Home » Viren, Trojaner & Malware Forum » rechner mit Win32:Trojano-1320 [Trj] infiziert » Themenansicht

rechner mit Win32:Trojano-1320 [Trj] infiziert
#0
03.04.2006, 16:11
tak
Member

Beiträge: 38
#1 hab seit ein paar tagen folgenden trojaner auf dem rechner und weiß nicht wie ich ihn entfernen soll: Win32:Trojano-1320 [Trj] kann mir irgendjemand helfen!?
Seitenanfang Seitenende
04.04.2006, 01:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 tak

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2006, 21:39
tak
Member

Themenstarter

Beiträge: 38
#3 datfind:

Verzeichnis von C:\WINDOWS\system32

04.04.2006 21:17 13.718 wpa.dbl
02.04.2006 16:52 12 tickcnt.bin
26.03.2006 12:57 380.350 perfh009.dat
26.03.2006 12:57 52.764 perfc009.dat
26.03.2006 12:57 391.000 perfh007.dat
26.03.2006 12:57 63.580 perfc007.dat
26.03.2006 12:57 897.954 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe
05.02.2006 18:45 3.002 CONFIG.NT
30.01.2006 19:01 2.550 Uninstall.ico
30.01.2006 19:01 1.406 Help.ico
30.01.2006 19:01 30.590 pavas.ico
28.01.2006 00:38 503.296 aswBoot.exe
28.01.2006 00:30 90.112 AVASTSS.scr
12.01.2006 12:32 543.496 LegitCheckControl.DLL
07.01.2006 15:40 7.006 jupdate-1.5.0_06-b05.log
05.01.2006 17:48 161.936 FNTCACHE.DAT
05.01.2006 15:55 86.179 NULL
05.01.2006 15:55 16.832 amcompat.tlb
05.01.2006 15:55 23.392 nscompat.tlb
04.01.2006 05:35 68.096 webclnt.dll


Verzeichnis von C:\DOKUME~1\PC\LOKALE~1\Temp

04.04.2006 21:33 0 JET2.tmp
04.04.2006 21:33 0 JETF9D7.tmp
04.04.2006 21:31 16.384 Perflib_Perfdata_8e4.dat
04.04.2006 21:30 32.768 ~DF802A.tmp
04.04.2006 21:30 32.768 ~DF5F76.tmp

Verzeichnis von C:\WINDOWS

04.04.2006 21:32 784 win.ini
04.04.2006 21:31 0 0.log
04.04.2006 21:31 1.381.741 WindowsUpdate.log
04.04.2006 21:30 54.156 QTFont.qfn
04.04.2006 21:30 2.048 bootstat.dat
04.04.2006 21:29 32.544 SchedLgU.Txt
04.04.2006 21:27 7.680 Thumbs.db
04.04.2006 21:27 69 NeroDigital.ini
30.03.2006 16:07 1.409 QTFont.for
30.03.2006 16:04 22.748 wjl.exe
14.03.2006 14:16 216 wiadebug.log
14.03.2006 14:12 50 wiaservc.log
21.02.2006 15:09 110.195 wmsetup.log
18.02.2006 18:42 1.279 spupdsvc.log
18.02.2006 16:58 135.420 tsoc.log
18.02.2006 16:58 74.354 ntdtcsetup.log
18.02.2006 16:58 53.490 iis6.log
18.02.2006 16:58 1.374 imsins.log
18.02.2006 16:58 124.411 comsetup.log
18.02.2006 16:58 19.306 ocmsn.log
18.02.2006 16:58 11.232 KB911927.log
18.02.2006 16:58 17.676 msgsocm.log
18.02.2006 16:58 176.558 ocgen.log
18.02.2006 16:58 340.581 FaxSetup.log
18.02.2006 16:58 545.543 setupapi.log
18.02.2006 16:58 25.934 updspapi.log
18.02.2006 16:58 1.374 imsins.BAK
18.02.2006 16:58 7.391 KB911564.log
18.02.2006 16:57 7.734 KB911565.log
18.02.2006 16:57 6.702 KB913446.log
09.02.2006 18:46 2.901 mozver.dat
06.02.2006 23:09 107.132 UninstallFirefox.exe
05.02.2006 20:10 456 cdplayer.ini
26.01.2006 23:36 505 ODBC.INI
26.01.2006 23:04 11.986 cfgmgr52.ini
26.01.2006 16:48 460 wmsetup10.log
12.01.2006 19:00 10.153 KB908519.log
06.01.2006 17:21 11.159 KB912919.log
05.01.2006 15:54 316.640 WMSysPr9.prx

