Virus entfernt alle Security files !!!- Bagle-Variante-m_hook.sys |
||
---|---|---|
#0
| ||
27.03.2006, 13:42
...neu hier
Beiträge: 9 |
||
|
||
27.03.2006, 15:06
Ehrenmitglied
Beiträge: 29434 |
#2
ckrieger
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 00:52
...neu hier
Themenstarter Beiträge: 9 |
#3
Hallo Sabina,
habe die Schritte durchlaufen. Bei dem Cleanup Tool konnte ich allerdings die Option "Delete Prefetch Files" nicht anwählen, da sie ausgegraut war. Ich hatte zwischenzeitlich die Kerio Firewall installiert, aber die ist mittlerweile auch ausser Kraft gesetzt worden. Hier die 4 Textdateien des datfindbat tools: system32.txt: Datentr„ger in Laufwerk D: ist Win2k Datentr„gernummer: 041F-2067 Verzeichnis von D:\WINNT\system32 28.03.2006 00:23 29.204 nvapps.xml 28.03.2006 00:03 16.384 Perflib_Perfdata_540.dat 27.03.2006 11:42 36.040 vsconfig.xml 26.03.2006 01:19 397.760 perfh009.dat 26.03.2006 01:19 64.232 perfc009.dat 26.03.2006 01:19 395.954 perfh007.dat 26.03.2006 01:19 76.916 perfc007.dat 26.03.2006 01:19 946.426 PerfStringBackup.INI 26.03.2006 01:14 4.212 zllictbl.dat 26.03.2006 00:41 5.301 ban_list.txt 25.03.2006 23:36 16.384 Perflib_Perfdata_4f8.dat 25.03.2006 23:36 16.384 Perflib_Perfdata_538.dat 25.03.2006 19:04 16.384 Perflib_Perfdata_554.dat 25.03.2006 13:04 16.384 Perflib_Perfdata_544.dat 25.03.2006 12:51 16.384 Perflib_Perfdata_530.dat 25.03.2006 12:51 16.384 Perflib_Perfdata_568.dat 25.03.2006 12:45 16.384 Perflib_Perfdata_510.dat 25.03.2006 12:45 16.384 Perflib_Perfdata_54c.dat 25.03.2006 12:04 16.384 Perflib_Perfdata_524.dat 24.03.2006 12:28 45.056 cdral.dll 24.03.2006 12:28 49.152 cdrtc.dll 24.03.2006 12:00 1.024 pdf2html.DAT 19.03.2006 12:20 384.816 FNTCACHE.DAT 16.03.2006 01:26 16.384 Perflib_Perfdata_5fc.dat 14.03.2006 16:04 18.538 PQ_DEBUG.TXT 14.03.2006 16:04 1.100 PQ_BATCH.PQB 14.03.2006 15:23 0 pqtmp.fil 10.03.2006 02:10 4.799.320 MRT.exe 04.03.2006 17:47 176.167 rmoc3260.dll 04.03.2006 17:47 5.632 pndx5032.dll 04.03.2006 17:47 6.656 pndx5016.dll 04.03.2006 17:46 278.528 pncrt.dll 03.03.2006 10:16 16.384 Perflib_Perfdata_f0.dat 21.02.2006 16:19 16.384 Perflib_Perfdata_158.dat 19.02.2006 18:27 100.104 vsxml.dll 19.02.2006 18:27 382.728 vsutil.dll 19.02.2006 18:26 227.088 vspubapi.dll 19.02.2006 18:26 104.208 vsmonapi.dll 19.02.2006 18:26 141.064 vsinit.dll 19.02.2006 18:26 372.816 vsdatant.sys 19.02.2006 18:26 83.720 vsdata.dll 02.02.2006 01:45 5.430 KGyGaAvL.sys 02.02.2006 01:45 56 9A7DB1DE92.sys 30.12.2005 18:15 233.744 GDI32.DLL 08.12.2005 14:56 65.536 QuickTimeVR.qtx 08.12.2005 14:56 49.152 QuickTime.qts 05.12.2005 07:12 339.968 px.dll 05.12.2005 07:12 172.032 pxmas.dll 05.12.2005 07:12 405.504 pxdrv.dll 05.12.2005 07:12 56.832 pxcpya64.exe 05.12.2005 07:12 339.968 pxwave.dll 05.12.2005 07:12 61.440 pxhpinst.exe 05.12.2005 07:12 28.672 vxblock.dll 05.12.2005 07:12 56.320 pxinsa64.exe 24.11.2005 17:54 79.632 fontsub.dll 24.11.2005 17:54 163.600 t2embed.dll 22.11.2005 18:39 2.700.288 MSHTML.DLL 15.11.2005 13:12 126.680 GCCollection.dll 15.11.2005 13:12 117.976 hashlib.dll 15.11.2005 13:12 95.448 gcUnCompress.dll sys.txt Datentr„ger in Laufwerk D: ist Win2k Datentr„gernummer: 041F-2067 Verzeichnis von D:\ 28.03.2006 00:28 0 sys.txt 28.03.2006 00:28 9.781 system.txt 28.03.2006 00:28 550 systemtemp.txt 28.03.2006 00:28 112.717 system32.txt 25.03.2006 13:00 102 Platform.ini 24.04.2004 14:49 0 s1uo 6 Datei(en) 123.150 Bytes 0 Verzeichnis(se), 9.887.547.392 Bytes frei system.txt