worm/alcra b.+ Bagle-Variante mit Rootkit-Funktion ->m_hook.sys

#0
01.05.2006, 21:29
...neu hier

Beiträge: 10
#1 hallo bin neu hier! ich hoffe das ihr mir weiterhelfen könnt!?
ich habe ein problem mit windows xp (home edditon) (service pack 2)
nun zu meinen problem ich wollte heute morgen emule oder limewire oder opera oder icq starten sobald ich es gestartet habe kam nach kurzer zeit ne text mitteilung von windows (dieser übliche mit programm senden oder nicht senden)dann habe ich erst bei googel die deaktivirung für diese mitteilung gesucht und diese ausgeführt seitdem fliege ich nach ca. 1 minute aus allen programmen raus. dan habe ich mit antivir nen wiren scan gemacht und hat 4 viren mit dem namen worm/alcra b. gefunden darunter eine mit dem namem a.zip die ich so nicht löschen konnte. ich habe mir auch das programm zu erstellung dieser log datei runter gezogen. hier ist meine log datei bitte im hilfe wenn der therad hier falsch ist bitte ich um änderung DANKE im vorraus


Logfile of HijackThis v1.99.1
Scan saved at 21:16:55, on 01.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\DJ Stevon\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400135&u
tm_content=leftnav&utm_source=&utm_medium=&utm_campaign=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R3 - URLSearchHook: (no name) - <default> - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AS00_Gear511] C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.enschede.nl:48250/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59C49FCB-1FC9-4849-9305-4182034288C8}: NameServer = 217.237.151.225
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - E:\CpuCool\CooLSrv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Prime95 Service - Unknown owner - C:\Progs\Prime95\prime95.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
01.05.2006, 22:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 djstevon

du hast dir ueber die p2p-Programme einen Haxdoor eingefangen und wirst im Prinzip formatieren muessen...
aber ich schau mal nach....
du musst aber alles korrekt abarbeiten, was ich schreibe

1.
Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp 'Alle Dateien' an) als service.bat
doppeltklicken

Zitat

@ECHO OFF
cd\WINDOWS\svchost.exe
sc config Power Manager start= disabled
sc stop Power Manager
sc delete Power Manager
attrib -s -r -h svchost.exe
del svchost.exe
exit

Start - Ausfuehren - regedit


bearbeiten - suchen - POWERMANAGER

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen

Zitat

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PowerManager]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager]
3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm
_id=400135&utm_content=leftnav&utm_source=&utm_medium=&utm_campaign=

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R3 - URLSearchHook: (no name) - <default> - (no file)

O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - (no file)
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

PC neustarten

4.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> abkopieren und hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 19:10
...neu hier

Themenstarter

Beiträge: 10
#3 hallo sabina 2
ich finde den reg eintrag "powermanger" nicht gibt es da noch was anderes?

hatte mich verschrieben habe die schlüssel datei gefunden beginne nun mit dem löschen.


so nun die log datei

05/02/06 19:33:38 [Info]: BlackLight Engine 1.0.36 initialized
05/02/06 19:33:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/02/06 19:33:38 [Note]: 7019 4
05/02/06 19:33:38 [Note]: 7005 0
05/02/06 19:33:59 [Note]: 7006 0
05/02/06 19:33:59 [Note]: 7011 1284
05/02/06 19:33:59 [Note]: 7026 0
05/02/06 19:33:59 [Note]: 7026 0
05/02/06 19:34:04 [Note]: FSRAW library version 1.7.1015
05/02/06 19:34:04 [Info]: Hidden file: c:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\HIDIRES\HIDR.EXE
05/02/06 19:34:04 [Note]: 10002 2
05/02/06 19:34:04 [Info]: Hidden file: c:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\HIDIRES\M_HOOK.SYS
05/02/06 19:34:04 [Note]: 10002 2
05/02/06 19:34:04 [Note]: 10002 2
05/02/06 19:34:05 [Note]: 10002 2
05/02/06 19:34:17 [Note]: 2000 1006
05/02/06 19:34:17 [Note]: 2000 1006
05/02/06 19:34:17 [Note]: 2000 1006
05/02/06 19:34:17 [Note]: 2000 1006
05/02/06 19:34:17 [Note]: 2000 1006

so das müsste die sein ich danke fschnmal für die hilfe und hoffe das nun der virus weg ist
mfg simon
05/02/06 19:34:49 [Note]: 7007 0
Dieser Beitrag wurde am 02.05.2006 um 19:36 Uhr von djstevon editiert.
Seitenanfang Seitenende
02.05.2006, 23:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4

Zitat

TR/Bagle.FU
http://www.avira.com/de/threats/section/fulldetails/id_vir/1852/tr_bagle.fu.html
Wird der Mail-Anhang ausgeführt, lädt er weitere Komponenten aus dem Internet. Daraufhin wird eine Kopie des Schädlings mit dem Dateinamen "hidr.exe" sowie ein Rootkit-Treiber mit dem Dateinamen "m_hook.sys" im Verzeichnis "Application Data\hidires" im Profil des angemeldeten Benutzers abgelegt. Der Wurm erstellt Registry-Einträge über die die Komponenten beim Start von Windows geladen werden:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"drvsyskit" = "Documents and Settings\%UserName%\Application Data\hidires\hidr.exe"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook"ImagePath" = "Documents and Settings\%UserName%\Application Data\hidires\m_hook.sys"
ehe es ans loeschen geht, brauche ich noch mehr Infos:


1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

M_HOOK

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

"Enter search strings" (reinschreiben oder reinkopieren)

HIDR.EXE

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

Enter search strings" (reinschreiben oder reinkopieren)

Power Manager


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.05.2006, 12:40
...neu hier

Themenstarter

Beiträge: 10
#5 hallo noch mal hier sind meine daten

das sind die daten von der datfind.bat


Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\system32

02.05.2006 19:01 402.328 FNTCACHE.DAT
01.05.2006 22:12 5.698 edlm.exe
01.05.2006 22:12 213 edlm2.exe
01.05.2006 19:56 5.263 ban_list.txt
01.05.2006 15:21 3.002 config.nt
01.05.2006 15:01 62.464 bszip.dll

26.04.2006 19:27 1.158 wpa.dbl
24.04.2006 13:47 45.941 QuickTime.qtp
14.04.2006 12:46 9 msade40.dll
25.03.2006 00:46 2.323.072 TUKernel.exe
12.03.2006 18:21 131.072 SpoonUninstall.exe
02.03.2006 23:38 8.464 sporder.dll
01.03.2006 12:35 23.392 nscompat.tlb
01.03.2006 12:35 16.832 amcompat.tlb
05.02.2006 10:07 314.117 web.dat


und das sind die daten vom registry search

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 03.05.2006 12:35:57 for strings:
; 'm_hook'
; 'hidr.exe'
; 'power manager'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drvsyskit]
"command"="C:\\Dokumente und Einstellungen\\DJ Stevon\\Anwendungsdaten\\hidires\\hidr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000]
"Service"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000\Control]
"ActiveService"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook]
; Contents of value:
; \??\C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,44,6f,6b,75,6d,65,6e,74,65,20,75,6e,64,\
20,45,69,6e,73,74,65,6c,6c,75,6e,67,65,6e,5c,44,4a,20,53,74,65,76,6f,6e,5c,\
41,6e,77,65,6e,64,75,6e,67,73,64,61,74,65,6e,5c,68,69,64,69,72,65,73,5c,6d,\
5f,68,6f,6f,6b,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook\Enum]
"0"="Root\\LEGACY_M_HOOK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager]
"DisplayName"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook]
; Contents of value:
; \??\C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,44,6f,6b,75,6d,65,6e,74,65,20,75,6e,64,\
20,45,69,6e,73,74,65,6c,6c,75,6e,67,65,6e,5c,44,4a,20,53,74,65,76,6f,6e,5c,\
41,6e,77,65,6e,64,75,6e,67,73,64,61,74,65,6e,5c,68,69,64,69,72,65,73,5c,6d,\
5f,68,6f,6f,6b,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\PowerManager]
"DisplayName"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000]
"Service"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000\Control]
"ActiveService"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]
; Contents of value:
; \??\C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,44,6f,6b,75,6d,65,6e,74,65,20,75,6e,64,\
20,45,69,6e,73,74,65,6c,6c,75,6e,67,65,6e,5c,44,4a,20,53,74,65,76,6f,6e,5c,\
41,6e,77,65,6e,64,75,6e,67,73,64,61,74,65,6e,5c,68,69,64,69,72,65,73,5c,6d,\
5f,68,6f,6f,6b,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook\Enum]
"0"="Root\\LEGACY_M_HOOK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager]
"DisplayName"="Power Manager"

[HKEY_USERS\S-1-5-21-4149515596-924522415-1554406387-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\DJ Stevon\\Anwendungsdaten\\hidires\\hidr.exe"="hidr"

; End Of The Log...
Seitenanfang Seitenende
03.05.2006, 12:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 fehlt:

1.
Enter search strings" (reinschreiben oder reinkopieren)

Power Manager

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

2.
die datfindbat hat 4 Logs, nicht nur eins...ich will alle sehen ;)

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.05.2006, 17:55
...neu hier

Themenstarter

Beiträge: 10
#7 also dann nochmal hier die system 32

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\system32

02.05.2006 19:01 402.328 FNTCACHE.DAT
01.05.2006 22:12 5.698 edlm.exe
01.05.2006 22:12 213 edlm2.exe
01.05.2006 19:56 5.263 ban_list.txt
01.05.2006 15:21 3.002 config.nt
01.05.2006 15:01 62.464 bszip.dll
26.04.2006 19:27 1.158 wpa.dbl
24.04.2006 13:47 45.941 QuickTime.qtp
14.04.2006 12:46 9 msade40.dll
25.03.2006 00:46 2.323.072 TUKernel.exe
12.03.2006 18:21 131.072 SpoonUninstall.exe
02.03.2006 23:38 8.464 sporder.dll
01.03.2006 12:35 23.392 nscompat.tlb
01.03.2006 12:35 16.832 amcompat.tlb
05.02.2006 10:07 314.117 web.dat


hier die systemtemp

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\DOKUME~1\DJSTEV~1\LOKALE~1\Temp

03.05.2006 17:48 16.384 Perflib_Perfdata_34c.dat
02.05.2006 19:30 16.384 ~DF2331.tmp
02.05.2006 19:12 206 jusched.log
01.05.2006 22:12 194.581 7D5498.dmp
01.05.2006 22:12 18.038 557a_appcompat.txt
5 Datei(en) 245.593 Bytes
0 Verzeichnis(se), 6.749.683.712 Bytes frei


