worm/alcra b.+ Bagle-Variante mit Rootkit-Funktion ->m_hook.sys |
||
---|---|---|
#0
| ||
01.05.2006, 21:29
...neu hier
Beiträge: 10 |
||
|
||
01.05.2006, 22:10
Ehrenmitglied
Beiträge: 29434 |
#2
djstevon
du hast dir ueber die p2p-Programme einen Haxdoor eingefangen und wirst im Prinzip formatieren muessen... aber ich schau mal nach.... du musst aber alles korrekt abarbeiten, was ich schreibe 1. Text in den Texteditor kopieren abspeichern (Gebe bei Dateityp 'Alle Dateien' an) als service.bat doppeltklicken Zitat @ECHO OFF Start - Ausfuehren - regedit bearbeiten - suchen - POWERMANAGER Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen Zitat [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000]3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm _id=400135&utm_content=leftnav&utm_source=&utm_medium=&utm_campaign= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com R3 - URLSearchHook: (no name) - <default> - (no file) O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - (no file) O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file) O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) PC neustarten 4. Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop --> abkopieren und hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2006, 19:10
...neu hier
Themenstarter Beiträge: 10 |
#3
hallo sabina 2
ich finde den reg eintrag "powermanger" nicht gibt es da noch was anderes? hatte mich verschrieben habe die schlüssel datei gefunden beginne nun mit dem löschen. so nun die log datei 05/02/06 19:33:38 [Info]: BlackLight Engine 1.0.36 initialized 05/02/06 19:33:38 [Info]: OS: 5.1 build 2600 (Service Pack 2) 05/02/06 19:33:38 [Note]: 7019 4 05/02/06 19:33:38 [Note]: 7005 0 05/02/06 19:33:59 [Note]: 7006 0 05/02/06 19:33:59 [Note]: 7011 1284 05/02/06 19:33:59 [Note]: 7026 0 05/02/06 19:33:59 [Note]: 7026 0 05/02/06 19:34:04 [Note]: FSRAW library version 1.7.1015 05/02/06 19:34:04 [Info]: Hidden file: c:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\HIDIRES\HIDR.EXE 05/02/06 19:34:04 [Note]: 10002 2 05/02/06 19:34:04 [Info]: Hidden file: c:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\HIDIRES\M_HOOK.SYS 05/02/06 19:34:04 [Note]: 10002 2 05/02/06 19:34:04 [Note]: 10002 2 05/02/06 19:34:05 [Note]: 10002 2 05/02/06 19:34:17 [Note]: 2000 1006 05/02/06 19:34:17 [Note]: 2000 1006 05/02/06 19:34:17 [Note]: 2000 1006 05/02/06 19:34:17 [Note]: 2000 1006 05/02/06 19:34:17 [Note]: 2000 1006 so das müsste die sein ich danke fschnmal für die hilfe und hoffe das nun der virus weg ist mfg simon 05/02/06 19:34:49 [Note]: 7007 0 Dieser Beitrag wurde am 02.05.2006 um 19:36 Uhr von djstevon editiert.
|
|
|
||
02.05.2006, 23:41
Ehrenmitglied
Beiträge: 29434 |
#4
Zitat TR/Bagle.FUehe es ans loeschen geht, brauche ich noch mehr Infos: 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) M_HOOK in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. "Enter search strings" (reinschreiben oder reinkopieren) HIDR.EXE in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. Enter search strings" (reinschreiben oder reinkopieren) Power Manager in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.05.2006, 12:40
...neu hier
Themenstarter Beiträge: 10 |
#5
hallo noch mal hier sind meine daten
das sind die daten von der datfind.bat Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 0D2C-13DD Verzeichnis von C:\WINDOWS\system32 02.05.2006 19:01 402.328 FNTCACHE.DAT 01.05.2006 22:12 5.698 edlm.exe 01.05.2006 22:12 213 edlm2.exe 01.05.2006 19:56 5.263 ban_list.txt 01.05.2006 15:21 3.002 config.nt 01.05.2006 15:01 62.464 bszip.dll 26.04.2006 19:27 1.158 wpa.dbl 24.04.2006 13:47 45.941 QuickTime.qtp 14.04.2006 12:46 9 msade40.dll 25.03.2006 00:46 2.323.072 TUKernel.exe 12.03.2006 18:21 131.072 SpoonUninstall.exe 02.03.2006 23:38 8.464 sporder.dll 01.03.2006 12:35 23.392 nscompat.tlb 01.03.2006 12:35 16.832 amcompat.tlb 05.02.2006 10:07 314.117 web.dat und das sind die daten vom registry search REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 03.05.2006 12:35:57 for strings: ; 'm_hook' ; 'hidr.exe' ; 'power manager' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drvsyskit] "command"="C:\\Dokumente und Einstellungen\\DJ Stevon\\Anwendungsdaten\\hidires\\hidr.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000] "Service"="m_hook" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK\0000\Control] "ActiveService"="m_hook" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook] ; Contents of value: ; \??\C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,44,6f,6b,75,6d,65,6e,74,65,20,75,6e,64,\ 20,45,69,6e,73,74,65,6c,6c,75,6e,67,65,6e,5c,44,4a,20,53,74,65,76,6f,6e,5c,\ 41,6e,77,65,6e,64,75,6e,67,73,64,61,74,65,6e,5c,68,69,64,69,72,65,73,5c,6d,\ 5f,68,6f,6f,6b,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook\Enum] "0"="Root\\LEGACY_M_HOOK\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager] "DisplayName"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook] ; Contents of value: ; \??\C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,44,6f,6b,75,6d,65,6e,74,65,20,75,6e,64,\ 20,45,69,6e,73,74,65,6c,6c,75,6e,67,65,6e,5c,44,4a,20,53,74,65,76,6f,6e,5c,\ 41,6e,77,65,6e,64,75,6e,67,73,64,61,74,65,6e,5c,68,69,64,69,72,65,73,5c,6d,\ 5f,68,6f,6f,6b,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\PowerManager] "DisplayName"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000] "Service"="m_hook" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000\Control] "ActiveService"="m_hook" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook] ; Contents of value: ; \??\C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,44,6f,6b,75,6d,65,6e,74,65,20,75,6e,64,\ 20,45,69,6e,73,74,65,6c,6c,75,6e,67,65,6e,5c,44,4a,20,53,74,65,76,6f,6e,5c,\ 41,6e,77,65,6e,64,75,6e,67,73,64,61,74,65,6e,5c,68,69,64,69,72,65,73,5c,6d,\ 5f,68,6f,6f,6b,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook\Enum] "0"="Root\\LEGACY_M_HOOK\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager] "DisplayName"="Power Manager" [HKEY_USERS\S-1-5-21-4149515596-924522415-1554406387-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Dokumente und Einstellungen\\DJ Stevon\\Anwendungsdaten\\hidires\\hidr.exe"="hidr" ; End Of The Log... |
|
|
||
03.05.2006, 12:49
Ehrenmitglied
Beiträge: 29434 |
#6
fehlt:
1. Enter search strings" (reinschreiben oder reinkopieren) Power Manager in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. 2. die datfindbat hat 4 Logs, nicht nur eins...ich will alle sehen 1.Log Verzeichnis von C:\WINDOWS\system32 2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 3.Log Verzeichnis von C:\WINDOWS 4.Log Verzeichnis von C:\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.05.2006, 17:55
...neu hier
Themenstarter Beiträge: 10 |
#7
also dann nochmal hier die system 32
Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 0D2C-13DD Verzeichnis von C:\WINDOWS\system32 02.05.2006 19:01 402.328 FNTCACHE.DAT 01.05.2006 22:12 5.698 edlm.exe 01.05.2006 22:12 213 edlm2.exe 01.05.2006 19:56 5.263 ban_list.txt 01.05.2006 15:21 3.002 config.nt 01.05.2006 15:01 62.464 bszip.dll 26.04.2006 19:27 1.158 wpa.dbl 24.04.2006 13:47 45.941 QuickTime.qtp 14.04.2006 12:46 9 msade40.dll 25.03.2006 00:46 2.323.072 TUKernel.exe 12.03.2006 18:21 131.072 SpoonUninstall.exe 02.03.2006 23:38 8.464 sporder.dll 01.03.2006 12:35 23.392 nscompat.tlb 01.03.2006 12:35 16.832 amcompat.tlb 05.02.2006 10:07 314.117 web.dat hier die systemtemp Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 0D2C-13DD Verzeichnis von C:\DOKUME~1\DJSTEV~1\LOKALE~1\Temp 03.05.2006 17:48 16.384 Perflib_Perfdata_34c.dat 02.05.2006 19:30 16.384 ~DF2331.tmp 02.05.2006 19:12 206 jusched.log 01.05.2006 22:12 194.581 7D5498.dmp 01.05.2006 22:12 18.038 557a_appcompat.txt 5 Datei(en) 245.593 Bytes 0 Verzeichnis(se), 6.749.683.712 Bytes frei hier system Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 0D2C-13DD Verzeichnis von C:\WINDOWS 03.05.2006 17:29 3.828 ModemLog_Agere Systems AC'97 Modem.txt 03.05.2006 17:29 0 0.log 03.05.2006 17:29 2.048 bootstat.dat 03.05.2006 12:43 12 bthservsdp.dat 03.05.2006 12:43 32.630 SchedLgU.Txt 03.05.2006 12:43 317.335 WindowsUpdate.log 02.05.2006 20:21 202 NeroDigital.ini 01.05.2006 16:28 192 winamp.ini 01.05.2006 15:30 816 win.ini 01.05.2006 15:30 270 system.ini 01.05.2006 15:20 2.410.212 setupapi.log 01.05.2006 12:12 1.409 QTFont.for 01.05.2006 12:12 54.156 QTFont.qfn 28.04.2006 12:22 4.454 ModemLog_Motorola USB Modem.txt 27.04.2006 18:42 483 GEARInstall.log 19.04.2006 19:40 222.516 setupact.log 17.04.2006 10:13 97 ComponentList.xml 16.04.2006 14:27 216 wiadebug.log 16.04.2006 14:27 50 wiaservc.log 13.04.2006 19:37 603 ULEAD32.INI 12.04.2006 12:13 3.870 ModemLog_Motorola USB Modem #4.txt 27.03.2006 17:27 120.308 wmsetup.log 25.03.2006 01:02 5.652 msgsocm.log 25.03.2006 01:02 1.917 imsins.log 25.03.2006 01:02 5.885 ocmsn.log 25.03.2006 01:02 86.027 ocgen.log 25.03.2006 01:02 106.942 FaxSetup.log 25.03.2006 01:02 10.300 iis6.log 25.03.2006 01:02 42.322 comsetup.log 25.03.2006 01:02 29.011 ntdtcsetup.log 25.03.2006 01:02 50.046 tsoc.log 21.03.2006 12:45 2.655 cdplayer.ini 18.03.2006 17:18 1.917 imsins.BAK 11.03.2006 12:56 331 BeatBox.INI 11.03.2006 12:45 0 musicmaker.INI 03.03.2006 20:37 290.816 Setup1.exe 03.03.2006 20:37 1.713 ST6UNST.000 03.03.2006 20:36 74.752 ST6UNST.EXE 02.03.2006 23:39 98 ncc1.txt 02.03.2006 23:39 98 acc1.txt 01.03.2006 16:06 458 wmsetup10.log 01.03.2006 12:34 316.640 WMSysPr9.prx 01.03.2006 11:38 3.640 s3setup.log 01.03.2006 11:10 3.541 s3iscfg.log 01.03.2006 11:09 285 UChromeP.uns 23.02.2006 10:49 20 TemplateWizard.INI 31.01.2006 20:30 29 coolacm.ini und die sys Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 0D2C-13DD Verzeichnis von C:\ 03.05.2006 17:51 0 sys.txt 03.05.2006 17:50 8.135 system.txt 03.05.2006 17:49 504 systemtemp.txt 03.05.2006 17:36 110.958 system32.txt 03.05.2006 17:28 703.045.632 pagefile.sys 01.05.2006 15:30 366 boot.ini 01.05.2006 14:32 6 ISACER.ID 30.04.2006 22:35 39.312 ASPI.LOG 15.04.2006 11:09 25 ent.xx1 15.04.2006 11:09 6 ent.xxx 09.04.2006 22:32 1.115 list 26.12.2005 11:33 95.263 resolve.log und der power manager REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 03.05.2006 17:53:30 for strings: ; 'power manager' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager] "DisplayName"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\PowerManager] "DisplayName"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager] "DisplayName"="Power Manager" ; End Of The Log... |
|
|
||
03.05.2006, 20:59
Ehrenmitglied
Beiträge: 29434 |
#8
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400135&u tm_content=leftnav&utm_source=&utm_medium=&utm_campaign= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com R3 - URLSearchHook: (no name) - <default> - (no file) O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - (no file) O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file) O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: Prime95 Service - Unknown owner - C:\Progs\Prime95\prime95.exe (file missing) Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken ** boote wieder in den Normalmodus ** Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C:\ -> bitte posten ** Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ** scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.05.2006, 21:59
...neu hier
Themenstarter Beiträge: 10 |
#9
der avenger report
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\aosinrdx ******************* Script file located at: \??\C:\WINDOWS\dgddypww.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\hidires\m_hook.sys deleted successfully. File c:\Dokumente und Einstellungen\DJ Stevon\Anwendungsdaten\HIDIRES\HIDR.EXE deleted successfully. File C:\WINDOWS\system32\edlm.exe deleted successfully. File C:\WINDOWS\system32\edlm2.exe deleted successfully. File C:\WINDOWS\system32\ban_list.txt deleted successfully. File C:\WINDOWS\system32\config.nt deleted successfully. File C:\WINDOWS\system32\bszip.dll deleted successfully. File C:\WINDOWS\system32\msade40.dll deleted successfully. File C:\WINDOWS\SYSTEM32\ldr64.dll not found! Deletion of file C:\WINDOWS\SYSTEM32\ldr64.dll failed! Could not process line: C:\WINDOWS\SYSTEM32\ldr64.dll Status: 0xc0000034 File C:\ent.xx1 deleted successfully. File C:\ent.xxx deleted successfully. File C:\list deleted successfully. Completed script processing. ******************* Finished! Terminate. kann das sein das ich das virus programm Kaspersky mit opera nicht öffnen kann? ich hab es mit dem internet explorer gemacht der zeigt mir immer nen fehler an das ich die sicherheits stufe auf "medium" stellen soll aber der steht schon auf medium habe mir dann was runter geladen ich poste das mal Product Info You have Kaspersky On-line Scanner version 5.0.78.0 installed. The current anti-virus database was released on Wednesday, May 03, 2006 and contains 179895 records. Initialize Kaspersky On-line Scanner (downloading and installing Kaspersky On-line Scanner ActiveX from the server into your computer) Update Kaspersky Anti-Virus Databases [100%]: (downloading and installing the latest Kaspersky Anti-Virus Databases) Please wait to update the virus definitions... Downloading from url: http://eu3h.kaspersky-labs.com Downloading remote file: master.xml Downloading remote file: soft.xml Downloading remote file: kavset.xml Downloading remote file: updcfg.xml Downloading remote file: avcmhk4.dll Downloading remote file: avp.klb Downloading remote file: avp.set Downloading remote file: avp.vnd Downloading remote file: avp_ext.set Downloading remote file: avp_x.set Downloading remote file: base001.avc Downloading remote file: base002.avc Downloading remote file: base003.avc Downloading remote file: base004.avc Downloading remote file: base005.avc Downloading remote file: base006.avc Downloading remote file: base007.avc Downloading remote file: base008.avc Downloading remote file: base009.avc Downloading remote file: base010.avc Downloading remote file: base011.avc Downloading remote file: base055.avc Downloading remote file: base056.avc Downloading remote file: base057.avc Downloading remote file: base058.avc Downloading remote file: base059.avc Downloading remote file: base060.avc Downloading remote file: base061.avc Downloading remote file: base062.avc Downloading remote file: base063.avc Downloading remote file: base064.avc Downloading remote file: base065.avc Downloading remote file: base066.avc Downloading remote file: base067.avc Downloading remote file: base068.avc Downloading remote file: base069.avc Downloading remote file: base070.avc Downloading remote file: base071.avc Downloading remote file: base072.avc Downloading remote file: base073.avc Downloading remote file: base074.avc Downloading remote file: base075.avc Downloading remote file: base076.avc Downloading remote file: base077.avc Downloading remote file: base078.avc Downloading remote file: base079.avc Downloading remote file: base080.avc Downloading remote file: base081.avc Downloading remote file: base082.avc Downloading remote file: base083.avc Downloading remote file: base084.avc Downloading remote file: base085.avc Downloading remote file: base086.avc Downloading remote file: base087.avc Downloading remote file: base088.avc Downloading remote file: base089.avc Downloading remote file: base090.avc Downloading remote file: base091.avc Downloading remote file: base092.avc Downloading remote file: base093.avc Downloading remote file: base094.avc Downloading remote file: base095.avc Downloading remote file: base096.avc Downloading remote file: base097.avc Downloading remote file: base999.avc Downloading remote file: black.lst Downloading remote file: ca.avc Downloading remote file: daily.avc Downloading remote file: daily-ex.avc Downloading remote file: eicar.avc Downloading remote file: engine.cfg Downloading remote file: engine.dt Downloading remote file: ext001.avc Downloading remote file: ext002.avc Downloading remote file: ext003.avc Downloading remote file: ext004.avc Downloading remote file: ext005.avc Downloading remote file: ext006.avc Downloading remote file: ext999.avc Downloading remote file: fa.avc Downloading remote file: gen001.avc Downloading remote file: gen002.avc Downloading remote file: gen003.avc Downloading remote file: gen004.avc Downloading remote file: gen999.avc Downloading remote file: kernel.avc Downloading remote file: krn001.avc Downloading remote file: krn002.avc Downloading remote file: krn003.avc Downloading remote file: krndos.avc Downloading remote file: krnengn.avc Downloading remote file: krnexe.avc Downloading remote file: krnexe32.avc Downloading remote file: krnjava.avc Downloading remote file: krnmacro.avc Downloading remote file: krnunp.avc Downloading remote file: mail.avc Downloading remote file: ocr.avc Downloading remote file: smart.avc Downloading remote file: troj001.avc Downloading remote file: troj003.avc Downloading remote file: troj005.avc Downloading remote file: troj007.avc Downloading remote file: troj009.avc Downloading remote file: troj011.avc Downloading remote file: troj012.avc Downloading remote file: troj013.avc Downloading remote file: troj014.avc Downloading remote file: troj015.avc Downloading remote file: troj016.avc Downloading remote file: unp000.avc Downloading remote file: unp001.avc Downloading remote file: unp002.avc Downloading remote file: unp003.avc Downloading remote file: unp004.avc Downloading remote file: unp005.avc Downloading remote file: unp006.avc Downloading remote file: unp007.avc Downloading remote file: unp008.avc Downloading remote file: unp009.avc Downloading remote file: unp010.avc Downloading remote file: unp011.avc Downloading remote file: unp012.avc Downloading remote file: unp013.avc Downloading remote file: unp014.avc Downloading remote file: unp015.avc Downloading remote file: unp016.avc Downloading remote file: unp017.avc Downloading remote file: unp018.avc Downloading remote file: unp019.avc Downloading remote file: unp020.avc Downloading remote file: unp021.avc Downloading remote file: unp022.avc Downloading remote file: unp023.avc Downloading remote file: unp024.avc Downloading remote file: unp025.avc Downloading remote file: unp026.avc Downloading remote file: unp027.avc Downloading remote file: unp028.avc Downloading remote file: unp029.avc Downloading remote file: unp030.avc Downloading remote file: unp031.avc Downloading remote file: unp032.avc Downloading remote file: unp033.avc Downloading remote file: verdicts.ini Downloading remote file: virus004.avc Downloading remote file: virus005.avc Downloading remote file: virus006.avc Downloading remote file: virus007.avc Downloading remote file: virus008.avc Downloading remote file: virus009.avc Downloading remote file: virus010.avc Downloading remote file: virus011.avc Downloading remote file: virus012.avc Downloading remote file: virus013.avc Downloading remote file: virus014.avc Downloading remote file: virus015.avc Downloading remote file: virus016.avc Downloading remote file: virus017.avc Downloading remote file: virus018.avc Downloading remote file: virus019.avc Downloading remote file: virus020.avc Update finished. Ready to scan. Next Please select a target to scan: You can configure the scanning process by pressing "Scan Settings" button. Critical Areas scan critical areas of your hard disks specified in %windir% and %tmp% system variables My Computer scan all your hard and mapped disks My Email scan all your hard and mapped disks only for the following extensions: *.PST; *.MSG; *.OST; *.MDB; *.DBX; *.EML; *.MBS Folders... scan selected folders A File... scan a one file Warning: The Kaspersky On-line Scanner may not run successfully while any other Anti-Virus software is running. If you have Anti-Virus software installed, please disable your AV protection before running the Kaspersky On-line Scanner. The scan is complete. No malware has been detected. The sections that have been scanned are CLEAN. Report is empty. Please note: The free Kaspersky On-line Scanner does not provide comprehensive protection and cannot prevent future infections. It only detects malware that has already penetrated your storage devices. We strongly recommend that you use a fully-functional antivirus solution to protect your computer at all times. Please wait, this process may take a long time depending on the selected target. If you want to continue browsing, open a new window. Scan Progress [7%]: Total number of scanned files: 11889 Number of viruses found: 0 Number of infected objects: 0 Number of suspicious objects: 0 Duration of the scan process: 00:05:32 kannst du was damit anfangen ?? reicht dir das??? |
|
|
||
03.05.2006, 22:34
Ehrenmitglied
Beiträge: 29434 |
#10
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html + registry search ..noch mal die Daten scannen, um zu sehen, ob die reg-Datei erfolgreich war. Zitat in edit und klicke "Ok". __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.05.2006, 17:04
...neu hier
Themenstarter Beiträge: 10 |
#11
---------------------------------------------------------
ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 17:00:14, 04.05.2006 + Report-Checksumme: 8EE88E61 + Scanergebnis: C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert mit Backup C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\avenger\backup.zip/avenger/m_hook.sys -> Proxy.Mitglieder.ea : Gesäubert mit Backup C:\avenger\backup.zip/avenger/HIDR.EXE -> Proxy.Mitglieder.ea : Gesäubert mit Backup C:\avenger\avenger\m_hook.sys -> Proxy.Mitglieder.ea : Fehler beim Säubern C:\avenger\avenger\HIDR.EXE -> Proxy.Mitglieder.ea : Fehler beim Säubern ::Report Ende REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 04.05.2006 17:03:34 for strings: ; 'm_hook' ; 'hidr.exe' ; 'power manager' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000] "DeviceDesc"="Power Manager" [HKEY_USERS\S-1-5-21-4149515596-924522415-1554406387-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Dokumente und Einstellungen\\DJ Stevon\\Anwendungsdaten\\hidires\\hidr.exe"="hidr" ; End Of The Log... |
|
|
||
04.05.2006, 18:28
Ehrenmitglied
Beiträge: 29434 |
#12
loesche:
C:\avenger\backup.zip C:\avenger\avenger ------------------------ Start -- Ausführen -- regedit (reinschreiben) bearbeiten - suchen - M_HOOK Power Manager POWERMANAGER Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000] PC neustarten dann scanne noch mal mit ewido und berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.05.2006, 17:55
...neu hier
Themenstarter Beiträge: 10 |
#13
---------------------------------------------------------
ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 17:54:40, 05.05.2006 + Report-Checksumme: 577FB4E3 + Scanergebnis: Keine infizierten Objekte gefunden. ::Report Ende und nun ist der virus weg?? |
|
|
||
05.05.2006, 18:21
Ehrenmitglied
Beiträge: 29434 |
#14
nun, es muesste wieder alles in Ordnung sein...dennoch scanne mit bitdefender- ScanOnline neu
und Norton-Symantec (Deutsch) Symantec Online-Antivirenscanner - poste die scanreporte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.05.2006, 19:12
...neu hier
Themenstarter Beiträge: 10 |
#15
sch..... ich hatte den neuatart vergessen
hier der andere report da sind noch Virenstatus: Sicher! Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Virenstatus: Infiziert! Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert. Virenstatus: 67188 Dateien geprüft 0 infizierte Datei(en) auf Ihren Laufwerken. Es wurden keine Viren im Arbeitsspeicher gefunden. Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security™ durch. --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 19:12:14, 05.05.2006 + Report-Checksumme: 8F349469 + Scanergebnis: C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@stat.onestat[2].txt -> TrackingCookie.Onestat : Gesäubert mit Backup C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\DJ Stevon\Cookies\dj stevon@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup ::Report Ende |
|
|
||
ich habe ein problem mit windows xp (home edditon) (service pack 2)
nun zu meinen problem ich wollte heute morgen emule oder limewire oder opera oder icq starten sobald ich es gestartet habe kam nach kurzer zeit ne text mitteilung von windows (dieser übliche mit programm senden oder nicht senden)dann habe ich erst bei googel die deaktivirung für diese mitteilung gesucht und diese ausgeführt seitdem fliege ich nach ca. 1 minute aus allen programmen raus. dan habe ich mit antivir nen wiren scan gemacht und hat 4 viren mit dem namen worm/alcra b. gefunden darunter eine mit dem namem a.zip die ich so nicht löschen konnte. ich habe mir auch das programm zu erstellung dieser log datei runter gezogen. hier ist meine log datei bitte im hilfe wenn der therad hier falsch ist bitte ich um änderung DANKE im vorraus
Logfile of HijackThis v1.99.1
Scan saved at 21:16:55, on 01.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\DJ Stevon\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400135&u
tm_content=leftnav&utm_source=&utm_medium=&utm_campaign=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R3 - URLSearchHook: (no name) - <default> - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AS00_Gear511] C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.enschede.nl:48250/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59C49FCB-1FC9-4849-9305-4182034288C8}: NameServer = 217.237.151.225
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - E:\CpuCool\CooLSrv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Prime95 Service - Unknown owner - C:\Progs\Prime95\prime95.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe