Home » Viren, Trojaner & Malware Forum » backdoor win 32 ciadoor 13 wie bekomme ich den komplett wieder los ? » Themenansicht

backdoor win 32 ciadoor 13 wie bekomme ich den komplett wieder los ?
#0
04.04.2006, 14:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 es scheint alles sauber zu sein.............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2006, 18:32
jörg 71
Member

Themenstarter

Beiträge: 61
#32 hy sabina

‹(•¿•)›¸¸.·´¯`·.¸


KLASSE¸.·´:p¯`·.¸SUPER¸.·´:p¯`·.¸DANKESCHÖN.·´:p

¯`·.¸.‹(•¿•)›




«:::p:::» «:::E:::» «:::R:::» «:::F:::» «:::E:::» «:::K:::» «:::T:::»

Vielen dank

wenn noch was sein sollte melde ich mich wieder hat spass gemacht :

gruss jörg
Seitenanfang Seitenende
24.04.2006, 16:12
jörg 71
Member

Themenstarter

Beiträge: 61
#33 hy sabina

habe ein neues problem
hier das hatt heute peer guardian geblockt
was heisst das genau ?????

gruss jörg



Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:37)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:38)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:48)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:48)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:48)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:48)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:48)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:48)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:48)
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:49)
Checking: 62.146.57.2
Checking: 217.110.110.229
Checking: 192.67.198.52
Connection Rejected: 192.67.198.52 - www.polizeiforum.de (04-24-2006 @ 16:04:49)
Seitenanfang Seitenende
24.04.2006, 16:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 hast du hier was gepostet? ;)

Willkommen bei Polizeiforum

11 150 150 150 134.222.227.130 ksrh-s1-rou-1001.de.eurorings.net
12 151 150 151 134.222.102.18 eurorings-gw.strato.de
13 150 150 151 81.169.144.106
14 150 151 150 81.169.144.46
15 151 151 151 192.67.198.52 web9.webmailer.de

PeerGuardian blockt u.a. IPs gewisser Organisationen, die Urheberrechtsverletzungen verfolgen und Spysoft
und...
es ist doch bekannt das offizielle stellen hinter den tauschboersen leuten sind
das FORUM liegt AUF DER IP RANGE DES POLIZEI PRAESIDIUMS!!!

also...zieh dich warm an ... und kein P2P benutzen ... ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.04.2006, 06:49
jörg 71
Member

Themenstarter

Beiträge: 61
#35 quatsch !!!

habe die seite nie besucht geschweige hätte ich dort nie was gepostet wozu auch.
wie läuft das genau ab die ip spricht das p2p progg an peer guardian überwacht das ganze und stellt fest die ip gehört zum überwachungsverein und blockt das ganze ?

wieso warm anziehen ...................


welche firewall empfiehlst du eigentlich habe bei zone alarm mittlerweile schon 176 angriffe ersten ranges und täglich sind es 2-3 mehr ?

generic host process läuft immer noch zweimal auf und geht ins netzt ist das i.o so ?

kannst du mir nochmal etwas unter die arme greifen vielen dank .

gruss jörg
Seitenanfang Seitenende
25.04.2006, 11:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 jörg 71

win32:ciadoor-21
http://virus-protect.org/artikel/dienste/wsock32sys.html

-------------------

den generic host-Prozess kann du immer erkennen mit dem
Regsearch
http://virus-protect.org/artikel/tools/regsearch.html

Zitat

in: "Enter search strings" (reinschreiben oder reinkopieren)

scvhost

und die entsprechenden Eintraege aus der Regisyry loeschen.