Verzeichnis von C:\

04.04.2006 21:37 0 sys.txt
04.04.2006 21:37 8.006 system.txt
04.04.2006 21:37 545 systemtemp.txt
04.04.2006 21:36 95.976 system32.txt
04.04.2006 21:34 14 cmsstorage.lst
04.04.2006 21:30 536.399.872 hiberfil.sys
04.04.2006 21:30 805.306.368 pagefile.sys
07.01.2006 00:04 160 TO_InstallLog.txt

hijack:

Logfile of HijackThis v1.99.1
Scan saved at 21:39:22, on 04.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\zwartscholten\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System\winlogon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\airsvcu.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ws1.appswebservice.com/index.php?tpid=10244&ttid=104
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.exactsearch.net/sidesearch
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Blubster] C:\Programme\Zwartscholten\Blubster\Blubster.exe SILENT
O4 - HKLM\..\Run: [QuickTime Task] "C:\zwartscholten\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Einführung zu Media Manager.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\SPLASHA.EXE
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare Software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11c4c28db89e4c91f905/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68E838C0-A16C-42EC-A19D-46FEEEBE31CF}: NameServer = 217.237.151.225 217.237.150.225
O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
Seitenanfang Seitenende
04.04.2006, 23:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 tak

1.
Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\dvd4free*.*" > c:\find.txt & start notepad c:\find.txt


2.
RootkitRevealer -> poste das log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2006, 14:48
tak
Member

Themenstarter

Beiträge: 38
#5 dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt:

Verzeichnis von c:\WINDOWS\system

05.04.2006 14:04 35.328 winlogon.dll
30.03.2006 16:03 22.016 winlogon.exe
2 Datei(en) 57.344 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 14:00 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 14:00 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 1.072.128 Bytes
0 Verzeichnis(se), 63.576.596.480 Bytes frei



dir /s /a "c:\dvd4free*.*" > c:\find.txt & start notepad c:\find.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 74A3-33ED


2. RootkitRevealer
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temp\~DF1AE6.tmp 05.04.2006 14:29 32.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\dvd4free.dll 30.03.2006 16:04 16.86 KB Hidden from Windows API.
C:\WINDOWS\system32\dvdkernl.sys 30.03.2006 16:04 6.61 KB Hidden from Windows API.
Seitenanfang Seitenende
05.04.2006, 15:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6

Zitat

1.
Lade die haxfix.exe http://users.telenet.be/marcvn/tools/haxfix.exe runter.
Speichere sie auf deinem Desktop.

Schliesse alle anderen Programme und schliesse alle offenen Fensterchen.

Mach einen Doppelklick auf die haxfix.exe um die Installation zu starten. (normalerweise verwendet man den Ordner C:\Programme\haxfix)

Wenn die Installation beendet ist, sorge dafür, dass ein Häkchen bei "Launch HaxFix" gesetzt ist.

Nun öffnet sich ein rotes Dos Fensterchen.

Wenn der Bericht kommt (er kommt zweimal):
Insert the haxdoor notify subkey without the numbers, and then press enter:

tippst du folgendes ein:

dvd4free

Drücke auf Enter.

Nun wird der Rechner gescannt, ob bestimmte Dienste installiert sind, die für diese Infektion ausschlaggebend sind. Wenn nichts gefunden wird, bekommst du die Meldung: No infection found. Dann hört das Programm auf zu laufen.

Werden aber doch Dienste gefunden, auch wenn es nur ein einziger ist, wirst du gebeten alle Fensterchen zu schliessen, denn der Rechner wird nun neu aufstarten. Schliesse also alle geöffneten Fensterchen, ausser dem roten Dos Fensterchen vom Haxfix. Das muss auf bleiben. Drücke dann wieder auf enter. Der Rechner wird nun wieder neu aufstarten.

Wenn der Rechner wieder hochgefahren ist, suchst du die Datei c:\haxfix.txt Diese Datei ist das Logfile vom HaxFix und gibt an, was gefunden und gelöscht worden ist, in Bezug auf diese Infektion. -> hier posten, bitte
2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

c:\WINDOWS\wjl.exe
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temp\~DF1AE6.tmp
C:\WINDOWS\system32\dvd4free.dll
C:\WINDOWS\system32\dvdkernl.sys
C:\WINDOWS\system32\tickcnt.bin
C:\WINDOWS\System\svchost.exe
C:\WINDOWS\System\svchost.dll
c:\WINDOWS\system\winlogon.dll
c:\WINDOWS\system\winlogon.exe

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s
O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

--------

Start -- Ausführen -- regedit (reinschreiben)

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dvdkernl]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl]

PC neustarten


dann scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2006, 16:23
tak
Member

Themenstarter

Beiträge: 38
#7 1.
HAXFIX logfile - by Marckie
--------------
05.04.2006 15:57:26,53

Manual Haxdoorfix

Adding haxdoorkeys to delete...


2.
killbox: ich konnte außer der ersten und der fünften dateien keine andere von denen finden

3.
Seitenanfang Seitenende
05.04.2006, 16:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 winlogon-> Info
http://virus-protect.org/artikel/spyware/winlogonexe.html

1.
Start -- Ausführen -- regedit (reinschreiben)

bearbeiten - suchen - DVDKERNL

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dvdkernl]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl]

PC neustarten

2.
dann scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2006, 16:32
tak
Member

Themenstarter

Beiträge: 38
#9 wenn ich dvdkernl reinschreibe, dann findet er nichts...
Seitenanfang Seitenende
05.04.2006, 22:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

dvdkernl

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2006, 13:03
tak
Member

Themenstarter

Beiträge: 38
#11 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 07.04.2006 13:00:53 for strings:
; 'dvdkernl'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL\0000]
"Service"="dvdkernl"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL\0000\Control]
"ActiveService"="dvdkernl"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl]
; Contents of value:
; \??\C:\WINDOWS\system32\dvdkernl.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,76,64,6b,65,72,6e,6c,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl\Enum]
"0"="Root\\LEGACY_DVDKERNL\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DVDKERNL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DVDKERNL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DVDKERNL\0000]
"Service"="dvdkernl"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DVDKERNL\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dvdkernl]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dvdkernl]
; Contents of value:
; \??\C:\WINDOWS\system32\dvdkernl.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,76,64,6b,65,72,6e,6c,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dvdkernl\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL\0000]
"Service"="dvdkernl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL\0000\Control]
"ActiveService"="dvdkernl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl]
; Contents of value:
; \??\C:\WINDOWS\system32\dvdkernl.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,76,64,6b,65,72,6e,6c,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl\Enum]
"0"="Root\\LEGACY_DVDKERNL\\0000"

; End Of The Log...



fogendes problem: hab noch n trjanisches pferd gefunden, und zwar Win32:Haxdoor-BJ [Trj]
Seitenanfang Seitenende
07.04.2006, 13:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 dvdkernl.sys
http://virus-protect.org/artikel/spyware/winlogonexe.html

Zitat

fogendes problem: hab noch n trjanisches pferd gefunden, und zwar Win32:Haxdoor-BJ [Trj]
Mein werter tak ;)
Wir machen nichts anderes, als den Haxdoor zu loeschen.
Allerdings fuehrst du nicht aus, was ich anweise.
alle dvdkernl muessen in der Registry geloescht werden !!
+
alles, was ich fuer die Killbox angegeben hatte.

dann scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2006, 16:03
tak
Member

Themenstarter

Beiträge: 38
#13 ich versuche die anweisungen auszuführen, aber die dateien die ich mit killbox löschen soll, finde ich im verzeichnis nicht und wie soll ich alle dvdkernl löschen? tut mir leid ich versteh nich so viel von computern...
Seitenanfang Seitenende
07.04.2006, 16:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14
Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

Start - Ausfuehren - regedit (reinschreiben)

oben links: bearbeiten ..> suchen --> reinkopieren (reinschreiben) dvdkernl

rechtsklick auf den Schluessel und --> loeschen

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DVDKERNL
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dvdkernl
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl

Killbox
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

reinkopieren: .... (von hier aus)

c:\WINDOWS\wjl.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein

C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temp\~DF1AE6.tmp

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein

C:\WINDOWS\system32\dvd4free.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein

C:\WINDOWS\system32\dvdkernl.sys

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein

C:\WINDOWS\system32\tickcnt.bin
C:\WINDOWS\System\svchost.exe
C:\WINDOWS\System\svchost.dll
c:\WINDOWS\system\winlogon.dll
c:\WINDOWS\system\winlogon.exe

wenn gefragt wird, ob "Do you want to reboot? "---- erst beim letzten auf "yes"

PC neustarten

mit kapersky scannen und den scanreport hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2006, 18:38
tak
Member

Themenstarter

Beiträge: 38
#15 ja soweit hatte ich das jawohl verstanden, das problem ist nur das die dateien wenn ich sie in die killbox tun will nicht finden kann, so wie sie dort angegeben sind. Und wenn ich unter Start und dann ind das Ausführen dvdkernl eingebe, sagt der computer mir, dass es nicht gefunden werde konnte!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12