Home » Viren, Trojaner & Malware Forum » Trojaner in system32\1024 !! !! Lassen sich nicht löschen !! » Themenansicht
Trojaner in system32\1024 !! !! Lassen sich nicht löschen !! |
||
|---|---|---|
| #0
| ||
|
01.07.2006, 23:32
Member
Beiträge: 77 |
||
 
|
|
|
|
02.07.2006, 11:30
Ehrenmitglied
 Beiträge: 29434 |
#2
mit smitfraud.fix bekommst du das sauber
http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.07.2006, 17:28
Member
Themenstarter Beiträge: 77 |
#3
Habe es jetzt mal gemacht !!
Ich hab mal irgendwas gehört, das man die Registry Bereinigen soll oder so ?!? Soll man sowas machen ?! Wenn ja, mit welchen Prog ?! Vg, Sattei ...bin mal neugierig obs geklappt hat !! SmitFraudFix v2.65 Scan done at 17:21:25,06, 02.07.2006 Run from C:\Dokumente und Einstellungen\Sattei\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems" [HKEY_CLASSES_ROOT\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32] @="C:\WINDOWS\system32\guxxa.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32] @="C:\WINDOWS\system32\guxxa.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\system32\guxxa.dll -> Missing File »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\ld????.tmp Deleted C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\regperf.exe Deleted C:\WINDOWS\system32\stdole3.tlb Deleted C:\WINDOWS\system32\ts.ico Deleted C:\WINDOWS\system32\1024\ Deleted C:\DOKUME~1\Sattei\FAVORI~1\Antivirus Test Online.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning not selected. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems" [HKEY_CLASSES_ROOT\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32] @="C:\WINDOWS\system32\guxxa.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32] @="C:\WINDOWS\system32\guxxa.dll" »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
|
|
|
|
02.07.2006, 17:36
Ehrenmitglied
Beiträge: 29434 |
#4
smitfraud.fix beinhaltet eine Funktion zum Reinigen der Registry.
Hast du es so angewendet ? es muesste wieder alles o.k. sein  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.07.2006, 17:42
Member
Themenstarter Beiträge: 77 |
#5
da ist irgendwas mit registry dagestanden, hab mich aber nicht getraut auf ja zu drücken !!
muss ich da jetzt wieder in den abgesicherten modus gehen ? 2 drücken und dann bei dem registry satz auf ja drücken ?! was genau bringt mir das registry reinigen ??ß und wie seht ihr aus den logs, welche lösung hilft usw.?? sattei,,, |
|
|
|
|
|
|
03.07.2006, 12:11
Ehrenmitglied
Beiträge: 29434 |
#6
in der Anleitung von smitfraud.fix war ausdruecklich geschrieben, dass auch die Registry gereinigt werden muss. wieso nicht "trauen" ??
scanne also bitte noch mal und lasse die registry reinigen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich hab hier mal einige Dateinamen aufgeschrieben :
ldE46E.tmp/[upack]
ldF8B1.tmp/[upack]
ld493C.tmp/[upack]
usw.
Ich hab eine Reinigung mit Clean Up gemacht...es waren auch auf einmal 10GB frei
Wäre euch sehr dankbar wenn ihr mir helfen würdet !!
Logfile of HijackThis v1.99.1
Scan saved at 20:19:06, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Sattei\LOKALE~1\Temp\Rar$EX00.906\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3B7AF3F-DFBB-4CA2-8B16-781DAE1CC583} (Weed Media Activator component) - https://www.shmedlic.com/V3/Consumer/ActivatorComponent/SML.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
_________________________________________________________________________
Hier die 4 Datfind Logs :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2
Verzeichnis von C:\WINDOWS\system32
01.07.2006 23:00 66.060 ld101.tmp
01.07.2006 22:29 4.864 stdole3.tlb
01.07.2006 22:22 66.060 ld100.tmp
30.06.2006 23:45 4.286 ot.ico
30.06.2006 23:45 4.286 ts.ico
30.06.2006 23:33 2.206 wpa.dbl
30.06.2006 22:57 77.836 regperf.exe
24.06.2006 12:57 15.360 BASSMOD.dll
17.06.2006 10:49 204.120 FNTCACHE.DAT
15.06.2006 20:33 399.856 perfh009.dat
15.06.2006 20:33 61.114 perfc009.dat
15.06.2006 20:33 410.916 perfh007.dat
15.06.2006 20:33 72.192 perfc007.dat
________________________________________________________________________
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2
Verzeichnis von C:\DOKUME~1\Sattei\LOKALE~1\Temp
01.07.2006 23:13 16.384 ~DFB5F5.tmp
01.07.2006 23:13 512 ~DFA715.tmp
01.07.2006 23:13 512 ~DFA1DD.tmp
01.07.2006 23:10 206 jusched.log
01.07.2006 23:02 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}29105.html
01.07.2006 23:01 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11188.html
01.07.2006 23:01 16.384 ~DFFA15.tmp
01.07.2006 23:01 16.384 ~DFF33C.tmp
01.07.2006 23:01 512 ~DFF348.tmp
01.07.2006 23:00 478 LVCOMSX.LOG
01.07.2006 22:30 49.152 ~DFEA6.tmp
01.07.2006 22:23 16.384 ~DF221A.tmp
01.07.2006 22:23 16.384 ~DF7347.tmp
13 Datei(en) 135.253 Bytes
0 Verzeichnis(se), 30.822.244.352 Bytes frei
________________________________________________________________________
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2
Verzeichnis von C:\WINDOWS
01.07.2006 23:13 116 NeroDigital.ini
01.07.2006 22:59 1.343.426 WindowsUpdate.log
01.07.2006 22:23 0 0.log
01.07.2006 22:23 159 wiadebug.log
01.07.2006 22:23 4.448 ModemLog_Conexant D110 MDC V.9x Modem.txt
01.07.2006 22:23 50 wiaservc.log
01.07.2006 22:22 2.048 bootstat.dat
01.07.2006 22:21 32.612 SchedLgU.Txt
29.06.2006 22:20 4.683 KB914389.log
29.06.2006 22:00 1.409 QTFont.for
29.06.2006 22:00 54.156 QTFont.qfn
29.06.2006 06:48 97.573 setupapi.log
29.06.2006 06:35 3.992 KB911280.log
29.06.2006 06:35 3.894 KB918439.log
29.06.2006 06:35 4.166 KB917344.log
29.06.2006 06:35 3.696 KB917953.log
29.06.2006 06:35 8.876 KB916281.log
24.06.2006 21:58 32 go
23.06.2006 17:15 754 WORDPAD.INI
18.06.2006 17:38 2.312 wmsetup.log
17.06.2006 17:27 624 win.ini
17.06.2006 17:27 261 SYSTEM.INI
13.06.2006 17:20 151 PhotoSnapViewer.INI
24.05.2006 15:41 1.609 setupact.log
23.05.2006 21:35 649 CDPLAYER.INI
20.05.2006 17:24 6.485 mozver.dat
13.05.2006 17:28 512 goldwave.ini
13.05.2006 06:39 485.844 iis6.log
13.05.2006 06:39 1.374 imsins.log
13.05.2006 06:39 176.362 tsoc.log
13.05.2006 06:39 18.049 tabletoc.log
13.05.2006 06:39 131.501 comsetup.log
13.05.2006 06:39 80.464 ntdtcsetup.log
________________________________________________________________________
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2
Verzeichnis von C:\
01.07.2006 23:31 0 sys.txt
01.07.2006 23:30 12.648 system.txt
01.07.2006 23:29 978 systemtemp.txt
01.07.2006 23:17 120.677 system32.txt
01.07.2006 22:22 527.892.480 hiberfil.sys
01.07.2006 22:22 792.723.456 pagefile.sys
26.06.2006 16:40 59 wepkeys.txt
17.06.2006 17:27 311 boot.ini
05.06.2006 22:25 0 regdump.arm9.txt
13.10.2005 19:48 443 maxi.txt
06.09.2005 16:58 0 adorage-protocol.txt
17.06.2005 16:12 4.128 INFCACHE.1
14.06.2005 12:35 251.712 ntldr
14.06.2005 12:15 4.547 dell.sdr
13.08.2004 13:54 0 IO.SYS
13.08.2004 13:54 0 MSDOS.SYS
13.08.2004 13:54 0 CONFIG.SYS
13.08.2004 13:54 0 AUTOEXEC.BAT
04.08.2004 15:00 47.564 NTDETECT.COM
04.08.2004 15:00 4.952 bootfont.bin
20 Datei(en) 1.321.063.955 Bytes
0 Verzeichnis(se), 30.820.122.624 Bytes frei
Ich hoffe diese Logs bringen euch weiter !
Vg, Sattei !!