hijackthis log, bitte um auswertung |
||
---|---|---|
#0
| ||
06.05.2006, 17:44
Member
Beiträge: 12 |
||
|
||
07.05.2006, 10:47
Ehrenmitglied
Beiträge: 29434 |
#2
ugashaka
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK! "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" Zitat Win32 Kernel Update (Win32Kernel)---------------------------- Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K. Zitat sc delete Win32 Kernel Update-------------------------- 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Win32 Kernel Update in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.05.2006, 11:06
Member
Themenstarter Beiträge: 12 |
#3
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 20AF-0040 Verzeichnis von C:\WINDOWS\system32 07.05.2006 10:47 335 vsconfig.xml 07.05.2006 10:46 50.183 nvapps.xml 07.05.2006 10:46 6.410.508 kspydoc.log 07.05.2006 10:46 0 Sweeper.cfg 06.05.2006 15:58 0 TFTP1616 06.05.2006 15:58 0 TFTP632 30.04.2006 13:29 2.206 wpa.dbl 09.04.2006 14:30 98.304 CmdLineExt.dll 26.03.2006 09:46 312.184 perfh009.dat 26.03.2006 09:46 40.380 perfc009.dat 26.03.2006 09:46 48.684 perfc007.dat 26.03.2006 09:46 317.602 perfh007.dat 26.03.2006 09:46 725.498 PerfStringBackup.INI 16.03.2006 14:42 1.206 zhp1020.log 09.03.2006 17:59 180.224 nvudisp.exe 09.03.2006 17:59 180.224 NVUNINST.EXE 09.03.2006 15:29 1.662.976 nvwdmcpl.dll 09.03.2006 15:29 1.019.904 nvwimg.dll 09.03.2006 15:29 3.968.512 nv4_disp.dll 09.03.2006 15:29 98.304 nvapi.dll 09.03.2006 15:29 442.368 nvappbar.exe Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 20AF-0040 Verzeichnis von C:\DOKUME~1\DOMINI~1.UGA\LOKALE~1\Temp 07.05.2006 10:48 512 ~DF742D.tmp 07.05.2006 10:48 16.384 ~DF6FB4.tmp 07.05.2006 10:46 512 ~DF250D.tmp 07.05.2006 10:46 16.384 ~DF2482.tmp 07.05.2006 10:46 16.384 Perflib_Perfdata_790.dat 5 Datei(en) 50.176 Bytes 0 Verzeichnis(se), 12.298.149.888 Bytes frei Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 20AF-0040 Verzeichnis von C:\WINDOWS 07.05.2006 10:47 0 0.log 07.05.2006 10:46 1.127.488 WindowsUpdate.log 07.05.2006 10:46 2.048 bootstat.dat 06.05.2006 16:48 256 system.ini 06.05.2006 16:48 706 win.ini 06.05.2006 13:49 34.384 win32host.exe 17.04.2006 17:38 69 winamp.ini 12.04.2006 22:02 78.815 War3Unin.dat 01.04.2006 23:41 23 BlendSettings.ini Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 20AF-0040 Verzeichnis von C:\ 07.05.2006 11:04 0 sys.txt 07.05.2006 11:04 4.285 system.txt 07.05.2006 11:04 502 systemtemp.txt 07.05.2006 11:02 98.963 system32.txt 07.05.2006 10:46 1.610.612.736 pagefile.sys 06.05.2006 18:58 6 AVPCallback.log 06.05.2006 16:48 330 boot.ini 23.04.2006 14:44 35.986 EyeCandyLog.txt 09.04.2006 15:16 458 memory.txt 14.03.2006 15:06 216 DebugTrace-RockallDLL.log regsearch REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 07.05.2006 11:05:29 for strings: ; 'win32 kernel update' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32KERNEL\0000] "DeviceDesc"="Win32 Kernel Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32Kernel] "DisplayName"="Win32 Kernel Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32KERNEL\0000] "DeviceDesc"="Win32 Kernel Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32Kernel] "DisplayName"="Win32 Kernel Update" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32KERNEL\0000] "DeviceDesc"="Win32 Kernel Update" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32Kernel] "DisplayName"="Win32 Kernel Update" ; End Of The Log... vielen dank schon im voraus |
|
|
||
07.05.2006, 12:45
Ehrenmitglied
Beiträge: 29434 |
#4
ugashaka
Name Troj/Hiddl-A Type * Trojan Affected operating systems * Windows Side effects * Downloads code from the internet Aliases * Exploit-JavaPrxy http://www.sophos.de/virusinfo/analyses/trojhiddlc.html http://www.sophos.com/virusinfo/analyses/trojhiddla.html --------------------------------------------------------------------------- Start -- Ausführen -- regedit (reinschreiben) bearbeiten - suchen - Win32 Kernel Update Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. Zitat [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32KERNEL\0000]KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ......... Zitat C:\WINDOWS\system32\kspydoc.logPC neustarten öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blankPC neustarten ** Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k ** Sophos aktuellste Virendefinitionsdateien 1.) IDEs für SAV Version Mai 2006 ... Aktuelle Web-Version Aktuelle CD und Web-Version Download Zip Download Exe 121 http://www.sophos.de/downloads/ide/ 2.) http://www.sophos.de/tools/sav32sfx.exe 3.) gehe in C:\ 4.) klicke SAV32CLI + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.05.2006, 00:05
Member
Themenstarter Beiträge: 12 |
#5
hey sabina
ich schau gerdae dem sav32sfx.exe programm beim arbeiten zu und der findet da eine menge in der system volume information, lauter dateien namens A0723523.exe oder so ähnlich löscht das programm die auch? oder findet die sie nur...wenn ja wie krieg ichs weg? Logfile of HijackThis v1.99.1 Scan saved at 00:05:06, on 08.05.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\programme\powerstrip\pstrip.exe C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\PROGRA~2\ICQ\ICQ.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\iPod\bin\iPodService.exe D:\Programme + Treiber\Anti Viren Programme\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~2\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O4 - Global Startup: Alcatel Speedtouch Connection.lnk = C:\Programme\Alcatel\SpeedTouch USB\stdialup.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O10 - Broken Internet access because of LSP provider 'xfire_lsp_7651.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{7CB85A7E-9AE7-4762-BBBF-C4937B53B530}: NameServer = 192.168.1.4 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
08.05.2006, 00:17
Ehrenmitglied
Beiträge: 29434 |
#6
**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) ** dann scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Scan saved at 17:41:33, on 06.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\programme\powerstrip\pstrip.exe
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Changer XP\ChangerXP.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\win32host.exe
D:\Programme\ICQ\Icq.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
D:\Programme + Treiber\Anti Viren Programme\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~2\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~2\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~2\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Alcatel Speedtouch Connection.lnk = C:\Programme\Alcatel\SpeedTouch USB\stdialup.exe
O4 - Global Startup: Changer XP.lnk = C:\Programme\Changer XP\ChangerXP.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~2\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~2\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~2\ICQ\ICQ.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_7651.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CB85A7E-9AE7-4762-BBBF-C4937B53B530}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0130CE7-A5F4-4757-94EE-C726723E4692}: NameServer = 85.255.114.42 85.255.112.154
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe
**