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"
~~~~~~~~~~~~~~

dann empfehle ich Onlinescans , denn wie es ausschaut, ist der PC doch nicht richtig gesaeubert....
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 17:10
jörg 71
Member

Themenstarter

Beiträge: 61
#37 hy sabina

habe mal wieder problems

also generic host habe ich leider immer noch 2 mal online

grösseres problem ist aber das ich die datei :die rote hat was mit dem drucker zutun ppc server nicht verfügbar da ich diese datei gelöscht,habe dachte die gehört zu dwem alten drucker von lexmark jetzt habe ich ja nen hp

Logfile of HijackThis v1.99.1
Scan saved at 17:08:35, on 02.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5112.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe
C:\Dokumente und Einstellungen\jörg\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodafone.de/start_noflash.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = FICKGANGSTA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [µTorrent] "C:\Programme\qtorrent\utorrent.exe"
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

habe mal zone alarm neu installiert und über nacht 34000 zugriffsversuche verhindert .

sollte ich vieleicht mal ne andere firewall probieren .

gruss jörg
Seitenanfang Seitenende
03.05.2006, 00:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 "lexbces.exe" is part of Lexmark MarkVision
O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE

du hast also wirklich den Lexmark ausgeloescht...
nun solltest du den Dienst noch deakativieren.

Zitat

Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " LexBce Server (LexBceS)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"X " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.05.2006, 13:40
jörg 71
Member

Themenstarter

Beiträge: 61
#39 hy sabina

gut das du da bist :-)

hier der POST_THIS.TXT

LexBceS = deaktiviert
nach dem neustart lies sich aber leider wieder der hp drucker nicht instalieren kommt immer die meldung rpc server nicht verfügbar und das war die

LexBceS.exe die habe ich mit killBox weggemacht :-(




To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Mai 3, 2006 13:42:23


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AVP
Display Name: Kaspersky Anti-Virus 6.0
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet Schutz vor Computerviren und ...
Service Type: Own Process
Path: "c:\programme\kaspersky lab\kaspersky anti-virus 6.0\avp.exe" -r
State: Running
Process ID: 7The script did not recognize the services listed below.
This does not mean that they are a problem.

40
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: BthServ
Display Name: Bluetooth Support Service
Start Mode: Auto
Start Name: NT AUTHORITY\LocalService
Description: ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k bthsvcs
State: Running
Process ID: 764
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: de_serv
Display Name: AVM FRITZ!web Routing Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\avm\de_serv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #5
Service Name: iPodService
Display Name: iPodService
Start Mode: Disabled
Start Name: LocalSystem
Description: iPod hardware management ...
Service Type: Own Process
Path: c:\programme\ipod\bin\ipodservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: LightScribeService
Display Name: LightScribeService Direct Disc Labeling Service
Start Mode: Auto
Start Name: LocalSystem
Description: Used by the LightScribe software components to support 3rd party disc labeling applications using ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\lightscribe\lssrvc.exe"
State: Running
Process ID: 892
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #7
Service Name: Nla
Display Name: NLA (Network Location Awareness)
Start Mode: Boot
Start Name: LocalSystem
Description: Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt ...
Service Type: Share Process
Path: \systemroot\c:\windows\system32\svchost.exe -k netsvcs
State: Running
Process ID: 1244
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #8
Service Name: NVSvc
Display Name: NVIDIA Display Driver Service
Start Mode: Boot
Start Name: LocalSystem
Description: Provides system and desktop level support to the NVIDIA display ...
Service Type: Own Process
Path: \systemroot\c:\windows\system32\nvsvc32.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: O&O Defrag
Display Name: O&O Defrag
Start Mode: Auto
Start Name: LocalSystem
Description: O&O Defragmentation ...
Service Type: Own Process
Path: c:\windows\system32\oodag.exe
State: Running
Process ID: 1400
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #10
Service Name: RDSessMgr
Display Name: Sitzungs-Manager für Remotedesktophilfe
Start Mode: Disabled
Start Name: LocalSystem
Description: Verwaltet und überwacht die Remoteunterstützung. Die Remoteunterstützung wird beim Beenden dieses ...
Service Type: Own Process
Path: c:\windows\inf\sessmgr.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: SandraDataSrv
Display Name: Sandra Data Service
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sisoftware\sisoftware sandra professional 2005.sr1\rpcdatasrv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 12
Service Name: SandraTheSrv
Display Name: Sandra Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sisoftware\sisoftware sandra professional 2005.sr1\rpcsandrasrv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #13
Service Name: SENS
Display Name: Systemereignisbenachrichtigung
Start Mode: Boot
Start Name: LocalSystem
Description: Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. ...
Service Type: Share Process
Path: \systemroot\c:\windows\system32\svchost.exe -k netsvcs
State: Running
Process ID: 1244
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 14
Service Name: SLEE_81_SERVICE
Display Name: Steganos Live Encryption Engine 8.1 [Service]
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\slee81.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 15
Service Name: StarWindService
Display Name: StarWind iSCSI Service
Start Mode: Manual
Start Name: LocalSystem
Description: Enables network access to local devices via iSCSI ...
Service Type: Own Process
Path: c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #16
Service Name: StyleXPService
Display Name: StyleXPService
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tgtsoft\stylexp\stylexpservice.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #17
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{4f59e5c6-14d0-4b18-abe7-0a1035d78d53}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 18
Service Name: TUWinStylerThemeSvc
Display Name: TuneUp WinStyler Theme Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #19
Service Name: V2i Protector
Display Name: V2i Protector
Start Mode: Disabled
Start Name: LocalSystem
Description: Verwaltungsservice zum Erstellen von Zeitplänen und ...
Service Type: Own Process
Path: c:\programme\powerquest\drive image 7.0\agent\pqv2isvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 98 Win32 services on this machine.
19 were unrecognized.

Script Execution Time: 2,140625 seconds.


gruss jörg
Dieser Beitrag wurde am 03.05.2006 um 13:55 Uhr von jörg 71 editiert.
Seitenanfang Seitenende
03.05.2006, 14:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 1.
start - Ausfuehren - cmd (reinschreiben)

schreib/kopiere rein

Zitat

netstat -a
**
klicke oben links auf den "schluessel", um das Menue aufzurufen -> Edit -> select all --> dann klicke einfach hier im Thread auf "einfuegen" und poste den Text

Zitat

C:\>netstat -a

Active Connections

Proto Local Address Foreign Address State
TCP XXX:1027 XXX-:0 LISTENING
----------------------------------------------------------------
2.
installiere das:
http://virus-protect.org/artikel/tools/portexplorer.html

schaue nach den Eintraegen...und kopiere ab, was du findest.

---------------------------------------------------------------

3.
poste die 4 Logs von datfindbat..ich denke, ich finde noch was ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.05.2006, 14:33
jörg 71
Member

Themenstarter

Beiträge: 61
#41 netstat -aMicrosoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\jörg>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status

TCP :1655 dd3012.kasserver.com:http WARTEND
TCP :1663 145.253.66.11:http WARTEND
TCP :1674 145.253.66.19:http WARTEND


C:\Dokumente und Einstellungen\jörg>


hier erst mal das danach mache ich den rest mit neustart


kann ich den drucker wieder flott bekommen ??????

bis gleich :-)
Seitenanfang Seitenende
03.05.2006, 14:36
jörg 71
Member

Themenstarter

Beiträge: 61
#42 habe hier noch die dat find bat schnell gemacht

komplett im anhang

Anhang: dat find bat komplett .txt
Seitenanfang Seitenende
03.05.2006, 15:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C:\ -> hier posten

+
die anderen drei Logs von datfindbat

--------

Zitat

19.04.2006 17:04 130 Log.inf
19.04.2006 17:04 65.536 DVDKeyAuth.dll
06.04.2006 20:43 2.194.176 kernel1.exe
06.04.2006 14:21 62.976 cygz.dll
06.04.2006 14:21 1.189.587 cygwin1.dll
24.03.2006 18:08 28.778 klogon.dll
18.03.2006 05:51 75.098 ckl009.dat
18.03.2006 05:21 192.976 FNTCACHE.DAT
17.03.2006 07:41 196 del32.bat
17.03.2006 07:41 1.439.128 daemon403-x86.exe
10.03.2006 01:57 838.144 HushEncryptionEngine.dll
27.02.2006 16:29 2.154 tmmute.ini
26.02.2006 19:05 0 Ultra.dll
18.02.2006 14:52 1.024 WinCmd.key
17.02.2006 20:09 1.632 d3d8caps.dat
16.02.2006 07:47 1.744 d3d9caps.dat
15.02.2006 07:44 14.336 wgapatch(1.4.410.0).exe
04.02.2006 09:29 16.832 amcompat.tlb
04.02.2006 09:29 23.392 nscompat.tlb
18.01.2006 16:27 172.032 fpres532.dll
12.01.2006 16:40 290.816 fpmon5.dll

Zitat

TCP xxxxx:1655 dd3012.kasserver.com:http WARTEND

Domain Name: KASSERVER.COM
Registrar: PSI-USA, INC. DBA DOMAIN ROBOT
Whois Server: whois.psi-usa.info
Referral URL: http://www.psi-usa.info
Name Server: NS3.KASSERVER.COM
Name Server: NS4.KASSERVER.COM

Information related to '81.209.148.0 - 81.209.148.255'

inetnum: 81.209.148.0 - 81.209.148.255
netname: LNCDE-ALL-INKL
descr: Customer Server all-inkl.com
country: DE



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.05.2006, 19:56
jörg 71
Member

Themenstarter

Beiträge: 61
#44 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xnikubuf

*******************

Script file located at: \??\C:\WINDOWS\bbqtdmfl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ckl009.dat deleted successfully.
File C:\WINDOWS\system32\del32.bat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Anhang: dat2.txt
Seitenanfang Seitenende
03.05.2006, 19:59
jörg 71
Member

Themenstarter

Beiträge: 61
#45 hier die 3

lade sie vollständig hoch

bitte gib mir noch einen tip wegen meinem drucker hätte einige dokumente zu drucken

Anhang: dat3.txt
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: