no virus found Norman 5.80.02 11.13.2006 no virus found Panda 9.0.0.4 11.12.2006 no virus found Sophos 4.11.0 11.07.2006 no virus found TheHacker 6.0.1.117 11.12.2006 no virus found UNA 1.83 11.13.2006 no virus found VBA32 3.11.1 11.13.2006 no virus found VirusBuster 4.3.15:9 11.13.2006 no virus found Aditional Information File size: 978 bytes MD5: 919ebe1ac993a9dc142c444f2719376c SHA1: 08635db6c1a00d2c5b4857a38a3929c69b8d6661 ================================================== Complete scanning result of "dxclib303562752.dll", received in VirusTotal at 11.13.2006, 16:31:40 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.13.2006 ADSPY/SurfSide.AP.4 Authentium 4.93.8 11.10.2006 no virus found Avast 4.7.892.0 11.13.2006 no virus found AVG 386 11.12.2006 Adware Generic.RIC BitDefender 7.2 11.13.2006 Application.AdWare.SurfSide.AP CAT-QuickHeal 8.00 11.13.2006 no virus found ClamAV devel-20060426 11.13.2006 no virus found DrWeb 4.33 11.13.2006 no virus found eTrust-InoculateIT 23.73.53 11.13.2006 no virus found eTrust-Vet 30.3.3190 11.13.2006 no virus found Ewido 4.0 11.13.2006 Adware.SurfSide Fortinet 2.82.0.0 11.13.2006 Adware/SurfSide F-Prot 3.16f 11.10.2006 no virus found F-Prot4 4.2.1.29 11.10.2006 no virus found Ikarus 0.2.65.0 11.13.2006 no virus found Kaspersky 4.0.2.24 11.13.2006 not-a-virus:AdWare.Win32.SurfSide.ap McAfee 4893 11.10.2006 potentially unwanted program Adware-SurfSideKick Microsoft 1.1609 11.13.2006 no virus found NOD32v2 1863 11.13.2006 no virus found Norman 5.80.02 11.13.2006 W32/SurfSide.EW Panda 9.0.0.4 11.12.2006 Adware/DeluxeComunications Sophos 4.11.0 11.07.2006 SurfSideKick TheHacker 6.0.1.117 11.12.2006 no virus found UNA 1.83 11.13.2006 Adware.SurfSide.BD3B VBA32 3.11.1 11.13.2006 AdWare.Win32.SurfSide.ap VirusBuster 4.3.15:9 11.13.2006 no virus found Aditional Information File size: 96768 bytes MD5: c84a603cf55a49dc4c4be65a534a8dd5 SHA1: b93333b82d365d52288b26ea4fc9b68876c4eef4 =================================================== Complete scanning result of "wunauclt.exe", received in VirusTotal at 11.13.2006, 16:35:09 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.13.2006 no virus found Authentium 4.93.8 11.10.2006 no virus found Avast 4.7.892.0 11.13.2006 no virus found AVG 386 11.13.2006 no virus found BitDefender 7.2 11.13.2006 no virus found CAT-QuickHeal 8.00 11.13.2006 no virus found ClamAV devel-20060426 11.13.2006 no virus found DrWeb 4.33 11.13.2006 no virus found eTrust-InoculateIT 23.73.53 11.13.2006 no virus found eTrust-Vet 30.3.3190 11.13.2006 no virus found Ewido 4.0 11.13.2006 no virus found Fortinet 2.82.0.0 11.13.2006 no virus found F-Prot 3.16f 11.10.2006 no virus found F-Prot4 4.2.1.29 11.10.2006 no virus found Ikarus 0.2.65.0 11.13.2006 no virus found Kaspersky 4.0.2.24 11.13.2006 no virus found McAfee 4893 11.10.2006 no virus found Microsoft 1.1609 11.13.2006 no virus found NOD32v2 1863 11.13.2006 no virus found Norman 5.80.02 11.13.2006 no virus found Panda 9.0.0.4 11.12.2006 no virus found Sophos 4.11.0 11.07.2006 no virus found TheHacker 6.0.1.117 11.12.2006 no virus found UNA 1.83 11.13.2006 no virus found VBA32 3.11.1 11.13.2006 no virus found VirusBuster 4.3.15:9 11.13.2006 no virus found Aditional Information File size: 424136 bytes MD5: df5f260dde744cd6776b059d28624ef1 SHA1: bc247f454ee353f3c1a3276faac11880dace2cb9 packers: BINARYRES, SETUP FACTORY ========================================= Complete scanning result of "npptNT2.sys", received in VirusTotal at 11.13.2006, 16:39:57 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.13.2006 no virus found Authentium 4.93.8 11.10.2006 no virus found Avast 4.7.892.0 11.13.2006 no virus found AVG 386 11.13.2006 no virus found BitDefender 7.2 11.13.2006 no virus found CAT-QuickHeal 8.00 11.13.2006 no virus found ClamAV devel-20060426 11.13.2006 no virus found DrWeb 4.33 11.13.2006 no virus found eTrust-InoculateIT 23.73.53 11.13.2006 no virus found eTrust-Vet 30.3.3190 11.13.2006 no virus found Ewido 4.0 11.13.2006 no virus found Fortinet 2.82.0.0 11.13.2006 no virus found F-Prot 3.16f 11.10.2006 no virus found F-Prot4 4.2.1.29 11.10.2006 no virus found Ikarus 0.2.65.0 11.13.2006 no virus found Kaspersky 4.0.2.24 11.13.2006 no virus found McAfee 4893 11.10.2006 no virus found Microsoft 1.1609 11.13.2006 no virus found NOD32v2 1863 11.13.2006 no virus found Norman 5.80.02 11.13.2006 no virus found Panda 9.0.0.4 11.12.2006 no virus found Sophos 4.11.0 11.07.2006 no virus found TheHacker 6.0.1.117 11.12.2006 no virus found UNA 1.83 11.13.2006 no virus found VBA32 3.11.1 11.13.2006 no virus found VirusBuster 4.3.15:9 11.13.2006 no virus found Aditional Information File size: 4682 bytes MD5: 9131fe60adfab595c8da53ad6a06aa31 SHA1: 2011c23d7927e42647c17f4c0f77dc308d447e6d ============================================= Complete scanning result of "PI.EXE", received in VirusTotal at 11.13.2006, 16:49:40 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.13.2006 no virus found Authentium 4.93.8 11.10.2006 no virus found Avast 4.7.892.0 11.13.2006 no virus found AVG 386 11.13.2006 no virus found BitDefender 7.2 11.13.2006 no virus found CAT-QuickHeal 8.00 11.13.2006 no virus found ClamAV devel-20060426 11.13.2006 no virus found DrWeb 4.33 11.13.2006 no virus found eTrust-InoculateIT 23.73.53 11.13.2006 no virus found eTrust-Vet 30.3.3190 11.13.2006 no virus found Ewido 4.0 11.13.2006 no virus found Fortinet 2.82.0.0 11.13.2006 no virus found F-Prot 3.16f 11.10.2006 no virus found F-Prot4 4.2.1.29 11.10.2006 no virus found Ikarus 0.2.65.0 11.13.2006 no virus found Kaspersky 4.0.2.24 11.13.2006 no virus found McAfee 4893 11.10.2006 no virus found Microsoft 1.1609 11.13.2006 no virus found NOD32v2 1863 11.13.2006 no virus found Norman 5.80.02 11.13.2006 no virus found Panda 9.0.0.4 11.12.2006 no virus found Sophos 4.11.0 11.07.2006 no virus found TheHacker 6.0.1.117 11.12.2006 no virus found UNA 1.83 11.13.2006 no virus found VBA32 3.11.1 11.13.2006 no virus found VirusBuster 4.3.15:9 11.13.2006 no virus found Aditional Information File size: 183040 bytes MD5: 18e7956cdb2c7793c487e1ec990fbb79 SHA1: ff5e7a213783d602a9c7ccb253f864aa1f428199 ============================================ Dieser Beitrag wurde am 13.11.2006 um 17:20 Uhr von Nomatic editiert.
|
|
|
||
13.11.2006, 18:09
Ehrenmitglied
Beiträge: 29434 |
#67
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to replace with dummy:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html »» scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.11.2006, 21:56
Member
Beiträge: 41 |
#68
Puh... das dauert vieleicht. Sehr schön, da denkt man mit dem MediaPlayerClassic macht man alles richtig und dann erkennt Kaspersky einen Dropper
Hier mal die Logs. Einmal Kaspersky mit Systemscan und einmal Arbeitsplatz Arbeitsplatz ============================= PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Montag, 13. November 2006 21:52:09 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 13/11/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 227440 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz A:\ C:\ D:\ E:\ F:\ G:\ H:\ I:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 365125 Viren gefunden 4 Infizierte Objekte gefunden 12 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 02:30:00 Name des infizierten Objekts Virusname Letzte Aktion C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\nomane\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006111320061114\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\nomane\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\nomane\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2006-11-13.18-54-36.log Das Objekt ist gesperrt übersprungen C:\Programme\eMule\Incoming/irsetup.dat Infizierte Objekte: Trojan-Dropper.Win32.Peerad.a übersprungen C:\Programme\eMule\Incoming SetupFactory: infiziert - 1 übersprungen C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll Infizierte Objekte: Trojan-PSW.Win32.Sinowal.bh übersprungen C:\Programme\WM Player classic 6.4.9\mplayerc.exe Infizierte Objekte: Trojan-Dropper.Win32.Delf.abg übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd2429.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366\A0083670.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.xp übersprungen D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366\A0083673.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.xp übersprungen D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366\A0083680.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.xp übersprungen D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366\A0083714.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.xp übersprungen D:\System Volume Information\_restore{50014032-9926-4DDB-9788-36CA06141998}\RP156\change.log Das Objekt ist gesperrt übersprungen E:\Programme\Video\Media Player Classic 6.4.9.0.rar/mplayerc.exe Infizierte Objekte: Trojan-Dropper.Win32.Delf.abg übersprungen E:\Programme\Video\Media Player Classic 6.4.9.0.rar RAR: infiziert - 1 übersprungen E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen E:\System Volume Information\_restore{50014032-9926-4DDB-9788-36CA06141998}\RP156\change.log Das Objekt ist gesperrt übersprungen I:\E\Programme\Video\Media Player Classic 6.4.9.0.rar/mplayerc.exe Infizierte Objekte: Trojan-Dropper.Win32.Delf.abg übersprungen I:\E\Programme\Video\Media Player Classic 6.4.9.0.rar RAR: infiziert - 1 übersprungen I:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen I:\System Volume Information\_restore{50014032-9926-4DDB-9788-36CA06141998}\RP156\change.log Das Objekt ist gesperrt übersprungen System ================================================= PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Montag, 13. November 2006 19:21:00 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 13/11/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 227440 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Kritische Objekte C:\WINDOWS C:\DOKUME~1\nomane\LOKALE~1\Temp\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 11662 Viren gefunden 0 Infizierte Objekte gefunden 0 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 00:08:17 Name des infizierten Objekts Virusname Letzte Aktion C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd2429.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen |
|
|
||
13.11.2006, 23:35
Ehrenmitglied
Beiträge: 29434 |
#69
««
loesche unter E:\ (I:\) E:\Programme\Video\Media Player Classic 6.4.9.0.rar I:\E\Programme\Video\Media Player Classic 6.4.9.0.rar «« Avenger Zitat Files to delete:«« Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren «« scane und poste den scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2006, 00:00
Member
Beiträge: 41 |
#70
Ich hab zusätzlich um die Zeit zu überbrücken Panda Online benutzt, und der hat mir noch folgende 2 Einträge ausgegeben, falls dir das was sagt:
Incident Status Location Adware:adware/ist.istbar Not disinfected c:\windows\system32\mscache.sys Adware:adware/searchexe Not disinfected Windows Registry =============== Den DrWeb Test mach ich jetzt gleich noch |
|
|
||
14.11.2006, 00:03
Ehrenmitglied
Beiträge: 29434 |
#71
ich habe die sys noch mit in den Avenger kopiert - wende also den avenger an
« ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2006, 01:26
Member
Beiträge: 41 |
#72
Nachträglich hinzugefügt:
>> c:\windows\system32\mscache.sys lässt sich leider nicht löschen mit dem Avenger. Er verhällt sich nach dem Hochfahren auch sehr merkwürdig. Anders als sonst. Normalerweise bekomm ich den Windows LAdebalken, danach den Anmelde-Bereich und dann (nach passworteingabe) dauerts etwas bis der Desktop da ist, läßt sich aber sofort benutzen. Jedesmal wenn ich allerdings versuche die mscache.sys mit Avenger zu vernichten, und zwar nur dann, kommt anstatt desWindows-Ladebildschrims für kurze Zeit der Bildschrim, der auch kommt, wenn Scandisk eine überprüfung nach dem Neustart vornimmt. Das ist aber nur ein Bruchteil einer Sekunde, danach kommt der Anmeldebereich und dann nach anmeldung SEHR schnell der Desktop. Dann allerdings bleibt er 40 Sekunden hängen und Avenger schreibt eine leere avenger.txt << Ok, also ServiceFilter hat folgendes rausbekommen: ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 2 Nov 14, 2006 01:27:45 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: Adobe LM Service Display Name: Adobe LM Service Start Mode: Manual Start Name: LocalSystem Description: AdobeLM ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 2 Service Name: AntiVirScheduler Display Name: AntiVir PersonalEdition Classic Planer Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1232 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 3 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Guard Start Mode: Auto Start Name: LocalSystem Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1244 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #4 Service Name: aspnet_state Display Name: ASP.NET State Service Start Mode: Manual Start Name: NT AUTHORITY\NetworkService Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 5 Service Name: clr_optimization_v2.0.50727_32 Display Name: .NET Runtime Optimization Service v2.0.50727_X86 Start Mode: Manual Start Name: LocalSystem Description: Microsoft .NET Framework ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 6 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\1050\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 7 Service Name: O&O Defrag Display Name: O&O Defrag Start Mode: Auto Start Name: LocalSystem Description: O&O Defragmentation ... Service Type: Own Process Path: c:\windows\system32\oodag.exe State: Running Process ID: 1308 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service #8 Service Name: ose Display Name: Office Source Engine Start Mode: Manual Start Name: LocalSystem Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 9 Service Name: StarWindService Display Name: StarWind iSCSI Service Start Mode: Auto Start Name: LocalSystem Description: Enables network access to local devices via iSCSI ... Service Type: Own Process Path: c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe State: Running Process ID: 1408 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #10 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{2154555f-835f-4033-adc5-d7ec6f9b851a} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 11 Service Name: WUVQTRU Display Name: WUVQTRU Start Mode: Disabled Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\dokume~1\nomane\lokale~1\temp\wuvqtru.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- ============================================== Und hier die Ergebnisse von Dr.Web: ISSetup.dll;C:\Programme\InstallShield Installation Information\{4E074808-1B86-4230-A9EB-0904942EC4AE};möglicherweise DLOADER.Trojan;; mirc.exe;C:\Programme\mIRC;Program.mIRC.60;; A0083672.exe;D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366;Adware.Winad;; A0083682.exe;D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366;Adware.Winad;; Merkwürdig das mit den restore-punkten, obwohl die systemwiederherstellung ja wie du gesagt hast mittlerweile abgeschaltet ist. Ich hab versucht die noch in das Avenger-Script hinzuzufügen, dann gibt er allerdings eine Errormeldung aus und sagt er könne das Script nicht erstellen... Dieser Beitrag wurde am 14.11.2006 um 01:56 Uhr von Nomatic editiert.
|
|
|
||
14.11.2006, 10:13
Ehrenmitglied
Beiträge: 29434 |
#73
wende das an (poste es als Anhang - siehe unten)
http://virus-protect.org/completbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2006, 14:30
Member
Beiträge: 41 |
#74
DC.txt
Zitat Datentr„ger in Laufwerk C: ist SystemDP.txt Zitat Datentr„ger in Laufwerk C: ist SystemOC.txt Zitat Datentr„ger in Laufwerk C: ist SystemDSYS32.txt (gekürzt auf alles nach 2006) Zitat Datentr„ger in Laufwerk C: ist SystemDSYStemp.txt Zitat Datentr„ger in Laufwerk C: ist SystemDW.txt Zitat Datentr„ger in Laufwerk C: ist SystemOP.txt Zitat Datentr„ger in Laufwerk C: ist SystemOW.txt Zitat Datentr„ger in Laufwerk C: ist Systemprefetch.txt Zitat Datentr„ger in Laufwerk C: ist System Dieser Beitrag wurde am 14.11.2006 um 14:36 Uhr von Nomatic editiert.
|
|
|
||
14.11.2006, 17:07
Ehrenmitglied
Beiträge: 29434 |
#75
1.
deinstalliere ...scheint ein Dropper mit vorhanden zu sein, laut Kaspersky C:\Programme\eMule 2. Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\mscache*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren
Doppelklick:regsrch.vbs
reinkopieren:
Microsoft authenticate service
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Doppelklick:regsrch.vbs
reinkopieren:
MsaSvc
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina
rund um die PC-Sicherheit