hier system



Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS

03.05.2006 17:29 3.828 ModemLog_Agere Systems AC'97 Modem.txt
03.05.2006 17:29 0 0.log
03.05.2006 17:29 2.048 bootstat.dat
03.05.2006 12:43 12 bthservsdp.dat
03.05.2006 12:43 32.630 SchedLgU.Txt
03.05.2006 12:43 317.335 WindowsUpdate.log
02.05.2006 20:21 202 NeroDigital.ini
01.05.2006 16:28 192 winamp.ini
01.05.2006 15:30 816 win.ini
01.05.2006 15:30 270 system.ini
01.05.2006 15:20 2.410.212 setupapi.log
01.05.2006 12:12 1.409 QTFont.for
01.05.2006 12:12 54.156 QTFont.qfn
28.04.2006 12:22 4.454 ModemLog_Motorola USB Modem.txt
27.04.2006 18:42 483 GEARInstall.log
19.04.2006 19:40 222.516 setupact.log
17.04.2006 10:13 97 ComponentList.xml
16.04.2006 14:27 216 wiadebug.log
16.04.2006 14:27 50 wiaservc.log
13.04.2006 19:37 603 ULEAD32.INI
12.04.2006 12:13 3.870 ModemLog_Motorola USB Modem #4.txt
27.03.2006 17:27 120.308 wmsetup.log
25.03.2006 01:02 5.652 msgsocm.log
25.03.2006 01:02 1.917 imsins.log
25.03.2006 01:02 5.885 ocmsn.log
25.03.2006 01:02 86.027 ocgen.log
25.03.2006 01:02 106.942 FaxSetup.log
25.03.2006 01:02 10.300 iis6.log
25.03.2006 01:02 42.322 comsetup.log
25.03.2006 01:02 29.011 ntdtcsetup.log
25.03.2006 01:02 50.046 tsoc.log
21.03.2006 12:45 2.655 cdplayer.ini
18.03.2006 17:18 1.917 imsins.BAK
11.03.2006 12:56 331 BeatBox.INI
11.03.2006 12:45 0 musicmaker.INI
03.03.2006 20:37 290.816 Setup1.exe
03.03.2006 20:37 1.713 ST6UNST.000
03.03.2006 20:36 74.752 ST6UNST.EXE
02.03.2006 23:39 98 ncc1.txt
02.03.2006 23:39 98 acc1.txt
01.03.2006 16:06 458 wmsetup10.log
01.03.2006 12:34 316.640 WMSysPr9.prx
01.03.2006 11:38 3.640 s3setup.log
01.03.2006 11:10 3.541 s3iscfg.log
01.03.2006 11:09 285 UChromeP.uns
23.02.2006 10:49 20 TemplateWizard.INI
31.01.2006 20:30 29 coolacm.ini


und die sys

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\

03.05.2006 17:51 0 sys.txt
03.05.2006 17:50 8.135 system.txt
03.05.2006 17:49 504 systemtemp.txt
03.05.2006 17:36 110.958 system32.txt
03.05.2006 17:28 703.045.632 pagefile.sys
01.05.2006 15:30 366 boot.ini
01.05.2006 14:32 6 ISACER.ID
30.04.2006 22:35 39.312 ASPI.LOG
15.04.2006 11:09 25 ent.xx1
15.04.2006 11:09 6 ent.xxx
09.04.2006 22:32 1.115 list
26.12.2005 11:33 95.263 resolve.log



und der power manager

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 03.05.2006 17:53:30 for strings:
; 'power manager'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager]
"DisplayName"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\PowerManager]
"DisplayName"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager]
"DisplayName"="Power Manager"

; End Of The Log...
Seitenanfang Seitenende
03.05.2006, 20:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\PowerManager]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drvsyskit]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000\Control]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys
C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\hidr.exe
C:\WINDOWS\system32\edlm.exe
C:\WINDOWS\system32\edlm2.exe
C:\WINDOWS\system32\ban_list.txt
C:\WINDOWS\system32\config.nt
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\msade40.dll
C:\WINDOWS\SYSTEM32\ldr64.dll
C:\ent.xx1
C:\ent.xxx
C:\list
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400135&u
tm_content=leftnav&utm_source=&utm_medium=&utm_campaign=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R3 - URLSearchHook: (no name) - <default> - (no file)
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - (no file)
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Prime95 Service - Unknown owner - C:\Progs\Prime95\prime95.exe (file missing)

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken

**
boote wieder in den Normalmodus

**
Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C:\ -> bitte posten

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.05.2006, 21:59
...neu hier

Themenstarter

Beiträge: 10
#9 der avenger report


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\aosinrdx

*******************

Script file located at: \??\C:\WINDOWS\dgddypww.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys deleted successfully.
File c:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\HIDIRES\HIDR.EXE deleted successfully.
File C:\WINDOWS\system32\edlm.exe deleted successfully.
File C:\WINDOWS\system32\edlm2.exe deleted successfully.
File C:\WINDOWS\system32\ban_list.txt deleted successfully.
File C:\WINDOWS\system32\config.nt deleted successfully.
File C:\WINDOWS\system32\bszip.dll deleted successfully.
File C:\WINDOWS\system32\msade40.dll deleted successfully.