Datentr„ger in Laufwerk D: ist Win2k Datentr„gernummer: 041F-2067 Verzeichnis von D:\WINNT 27.03.2006 23:59 25 OUTSTACKER.INI 27.03.2006 23:58 1.409 QTFont.for 27.03.2006 23:58 54.156 QTFont.qfn 27.03.2006 13:21 277 system.ini 27.03.2006 11:33 32.628 SchedLgU.Txt 27.03.2006 11:32 1.405 win.ini 26.03.2006 01:54 130.532 ntbtlog.txt 26.03.2006 01:49 10.168 UEDIT32.INI 26.03.2006 01:22 47 InoSetup.ini 25.03.2006 19:05 461.738 WindowsUpdate.log 25.03.2006 12:39 2.549 OEWABLog.txt 25.03.2006 12:39 104.819 wmsetup.log 25.03.2006 12:38 397.943 setupapi.log 24.03.2006 12:29 3.864 COM+.log 24.03.2006 12:28 57.344 uneng.exe 24.03.2006 12:02 606 PDF2HTML.INI 24.03.2006 11:56 1.429 imsins.log 24.03.2006 11:56 657.043 iis5.log 24.03.2006 11:56 256.681 comsetup.log 24.03.2006 11:56 3.281 basecsp.log 24.03.2006 11:56 18.402 ockodak.log 24.03.2006 11:56 244.116 ocgen.log 24.03.2006 11:45 121 GEARInstall.log 21.03.2006 02:12 141 AVMASTER.INI 19.03.2006 12:46 217 uno.ini 19.03.2006 08:33 3.387 WISO.INI 19.03.2006 08:28 119 BUHL.INI 17.03.2006 02:33 13.440 iPodSync Setup Log.txt 17.03.2006 02:33 724.992 iun6002.exe 10.03.2006 01:12 316.640 WMSysPr9.prx 09.03.2006 11:58 132 Winamp.ini 08.03.2006 19:22 160.728 Crazi Video for iPod Uninstaller.exe 05.03.2006 11:51 3.901 spupdsvc.log 05.03.2006 00:50 1.410 imsins.BAK 05.03.2006 00:49 57.179 updspapi.log 01.03.2006 11:44 7.719 mozver.dat 23.02.2006 17:03 6 iPod2PC2.obl 22.11.2005 13:47 81.261 UpdateRollupPack.log 22.11.2005 13:46 2.746 updcustom.dll.log 22.11.2005 13:35 0 nsreg.dat 22.11.2005 13:35 99.965 UninstallFirefox.exe systemtemp.txt Datentr„ger in Laufwerk D: ist Win2k Datentr„gernummer: 041F-2067 Verzeichnis von D:\DOKUME~1\ckrieger\LOKALE~1\Temp 26.03.2006 01:47 454 InoSetup.log 26.03.2006 01:20 1.613 driver.log 25.03.2006 14:24 16.384 ~DF4426.tmp 25.03.2006 12:04 32.768 ~DFA033.tmp 25.03.2006 11:55 32.768 ~DFB1B9.tmp 25.03.2006 11:55 32.768 ~DF9404.tmp 6 Datei(en) 116.755 Bytes 0 Verzeichnis(se), 9.887.547.392 Bytes frei Und hier noch einmal der aktuellste HiJackthis output: Logfile of HijackThis v1.99.1 Scan saved at 00:26:33, on 28.03.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe D:\WINNT\System32\svchost.exe D:\Programme\IBM HTTP Server\Apache.exe D:\Programme\IBM HTTP Server\Apache.exe D:\Programme\kerio\Personal Firewall 4\kpf4ss.exe D:\Programme\IBM HTTP Server\Apache.exe D:\Programme\IBM HTTP Server\Apache.exe D:\Programme\mysql\bin\mysqld-nt.exe D:\Programme\kerio\Personal Firewall 4\kpf4gui.exe D:\WINNT\system32\nvsvc32.exe D:\WINNT\system32\MSTask.exe D:\WINNT\System32\tcpsvcs.exe D:\WINNT\System32\snmp.exe D:\WINNT\system32\stisvc.exe D:\Programme\VMware\VMware Workstation\vmware-authd.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\System32\mspmspsv.exe D:\WINNT\Explorer.EXE D:\Programme\kerio\Personal Firewall 4\kpf4gui.exe D:\System\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE D:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe D:\WINNT\Dit.exe D:\Programme\CloneDrive\VCDDaemon.exe D:\WINNT\system32\RUNDLL32.EXE D:\Programme\iTunes\iTunesHelper.exe D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe D:\WINNT\system32\ctfmon.exe D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe D:\System\MSI\PC Alert III\alert.exe D:\Programme\PC-TV\WinManager\WinManager.exe D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe D:\WINNT\DitExp.exe D:\Programme\iPod\bin\iPodService.exe D:\System\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [EM_EXEC] D:\System\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ISDN SpeedManager] "D:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe" O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [gcasServ] "D:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\CloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [AVKTray] "D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe" O4 - HKLM\..\RunServices: [RunAlert] D:\system\MSI\PC Alert III\AService.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: Yahoo! Widget Engine.lnk = D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: PC Alert III.lnk = D:\System\MSI\PC Alert III\alert.exe O4 - Global Startup: WinManager.lnk = D:\Programme\PC-TV\WinManager\WinManager.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O15 - Trusted Zone: *.teamcenter_01 O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0400b9878da668013d15/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{CAAA63A2-BB82-428D-8C4B-5F89A13BB34B}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AVKProxy - G DATA Software AG - D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe O23 - Service: EDS License Server - GLOBEtrotter Software Inc. - e:\eds\VISPRO~1\VISPRO~1\Lmgrd.exe O23 - Service: I-DEAS 9 Open I-DEAS Server - Unknown owner - e:\eds\I-DEAS9\Iona\bin\orbixd.exe O23 - Service: I-DEAS License Manager 9.0 - Unknown owner - e:\eds\I-DEAS9\sec\lmgrd.exe O23 - Service: IBM Verwaltung des IBM HTTP Server (IBMHTTPAdministration) - Unknown owner - D:\Programme\IBM HTTP Server\Apache.exe O23 - Service: IBM HTTP Server (IBMHTTPServer) - Unknown owner - D:\Programme\IBM HTTP Server\Apache.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: MySql - Unknown owner - D:/Programme/mysql/bin/mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe Ich hoffe das Problem ist aus diesen Infos zu ersehen. Danke und Gruss Chris. |
|
|
||
28.03.2006, 01:24
Ehrenmitglied
Beiträge: 29434 |
#4
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html poste den scanreport scanne mit registry-stuff und poste den scanreport http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 01:56
...neu hier
Themenstarter Beiträge: 9 |
#5
Hallo Sabina,
hier der output von dem registry stuff tool: doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile ----------------------- ----------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000120 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Gemeinsame Nutzung der Internetverbindung" "DependOnService"=hex(7):52,61,73,4d,61,6e,00,00 "DependOnGroup"=hex(7):00 "ObjectName"="LocalSystem" "Description"="Bietet allen Computern über eine DFÜ-Verbindung Netzwerkadressübersetzungs- und Namensauflösungsdienste auf Ihrem Netzwerk." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,20,02,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,08,06,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,08,06,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Dieser Beitrag wurde am 28.03.2006 um 02:00 Uhr von ckrieger editiert.
|
|
|
||
28.03.2006, 01:59
Ehrenmitglied
Beiträge: 29434 |
#6
dann poste noch das log vom RootkitRevealer
dann arbeite das ab: und berichte, was das Tool findet http://virus-protect.org/regrun.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 02:02
...neu hier
Themenstarter Beiträge: 9 |
||
|
||
28.03.2006, 02:15
Ehrenmitglied
Beiträge: 29434 |
#8
roxy\fuss_bg.gif 27.03.2006 11:42 4 bytes Hidden from Windows API.
D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires 28.03.2006 00:04 0 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\hidr.exe 28.03.2006 00:04 18.00 KB Hidden from Windows API. D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\m_hook.sys 28.03.2006 00:04 21.75 KB Hidden from Windows API. D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires 28.03.2006 00:44 0 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires\hidr.exe 28.03.2006 00:44 18.00 KB Hidden from Windows API. D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires\m_hook.sys 28.03.2006 00:44 21.75 KB Hidden from Windows API. D:\WINNT\system32\wintems.exe 28.03.2006 00:44 9.50 KB Hidden from Windows API. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 02:16
Ehrenmitglied
Beiträge: 29434 |
#9
Zitat When Bagle.GE is run, it creates a directory named 'hidires' in the user's 'Application Data' folder. It copies itself as: Zitat HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit 25.03.2006 14:14 176 bytes Hidden from Windows API.dann arbeite das ab: und berichte, was das Tool findet http://virus-protect.org/regrun.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 02:17
...neu hier
Themenstarter Beiträge: 9 |
#10
Hallo Sabina,
bedeuten die gelben Smileys die bösen Einträge? Ich hatte das Beagle Check tool von Symantec laufen lassen. Das hat aber nichts gefunden. Werde morgen die Anleitung abarbeiten und posten. Danke erstmal für deine Mühe und gute Nacht. Gruss Chris. |
|
|
||
28.03.2006, 02:18
Ehrenmitglied
Beiträge: 29434 |
#11
es ist der Bagle.GE..aber heut ist es zu spaet..ich poste dir morgen eine reinigung
http://virus-protect.org/virus/m_hook_sys.html ist of hidden registry values: * wintems.exe * drvsyskit * german.exe * key000s01 * key000s02 * key000s03 * key000s04 * key000s05 D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\hidr.exe D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\m_hook.sys D:\WINNT\system32\wintems.exe 28.03.2006 00:44 9.50 KB Hidden from Windows API D:\WINNT\system32\ldr64.dll HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "drvsyskit" = "%System%\hidr.exe" Zitat [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 10:41
...neu hier
Themenstarter Beiträge: 9 |
#12
Guten Morgen Sabina,
ich habe noch keine Datei oder Eintrag gelöscht und als erstes die Anleitung abgearbeitet. Hier die Infos vom regrun: Prohibited: 0 Suspicious: 24 Warnings: 6 Hier die Info der Einträge, wo der "Good or Bad, Get info/ Kill or accept it"? Button kam: "D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" - SUSPICIOUS "D:\Programme\IBM HTTP Server\Apache.exe" - SUSPICIOUS D:/Programme/mysql/bin/mysqld-nt.exe - SUSPICIOUS D:\system\ASUS\SmartDoctor\SmartDoctor.exe /start - SUSPICIOUS mobsync.exe /logon - SUSPICIOUS anvshell.exe - SUSPISIOUS "D:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe" - SUSPICIOUS "D:\Programme\CloneCD\CloneCDTray.exe" /s - SUSPICIOUS "D:\Programme\CloneDrive\VCDDaemon.exe" /s - SUSPICIOUS "D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe" - SUSPICIOUS D:\System\MSI\PC Alert III\alert.exe - SUSPICIOUS D:\Programme\PC-TV\WinManager\WinManager.exe - SUSPICIOUS AVKProxy.exe - SUSPICIOUS Apache.exe - SUSPICIOUS vmware-authd.ex - SUSPICIOUS iTunesHelper.ex - SUSPICIOUS D:\WINNT\SYSTEM32\DRIVERS\SSHDRV61.SYS - WARNINGS D:\WINNT\SYSTEM32\DRIVERS\HLP.SYS - WARNINGS D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS - WARNINGS[/b] |
|
|
||
28.03.2006, 11:50
Ehrenmitglied
Beiträge: 29434 |
#13
bevor wir mit der Reinigung beginnen, poste bitte noch folgendes Log:
Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop ------------------------------------------------------------------ Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: - Speichern als: Test.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt ) regedit /e Info.txt "HKEY_CURRENT_USER\Software\DateTime4" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 12:00
...neu hier
Themenstarter Beiträge: 9 |
#14
Hier der Output:
03/28/06 11:50:24 [Info]: BlackLight Engine 1.0.33 initialized 03/28/06 11:50:24 [Info]: OS: 5.0 build 2195 (Service Pack 4) 03/28/06 11:50:24 [Note]: 7019 4 03/28/06 11:50:24 [Note]: 7005 0 03/28/06 11:50:27 [Note]: 7006 0 03/28/06 11:50:27 [Note]: 7011 1628 03/28/06 11:50:27 [Note]: 7024 3 03/28/06 11:50:27 [Info]: Hidden process: D:\WINNT\system32\wintems.exe 03/28/06 11:50:28 [Note]: FSRAW library version 1.7.1015 03/28/06 11:50:36 [Info]: Hidden file: D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\hidr.ex 03/28/06 11:50:36 [Note]: 10002 2 03/28/06 11:50:36 [Note]: 10002 3 03/28/06 11:50:36 [Note]: 10002 2 03/28/06 11:50:36 [Note]: 10002 2 03/28/06 11:51:49 [Info]: Hidden file: D:\WINNT\system32\wintems.exe 03/28/06 11:51:49 [Note]: 10002 2 Ich habe allerdings schon in dem Reanimator die D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS in den Prohibited Mode gesetzt. |
|
|
||
28.03.2006, 12:22
Ehrenmitglied
Beiträge: 29434 |
#15
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
- Speichern als: Test.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt ) Zitat regedit /e Info.txt "HKEY_CURRENT_USER\Software\DateTime4"Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) m_hook in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) m hook in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
seit gestern habe ich das Problem, das irgendetwas mir sämtliche Security files von der Platte löscht.
Ich hatte die Zone Alarm Firewall laufen und den eTrust Antivirus.
Dieses etwas hat die vsmon.exe von der Zone Alarm sowie die exe files des Virenscanners gelöscht.
Wenn ich versuche Zone Alarm (oder andere Firewall oder Virenprogramme) zu installieren, werden die entsprechenden exe Dateien gelöscht, sobald sie auf die Platte kopiert werden.
Ich habe versucht eine Text Datei mit dem Namen vsmon.exe zu erzeugen, diese wird aber auch nach ca. 1 Sekunde gelöscht.
Nur im abgesicherten Modus kann ich das System mit einer Firewall oder mit einem Virenscanner versehen, bei einem Neustert werden dann aber direkt wieder die exe files gelöscht.
Mir ist aufgefallen das nach dem Einloggen ganz kurz eine DOS Shell aufpoppt.
Das war vorher auch nicht da.
Hier das Log file von HiJackthis:
Logfile of HijackThis v1.99.1
Scan saved at 13:38:52, on 27.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe
D:\Programme\AntiVirenKit 2006 trial\AVK.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\System\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\System\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ISDN SpeedManager] "D:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\CloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVKTray] "D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\RunServices: [RunAlert] D:\system\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] D:\system\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: PC Alert III.lnk = D:\System\MSI\PC Alert III\alert.exe
O4 - Global Startup: WinManager.lnk = D:\Programme\PC-TV\WinManager\WinManager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0400b9878da668013d15/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAAA63A2-BB82-428D-8C4B-5F89A13BB34B}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVKProxy - G DATA Software AG - D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: EDS License Server - GLOBEtrotter Software Inc. - e:\eds\VISPRO~1\VISPRO~1\Lmgrd.exe
O23 - Service: I-DEAS 9 Open I-DEAS Server - Unknown owner - e:\eds\I-DEAS9\Iona\bin\orbixd.exe
O23 - Service: I-DEAS License Manager 9.0 - Unknown owner - e:\eds\I-DEAS9\sec\lmgrd.exe
O23 - Service: IBM Verwaltung des IBM HTTP Server (IBMHTTPAdministration) - Unknown owner - D:\Programme\IBM HTTP Server\Apache.exe
O23 - Service: IBM HTTP Server (IBMHTTPServer) - Unknown owner - D:\Programme\IBM HTTP Server\Apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MySql - Unknown owner - D:/Programme/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe
Ich wäre euch dankbar für jedwede Hilfe.
Gruss
Chris.