File C:\WINDOWS\SYSTEM32\ldr64.dll not found!
Deletion of file C:\WINDOWS\SYSTEM32\ldr64.dll failed!

Could not process line:
C:\WINDOWS\SYSTEM32\ldr64.dll
Status: 0xc0000034

File C:\ent.xx1 deleted successfully.
File C:\ent.xxx deleted successfully.
File C:\list deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

kann das sein das ich das virus programm Kaspersky mit opera nicht öffnen kann? ich hab es mit dem internet explorer gemacht der zeigt mir immer nen fehler an das ich die sicherheits stufe auf "medium" stellen soll aber der steht schon auf medium habe mir dann was runter geladen ich poste das mal

Product Info
You have Kaspersky On-line Scanner version 5.0.78.0 installed. The current anti-virus database was released on Wednesday, May 03, 2006 and contains 179895 records.




Initialize Kaspersky On-line Scanner
(downloading and installing Kaspersky On-line Scanner ActiveX from the server into your computer)




Update Kaspersky Anti-Virus Databases [100%]:
(downloading and installing the latest Kaspersky Anti-Virus Databases)




Please wait to update the virus definitions...
Downloading from url: http://eu3h.kaspersky-labs.com
Downloading remote file: master.xml
Downloading remote file: soft.xml
Downloading remote file: kavset.xml
Downloading remote file: updcfg.xml
Downloading remote file: avcmhk4.dll
Downloading remote file: avp.klb
Downloading remote file: avp.set
Downloading remote file: avp.vnd
Downloading remote file: avp_ext.set
Downloading remote file: avp_x.set
Downloading remote file: base001.avc
Downloading remote file: base002.avc
Downloading remote file: base003.avc
Downloading remote file: base004.avc
Downloading remote file: base005.avc
Downloading remote file: base006.avc
Downloading remote file: base007.avc
Downloading remote file: base008.avc
Downloading remote file: base009.avc
Downloading remote file: base010.avc
Downloading remote file: base011.avc
Downloading remote file: base055.avc
Downloading remote file: base056.avc
Downloading remote file: base057.avc
Downloading remote file: base058.avc
Downloading remote file: base059.avc
Downloading remote file: base060.avc
Downloading remote file: base061.avc
Downloading remote file: base062.avc
Downloading remote file: base063.avc
Downloading remote file: base064.avc
Downloading remote file: base065.avc
Downloading remote file: base066.avc
Downloading remote file: base067.avc
Downloading remote file: base068.avc
Downloading remote file: base069.avc
Downloading remote file: base070.avc
Downloading remote file: base071.avc
Downloading remote file: base072.avc
Downloading remote file: base073.avc
Downloading remote file: base074.avc
Downloading remote file: base075.avc
Downloading remote file: base076.avc
Downloading remote file: base077.avc
Downloading remote file: base078.avc
Downloading remote file: base079.avc
Downloading remote file: base080.avc
Downloading remote file: base081.avc
Downloading remote file: base082.avc
Downloading remote file: base083.avc
Downloading remote file: base084.avc
Downloading remote file: base085.avc
Downloading remote file: base086.avc
Downloading remote file: base087.avc
Downloading remote file: base088.avc
Downloading remote file: base089.avc
Downloading remote file: base090.avc
Downloading remote file: base091.avc
Downloading remote file: base092.avc
Downloading remote file: base093.avc
Downloading remote file: base094.avc
Downloading remote file: base095.avc
Downloading remote file: base096.avc
Downloading remote file: base097.avc
Downloading remote file: base999.avc
Downloading remote file: black.lst
Downloading remote file: ca.avc
Downloading remote file: daily.avc
Downloading remote file: daily-ex.avc
Downloading remote file: eicar.avc
Downloading remote file: engine.cfg
Downloading remote file: engine.dt
Downloading remote file: ext001.avc
Downloading remote file: ext002.avc
Downloading remote file: ext003.avc
Downloading remote file: ext004.avc
Downloading remote file: ext005.avc
Downloading remote file: ext006.avc
Downloading remote file: ext999.avc
Downloading remote file: fa.avc
Downloading remote file: gen001.avc
Downloading remote file: gen002.avc
Downloading remote file: gen003.avc
Downloading remote file: gen004.avc
Downloading remote file: gen999.avc
Downloading remote file: kernel.avc
Downloading remote file: krn001.avc
Downloading remote file: krn002.avc
Downloading remote file: krn003.avc
Downloading remote file: krndos.avc
Downloading remote file: krnengn.avc
Downloading remote file: krnexe.avc
Downloading remote file: krnexe32.avc
Downloading remote file: krnjava.avc
Downloading remote file: krnmacro.avc
Downloading remote file: krnunp.avc
Downloading remote file: mail.avc
Downloading remote file: ocr.avc
Downloading remote file: smart.avc
Downloading remote file: troj001.avc
Downloading remote file: troj003.avc
Downloading remote file: troj005.avc
Downloading remote file: troj007.avc
Downloading remote file: troj009.avc
Downloading remote file: troj011.avc
Downloading remote file: troj012.avc
Downloading remote file: troj013.avc
Downloading remote file: troj014.avc
Downloading remote file: troj015.avc
Downloading remote file: troj016.avc
Downloading remote file: unp000.avc
Downloading remote file: unp001.avc
Downloading remote file: unp002.avc
Downloading remote file: unp003.avc
Downloading remote file: unp004.avc
Downloading remote file: unp005.avc
Downloading remote file: unp006.avc
Downloading remote file: unp007.avc
Downloading remote file: unp008.avc
Downloading remote file: unp009.avc
Downloading remote file: unp010.avc
Downloading remote file: unp011.avc
Downloading remote file: unp012.avc
Downloading remote file: unp013.avc
Downloading remote file: unp014.avc
Downloading remote file: unp015.avc
Downloading remote file: unp016.avc
Downloading remote file: unp017.avc
Downloading remote file: unp018.avc
Downloading remote file: unp019.avc
Downloading remote file: unp020.avc
Downloading remote file: unp021.avc
Downloading remote file: unp022.avc
Downloading remote file: unp023.avc
Downloading remote file: unp024.avc
Downloading remote file: unp025.avc
Downloading remote file: unp026.avc
Downloading remote file: unp027.avc
Downloading remote file: unp028.avc
Downloading remote file: unp029.avc
Downloading remote file: unp030.avc
Downloading remote file: unp031.avc
Downloading remote file: unp032.avc
Downloading remote file: unp033.avc
Downloading remote file: verdicts.ini
Downloading remote file: virus004.avc
Downloading remote file: virus005.avc
Downloading remote file: virus006.avc
Downloading remote file: virus007.avc
Downloading remote file: virus008.avc
Downloading remote file: virus009.avc
Downloading remote file: virus010.avc
Downloading remote file: virus011.avc
Downloading remote file: virus012.avc
Downloading remote file: virus013.avc
Downloading remote file: virus014.avc
Downloading remote file: virus015.avc
Downloading remote file: virus016.avc
Downloading remote file: virus017.avc
Downloading remote file: virus018.avc
Downloading remote file: virus019.avc
Downloading remote file: virus020.avc
Update finished. Ready to scan.
Next
Please select a target to scan:
You can configure the scanning process by pressing "Scan Settings" button.



Critical Areas
scan critical areas of your hard disks
specified in %windir% and %tmp% system variables
My Computer
scan all your hard and mapped disks
My Email
scan all your hard and mapped disks only for the following extensions: *.PST; *.MSG; *.OST; *.MDB; *.DBX; *.EML; *.MBS
Folders...
scan selected folders
A File...
scan a one file





Warning: The Kaspersky On-line Scanner may not run successfully while any other Anti-Virus software is running. If you have Anti-Virus software installed, please disable your AV protection before running the Kaspersky On-line Scanner.
The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN.



Report is empty.
Please note: The free Kaspersky On-line Scanner does not provide comprehensive protection and cannot prevent future infections. It only detects malware that has already penetrated your storage devices. We strongly recommend that you use a fully-functional antivirus solution to protect your computer at all times.

Please wait, this process may take a long time depending on the selected target. If you want to continue browsing, open a new window.

Scan Progress [7%]:





Total number of scanned files: 11889
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 00:05:32




kannst du was damit anfangen ?? reicht dir das???
Seitenanfang Seitenende
03.05.2006, 22:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

+

registry search ..noch mal die Daten scannen, um zu sehen, ob die reg-Datei erfolgreich war.

Zitat

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

M_HOOK

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

"Enter search strings" (reinschreiben oder reinkopieren)

HIDR.EXE

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

Enter search strings" (reinschreiben oder reinkopieren)

Power Manager

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.05.2006, 17:04
...neu hier

Themenstarter

Beiträge: 10
#11 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:00:14, 04.05.2006
+ Report-Checksumme: 8EE88E61

+ Scanergebnis:

C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\avenger\backup.zip/avenger/m_hook.sys -> Proxy.Mitglieder.ea : Gesäubert mit Backup
C:\avenger\backup.zip/avenger/HIDR.EXE -> Proxy.Mitglieder.ea : Gesäubert mit Backup
C:\avenger\avenger\m_hook.sys -> Proxy.Mitglieder.ea : Fehler beim Säubern
C:\avenger\avenger\HIDR.EXE -> Proxy.Mitglieder.ea : Fehler beim Säubern


::Report Ende







REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 04.05.2006 17:03:34 for strings:
; 'm_hook'
; 'hidr.exe'
; 'power manager'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_USERS\S-1-5-21-4149515596-924522415-1554406387-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\DJ Stevon\\Anwendungsdaten\\hidires\\hidr.exe"="hidr"

; End Of The Log...
Seitenanfang Seitenende
04.05.2006, 18:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 loesche:

C:\avenger\backup.zip
C:\avenger\avenger

------------------------

Start -- Ausführen -- regedit (reinschreiben)

bearbeiten - suchen -

M_HOOK
Power Manager
POWERMANAGER

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]

PC neustarten

dann scanne noch mal mit ewido und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.05.2006, 17:55
...neu hier

Themenstarter

Beiträge: 10
#13 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:54:40, 05.05.2006
+ Report-Checksumme: 577FB4E3

+ Scanergebnis:

Keine infizierten Objekte gefunden.


::Report Ende

und nun ist der virus weg??
Seitenanfang Seitenende
05.05.2006, 18:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 nun, es muesste wieder alles in Ordnung sein...dennoch scanne mit bitdefender- ScanOnline neu
und
Norton-Symantec (Deutsch)
Symantec Online-Antivirenscanner - poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.05.2006, 19:12
...neu hier

Themenstarter

Beiträge: 10
#15 sch..... ich hatte den neuatart vergessen

hier der andere report
da sind noch



Virenstatus: Sicher!
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.
Virenstatus: Infiziert!
Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert. Virenstatus:



67188 Dateien geprüft 0 infizierte Datei(en) auf Ihren Laufwerken.


Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security™ durch.





---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:12:14, 05.05.2006
+ Report-Checksumme: 8F349469

+ Scanergebnis:

C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@stat.onestat[2].txt -> TrackingCookie.Onestat : Gesäubert mit Backup
C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende