Home » Spyware & Browser Hijacker Support Forum » Programme lassen sich einfach nicht starten !!! » Themenansicht
Programme lassen sich einfach nicht starten !!!Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
10.08.2006, 15:23
Member
Themenstarter Beiträge: 95 |
||
 
|
|
|
|
10.08.2006, 15:55
Ehrenmitglied
 Beiträge: 29434 |
#107
eins was sicher loescht (hatte ich dir wohl schon gepostet)
http://virus-protect.org/artikel/tools/pskill.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.08.2006, 16:09
Member
Themenstarter Beiträge: 95 |
#108
Was bedeutet denn "kompromitiert" ?
Wenn ich den rechner formatieren würde, sind die viren dann komplett weg ? Welche programme wären denn wichtig, damit mir sowas nicht wieder passiert ? >> Is nur schlecht dass ich nicht weiß was ich genau habe bzw. woher ich das habe ! Mein "kaspersky" ist ja schon ganz gut, firefox statt Iexplorer, dazu dann noch "Spybot - Search & Destroy" ... reicht das an programmen oder brauche ich dann noch etwas für eine gute sicherheit ??? __________ _____________ THX for Helping |
|
|
|
|
|
|
10.08.2006, 16:20
Member
Beiträge: 15 |
#109
1.
ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren Hi Sabrina, danke für die promte Antwort. habe entzippt und kloppeldick gemacht:"Der Zugriff auf Windows Script host wurde für diesen Computer deaktiviert. Wenden Sie sich an Ihren Admin., um weitere Details in Erfahrung zu bringen." Hää? cc __________ Beste Grüße CC |
|
|
|
|
|
|
10.08.2006, 17:54
Ehrenmitglied
Beiträge: 29434 |
#110
1.
du hast xpantispy installiert ? - aendere dort den Host 2. Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.08.2006, 18:30
Member
Beiträge: 15 |
#111
Ok, hat etwas gedauert, bis ein Binär-Anfänger sich im System durchwurschtelt, aber: et voila
 The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 1 Aug 10, 2006 18:23:38 ===> Begin Service Listing <=== Unknown Service # 7 Service Name: termserv.exe Display Name: Terminal Services NT Start Mode: Auto Start Name: LocalSystem Description: Terminal Services ... Service Type: Own Process Path: "c:\windows\services.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch __________ Beste Grüße CC |
|
|
|
|
|
|
10.08.2006, 21:43
Ehrenmitglied
Beiträge: 29434 |
#112
crankycouple
da ist ein Backdoor mit aktiviertem Dienst auf dem Rechner, um alles zu finden: 1. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) termserv.exe in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. gleiches mit : - services.exe Terminal Services NT 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. poste das log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.08.2006, 12:35
Member
Beiträge: 15 |
#113
Hi Sabrina,
ich habe versucht deinen Tips Folge zu leisten. REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 11.08.2006 11:47:10 for strings: ; 'termserv.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\termserv.exe] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\termserv.exe\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\termserv.exe] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\termserv.exe\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\termserv.exe] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\termserv.exe\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_TERMSERV.EXE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_TERMSERV.EXE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_TERMSERV.EXE\0000] "Service"="termserv.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\termserv.exe] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\termserv.exe\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\termserv.exe\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\termserv.exe\Enum] "0"="Root\\LEGACY_TERMSERV.EXE\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\termserv.exe] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\termserv.exe\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Enum\Root\LEGACY_TERMSERV.EXE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Enum\Root\LEGACY_TERMSERV.EXE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Enum\Root\LEGACY_TERMSERV.EXE\0000] "Service"="termserv.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\termserv.exe] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\termserv.exe\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TERMSERV.EXE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TERMSERV.EXE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TERMSERV.EXE\0000] "Service"="termserv.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe\Enum] "0"="Root\\LEGACY_TERMSERV.EXE\\0000" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 11.08.2006 11:54:17 for strings: ; 'services.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %WINDIR%\\services.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\TuneUp\Utilities\ProcessManager\Important Processes] "services.exe"="" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\termserv.exe] ; Contents of value: ; "c:\windows\services.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,65,72,76,69,63,65,73,\ 2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\termserv.exe] ; Contents of value: ; "c:\windows\services.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,65,72,76,69,63,65,73,\ 2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\termserv.exe] ; Contents of value: ; "c:\windows\services.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,65,72,76,69,63,65,73,\ 2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Eventlog] ; Contents of value: ; %systemroot%\system32\services.exe "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,65,72,76,69,63,65,73,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\PlugPlay] ; Contents of value: ; %systemroot%\system32\services.exe "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,65,72,76,69,63,65,73,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\termserv.exe] ; Contents of value: ; "c:\windows\services.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,65,72,76,69,63,65,73,\ 2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\termserv.exe] ; Contents of value: ; "c:\windows\services.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,65,72,76,69,63,65,73,\ 2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Eventlog] ; Contents of value: ; %systemroot%\system32\services.exe "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,65,72,76,69,63,65,73,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\PlugPlay] ; Contents of value: ; %systemroot%\system32\services.exe "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,65,72,76,69,63,65,73,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\termserv.exe] ; Contents of value: ; "c:\windows\services.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,65,72,76,69,63,65,73,\ 2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog] ; Contents of value: ; %systemroot%\system32\services.exe "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,65,72,76,69,63,65,73,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PlugPlay] ; Contents of value: ; %systemroot%\system32\services.exe "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,65,72,76,69,63,65,73,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe] ; Contents of value: ; "c:\windows\services.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,65,72,76,69,63,65,73,\ 2e,65,78,65,22,00 ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 11.08.2006 11:55:16 for strings: ; 'terminal services nt' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\termserv.exe] "DisplayName"="Terminal Services NT" "Description"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\termserv.exe] "DisplayName"="Terminal Services NT" "Description"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\termserv.exe] "DisplayName"="Terminal Services NT" "Description"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_TERMSERV.EXE\0000] "DeviceDesc"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\termserv.exe] "DisplayName"="Terminal Services NT" "Description"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\termserv.exe] "DisplayName"="Terminal Services NT" "Description"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Enum\Root\LEGACY_TERMSERV.EXE\0000] "DeviceDesc"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\termserv.exe] "DisplayName"="Terminal Services NT" "Description"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TERMSERV.EXE\0000] "DeviceDesc"="Terminal Services NT" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe] "DisplayName"="Terminal Services NT" "Description"="Terminal Services NT" ; End Of The Log... Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8044-CF53 Verzeichnis von C:\WINDOWS\system32 11.08.2006 11:35 54.112 vsconfig.xml 09.08.2006 19:11 2.206 wpa.dbl 09.08.2006 19:10 314.508 perfh009.dat 09.08.2006 19:10 40.836 perfc009.dat 09.08.2006 19:10 320.094 perfh007.dat 09.08.2006 19:10 49.174 perfc007.dat 09.08.2006 19:10 732.342 PerfStringBackup.INI 09.08.2006 19:07 193.776 FNTCACHE.DAT 09.08.2006 19:06 288 $winnt$.inf 09.08.2006 19:03 25.065 wmpscheme.xml 09.08.2006 19:03 16.832 amcompat.tlb 09.08.2006 19:03 23.392 nscompat.tlb 09.08.2006 19:02 488 logonui.exe.manifest 09.08.2006 19:02 488 WindowsLogon.manifest 09.08.2006 19:02 749 sapi.cpl.manifest 09.08.2006 19:02 749 cdplayer.exe.manifest 09.08.2006 19:02 749 nwc.cpl.manifest 09.08.2006 19:02 749 ncpa.cpl.manifest 09.08.2006 19:02 749 wuaucpl.cpl.manifest 09.08.2006 19:01 22.864 emptyregdb.dat 07.08.2006 12:00 253 spupdwxp.log 02.08.2006 20:02 6.919 jupdate-1.5.0_06-b05.log 31.07.2006 21:44 147.495 rmoc3260.dll 31.07.2006 21:44 5.632 pndx5032.dll 31.07.2006 21:44 6.656 pndx5016.dll 31.07.2006 21:44 278.528 pncrt.dll 30.07.2006 13:42 57.384 avsda.dll 30.07.2006 13:07 4.212 zllictbl.dat 30.07.2006 12:42 72 i 30.07.2006 12:26 0 TFTP3568 30.07.2006 12:13 0 eraseme_06176.exe 30.07.2006 12:10 0 h323log.txt 30.07.2006 12:06 0 TFTP4048 30.07.2006 11:46 0 TFTP4016 30.07.2006 11:23 0 TFTP652 30.07.2006 11:16 2.951 CONFIG.NT 09.07.2006 13:42 42.920 vsutil_loc0407.dll 09.07.2006 13:42 392.824 vsdatant.sys 09.07.2006 13:42 71.672 zlcommdb.dll 09.07.2006 13:42 83.960 zlcomm.dll 09.07.2006 13:42 59.384 vswmi.dll 09.07.2006 13:42 100.344 vsxml.dll 09.07.2006 13:42 71.672 vsregexp.dll 09.07.2006 13:42 440.312 vsutil.dll 09.07.2006 13:42 157.688 vsinit.dll 09.07.2006 13:42 268.280 vspubapi.dll 09.07.2006 13:42 104.440 vsmonapi.dll 09.07.2006 13:42 83.960 vsdata.dll 09.07.2006 13:41 796.584 libeay32_0.9.6l.dll 23.05.2006 18:42 8.704 relog_ap.dll 23.05.2006 17:42 200.704 snapapi.dll 17.05.2006 11:23 579.888 LegitCheckControl.dll 01.05.2006 21:24 81.920 ElbyCDIO.dll 03.04.2006 11:40 14.048 spmsg.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8044-CF53 Verzeichnis von C:\WINDOWS 11.08.2006 11:35 65 iTouch.ini 11.08.2006 11:35 50 wiaservc.log 11.08.2006 11:35 159 wiadebug.log 11.08.2006 11:34 0 0.log 11.08.2006 11:33 2.048 bootstat.dat 10.08.2006 20:29 15.010 SchedLgU.Txt 10.08.2006 12:41 20.450 SIFBPCALIB.DAT 10.08.2006 12:39 35.684 Windows Update.log 10.08.2006 12:39 613.523 setupapi.log 10.08.2006 10:38 116 NeroDigital.ini 09.08.2006 19:11 86.846 DirectX.log 09.08.2006 19:11 628.499 setuplog.txt 09.08.2006 19:07 64.266 comsetup.log 09.08.2006 19:07 221.271 iis6.log 09.08.2006 19:07 37.838 ntdtcsetup.log 09.08.2006 19:07 48.814 tsoc.log 09.08.2006 19:07 3.801 tabletoc.log 09.08.2006 19:07 4.326 imsins.log 09.08.2006 19:07 169.675 setupact.log 09.08.2006 19:03 299.552 WMSysPrx.prx 09.08.2006 19:03 2.186 OEWABLog.txt 09.08.2006 19:03 4.161 ODBCINST.INI 09.08.2006 19:02 749 WindowsShell.Manifest 09.08.2006 19:02 615 win.ini 09.08.2006 19:01 5.476 ocmsn.log 09.08.2006 19:01 66.041 ocgen.log 09.08.2006 19:01 4.417 msgsocm.log 09.08.2006 19:01 68.772 FaxSetup.log 09.08.2006 19:01 3.488 sessmgr.setup.log 09.08.2006 19:01 8.511 netfxocm.log 09.08.2006 19:00 590 DtcInstall.log 09.08.2006 19:00 44.830 msmqinst.log 09.08.2006 18:55 5.229 avmcoins.log 09.08.2006 18:43 220 setuperr.log 09.08.2006 18:43 4.004 regopt.log 09.08.2006 18:43 231 system.ini 09.08.2006 18:28 235.206 WindowsUpdate.log 09.08.2006 18:10 554.773 setupapi.old 07.08.2006 12:03 28.996 spupdsvc.log 07.08.2006 12:01 1.072 wmsetup.log 07.08.2006 12:01 316.640 WMSysPr9.prx 07.08.2006 12:01 4.635 imsins.BAK 07.08.2006 12:01 3.711 medctroc.Log 07.08.2006 10:19 456.766 svcpack.log 07.08.2006 10:13 200 cmsetacl.log 05.08.2006 14:47 149 wsdu.log 05.08.2006 14:47 11.575 WINNT32.LOG 05.08.2006 14:46 1.451 UPGRADE.TXT 05.08.2006 14:46 356 DHCPUPG.LOG 02.08.2006 19:49 177 kpcms.ini 31.07.2006 21:19 1.163 KB842773Uninst.log 31.07.2006 20:03 2.899 mozver.dat 31.07.2006 14:32 5.912 ModemLog_Bluetooth Modem.txt 31.07.2006 13:53 400 ODBC.INI 30.07.2006 16:46 139 msicpl.ini 30.07.2006 12:46 0 nsreg.dat 30.07.2006 12:30 5.415 WGA.log 30.07.2006 12:30 5.803 KB842773.log 30.07.2006 12:17 92 CMISETUP.INI 30.07.2006 12:17 26 CMCDPLAY.INI 30.07.2006 12:17 0 Wininit.ini 30.07.2006 12:16 2.133 Ascd_tmp.ini 30.07.2006 12:06 0 Sti_Trace.log 30.07.2006 11:19 8.192 REGLOCS.OLD 30.07.2006 11:16 0 control.ini 30.07.2006 11:13 37 vbaddin.ini 30.07.2006 11:13 36 vb.ini 17.11.2005 23:12 533.504 opuc.dll 04.08.2004 00:58 32.866 slrundll.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8044-CF53 Verzeichnis von C:\ 11.08.2006 12:14 0 sys.txt 11.08.2006 12:13 6.437 system.txt 11.08.2006 12:12 887 systemtemp.txt 11.08.2006 12:09 102.563 system32.txt 11.08.2006 11:33 805.306.368 pagefile.sys 10.08.2006 11:01 293 BcBtRmv.log 09.08.2006 19:00 211 boot.ini 30.07.2006 11:16 0 AUTOEXEC.BAT 30.07.2006 11:16 0 MSDOS.SYS 30.07.2006 11:16 0 IO.SYS 30.07.2006 11:16 0 CONFIG.SYS 29.08.2002 01:05 235.296 ntldr 28.08.2002 21:08 47.580 NTDETECT.COM 18.08.2001 21:00 4.952 bootfont.bin 14 Datei(en) 805.704.587 Bytes 0 Verzeichnis(se), 8.507.351.040 Bytes frei Nur mit COMBOFIX klappts nich. Und CleanUp hat keine neg. Meldungen von sich gegeben. Ich meine rot blinkende Warnungen o.ä. cc[/img] __________ Beste Grüße CC |
|
|
|
|
|
|
11.08.2006, 13:32
Ehrenmitglied
Beiträge: 29434 |
#114
crankycouple
die Verseuchung mit dem Backdoor war am 30.07.2006 - dein System kann man leicht angreifen, du hast keine Windowsupdates gemacht.  ---------------------------------------------------------------------- 1. gehe in die Registry Start - Ausfuehren - regedit klicke dich durch zu diesem Schlussel: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %WINDIR%\\services.exe"<--loesche nur, was ich rot gekennzeichnet habe ! --------------------------------------------------------------------- 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom Avenger, was nach neustart erscheint + noch mal die 4 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.08.2006, 14:17
Member
Beiträge: 15 |
#115
Na Hut ab, Sabrina!!!
Hier die logs: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ryfvaton ******************* Script file located at: \??\C:\WINDOWS\System32\lwogapqc.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\termserv.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\termserv.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\termserv.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\termserv.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\termserv.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\termserv.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termserv.exe Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_TERMSERV.EXE deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Enum\Root\LEGACY_TERMSERV.EXE deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TERMSERV.EXE not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TERMSERV.EXE failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TERMSERV.EXE Status: 0xc0000034 File C:\WINDOWS\services.exe not found! Deletion of file C:\WINDOWS\services.exe failed! Could not process line: C:\WINDOWS\services.exe Status: 0xc0000034 File C:\WINDOWS\system32\i deleted successfully. File C:\WINDOWS\system32\TFTP3568 deleted successfully. File C:\WINDOWS\system32\eraseme_06176.exe deleted successfully. File C:\WINDOWS\system32\h323log.txt deleted successfully. File C:\WINDOWS\system32\TFTP4048 deleted successfully. File C:\WINDOWS\system32\TFTP4016 deleted successfully. File C:\WINDOWS\system32\TFTP652 deleted successfully. Completed script processing. ******************* Finished! Terminate. Und das müsste Von Datfind sein: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8044-CF53 Verzeichnis von C:\WINDOWS\system32 13.08.2006 14:07 54.112 vsconfig.xml 13.08.2006 14:07 0 h323log.txt 12.08.2006 14:06 2.206 wpa.dbl 09.08.2006 19:10 40.836 perfc009.dat 09.08.2006 19:10 314.508 perfh009.dat 09.08.2006 19:10 320.094 perfh007.dat 09.08.2006 19:10 49.174 perfc007.dat 09.08.2006 19:10 732.342 PerfStringBackup.INI 09.08.2006 19:07 193.776 FNTCACHE.DAT 09.08.2006 19:06 288 $winnt$.inf 09.08.2006 19:03 25.065 wmpscheme.xml 09.08.2006 19:03 23.392 nscompat.tlb 09.08.2006 19:03 16.832 amcompat.tlb 09.08.2006 19:02 488 logonui.exe.manifest 09.08.2006 19:02 488 WindowsLogon.manifest 09.08.2006 19:02 749 cdplayer.exe.manifest 09.08.2006 19:02 749 nwc.cpl.manifest 09.08.2006 19:02 749 sapi.cpl.manifest 09.08.2006 19:02 749 wuaucpl.cpl.manifest 09.08.2006 19:02 749 ncpa.cpl.manifest 09.08.2006 19:01 22.864 emptyregdb.dat 07.08.2006 12:00 253 spupdwxp.log 02.08.2006 20:02 6.919 jupdate-1.5.0_06-b05.log 31.07.2006 21:44 147.495 rmoc3260.dll 31.07.2006 21:44 5.632 pndx5032.dll 31.07.2006 21:44 6.656 pndx5016.dll 31.07.2006 21:44 278.528 pncrt.dll 30.07.2006 13:42 57.384 avsda.dll 30.07.2006 13:07 4.212 zllictbl.dat 30.07.2006 11:16 2.951 CONFIG.NT 09.07.2006 13:42 42.920 vsutil_loc0407.dll 09.07.2006 13:42 392.824 vsdatant.sys 09.07.2006 13:42 71.672 zlcommdb.dll 09.07.2006 13:42 83.960 zlcomm.dll 09.07.2006 13:42 100.344 vsxml.dll 09.07.2006 13:42 59.384 vswmi.dll 09.07.2006 13:42 71.672 vsregexp.dll 09.07.2006 13:42 440.312 vsutil.dll 09.07.2006 13:42 157.688 vsinit.dll 09.07.2006 13:42 104.440 vsmonapi.dll 09.07.2006 13:42 268.280 vspubapi.dll 09.07.2006 13:42 83.960 vsdata.dll 09.07.2006 13:41 796.584 libeay32_0.9.6l.dll 23.05.2006 18:42 8.704 relog_ap.dll 23.05.2006 17:42 200.704 snapapi.dll 17.05.2006 11:23 579.888 LegitCheckControl.dll 01.05.2006 21:24 81.920 ElbyCDIO.dll 03.04.2006 11:40 14.048 spmsg.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 15.09.2005 06:28 608.448 comctl32.ocx 26.05.2005 04:19 173.536 wuweb.dll EDIT __________ Beste Grüße CC |
|
|
|
|
|
|
13.08.2006, 14:19
Ehrenmitglied
Beiträge: 29434 |
#116
crankycouple
du musst richtig lesen, ich schrieb da was von drei Monaten und von 4 logs, die Daten aus dem Mittelalter interssieren mich nicht  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.08.2006, 16:49
Member
Beiträge: 15 |
#117
Naja, datfind spuckt mir aber nich die Log aus tem Temp-Ordner aus. es ist wirklich alles, was er mir anbietet.
Es kann sein, wenn er mir keine 3 Monate anzeigt, dass es daran liegt, dass ich vor Kurzem den Rechner platt gemacht habe. XP mit SP1 rauf, aus dem Netz SP2 übergebügelt und dann dicke Augen bekommen. Aber durch deinen letzten Tip bei der Registry hab ich nun keine services.exe -Fehlermeldung mehr. Ich hab aber die Befürchtung, dass, wenn ich SP2 installiere und div. XP-Updates, dass er wieder durchdreht. Dann sitz ich wieder vorm Rechner mit geplatzter Netzhaut ;o) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8044-CF53 Verzeichnis von C:\WINDOWS\system32 14.08.2006 16:11 54.112 vsconfig.xml 14.08.2006 15:47 2.206 wpa.dbl 13.08.2006 14:07 0 h323log.txt 09.08.2006 19:10 40.836 perfc009.dat 09.08.2006 19:10 314.508 perfh009.dat 09.08.2006 19:10 320.094 perfh007.dat 09.08.2006 19:10 49.174 perfc007.dat 09.08.2006 19:10 732.342 PerfStringBackup.INI 09.08.2006 19:07 193.776 FNTCACHE.DAT 09.08.2006 19:06 288 $winnt$.inf 09.08.2006 19:03 25.065 wmpscheme.xml 09.08.2006 19:03 23.392 nscompat.tlb 09.08.2006 19:03 16.832 amcompat.tlb 09.08.2006 19:02 488 logonui.exe.manifest 09.08.2006 19:02 488 WindowsLogon.manifest 09.08.2006 19:02 749 cdplayer.exe.manifest 09.08.2006 19:02 749 nwc.cpl.manifest 09.08.2006 19:02 749 sapi.cpl.manifest 09.08.2006 19:02 749 wuaucpl.cpl.manifest 09.08.2006 19:02 749 ncpa.cpl.manifest 09.08.2006 19:01 22.864 emptyregdb.dat 07.08.2006 12:00 253 spupdwxp.log 02.08.2006 20:02 6.919 jupdate-1.5.0_06-b05.log 31.07.2006 21:44 147.495 rmoc3260.dll 31.07.2006 21:44 5.632 pndx5032.dll 31.07.2006 21:44 6.656 pndx5016.dll 31.07.2006 21:44 278.528 pncrt.dll 30.07.2006 13:42 57.384 avsda.dll 30.07.2006 13:07 4.212 zllictbl.dat 30.07.2006 11:16 2.951 CONFIG.NT 09.07.2006 13:42 42.920 vsutil_loc0407.dll 09.07.2006 13:42 392.824 vsdatant.sys 09.07.2006 13:42 71.672 zlcommdb.dll 09.07.2006 13:42 83.960 zlcomm.dll 09.07.2006 13:42 100.344 vsxml.dll 09.07.2006 13:42 59.384 vswmi.dll 09.07.2006 13:42 71.672 vsregexp.dll 09.07.2006 13:42 440.312 vsutil.dll 09.07.2006 13:42 157.688 vsinit.dll 09.07.2006 13:42 104.440 vsmonapi.dll 09.07.2006 13:42 268.280 vspubapi.dll 09.07.2006 13:42 83.960 vsdata.dll 09.07.2006 13:41 796.584 libeay32_0.9.6l.dll 23.05.2006 18:42 8.704 relog_ap.dll 23.05.2006 17:42 200.704 snapapi.dll 17.05.2006 11:23 579.888 LegitCheckControl.dll 01.05.2006 21:24 81.920 ElbyCDIO.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8044-CF53 Verzeichnis von C:\ 14.08.2006 16:28 0 systemtemp.txt 14.08.2006 16:27 102.286 system32.txt 14.08.2006 16:25 985 sys.txt 14.08.2006 16:24 6.108 system.txt 14.08.2006 16:09 805.306.368 pagefile.sys 13.08.2006 14:08 5.012 avenger.txt 10.08.2006 11:01 293 BcBtRmv.log 09.08.2006 19:00 211 boot.ini 30.07.2006 11:16 0 MSDOS.SYS 30.07.2006 11:16 0 CONFIG.SYS 30.07.2006 11:16 0 IO.SYS 30.07.2006 11:16 0 AUTOEXEC.BAT 23.01.2006 15:36 429 datFind.bat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8044-CF53 Verzeichnis von C:\WINDOWS 14.08.2006 16:16 1.400 avmcoins.log 14.08.2006 16:16 687.830 setupapi.log 14.08.2006 16:14 37.074 Windows Update.log 14.08.2006 16:11 157 wiadebug.log 14.08.2006 16:11 50 wiaservc.log 14.08.2006 16:11 0 0.log 14.08.2006 16:11 65 iTouch.ini 14.08.2006 16:09 2.048 bootstat.dat 14.08.2006 16:09 16.738 SchedLgU.Txt 10.08.2006 12:41 20.450 SIFBPCALIB.DAT 10.08.2006 10:38 116 NeroDigital.ini 09.08.2006 19:11 86.846 DirectX.log 09.08.2006 19:11 628.499 setuplog.txt 09.08.2006 19:07 64.266 comsetup.log 09.08.2006 19:07 221.271 iis6.log 09.08.2006 19:07 37.838 ntdtcsetup.log 09.08.2006 19:07 48.814 tsoc.log 09.08.2006 19:07 3.801 tabletoc.log 09.08.2006 19:07 4.326 imsins.log 09.08.2006 19:07 169.675 setupact.log 09.08.2006 19:03 299.552 WMSysPrx.prx 09.08.2006 19:03 2.186 OEWABLog.txt 09.08.2006 19:03 4.161 ODBCINST.INI 09.08.2006 19:02 749 WindowsShell.Manifest 09.08.2006 19:02 615 win.ini 09.08.2006 19:01 66.041 ocgen.log 09.08.2006 19:01 5.476 ocmsn.log 09.08.2006 19:01 4.417 msgsocm.log 09.08.2006 19:01 68.772 FaxSetup.log 09.08.2006 19:01 3.488 sessmgr.setup.log 09.08.2006 19:01 8.511 netfxocm.log 09.08.2006 19:00 590 DtcInstall.log 09.08.2006 19:00 44.830 msmqinst.log 09.08.2006 18:43 220 setuperr.log 09.08.2006 18:43 231 system.ini 09.08.2006 18:43 4.004 regopt.log 09.08.2006 18:28 235.206 WindowsUpdate.log 09.08.2006 18:10 554.773 setupapi.old 07.08.2006 12:03 28.996 spupdsvc.log 07.08.2006 12:01 1.072 wmsetup.log 07.08.2006 12:01 316.640 WMSysPr9.prx 07.08.2006 12:01 4.635 imsins.BAK 07.08.2006 12:01 3.711 medctroc.Log 07.08.2006 10:19 456.766 svcpack.log 07.08.2006 10:13 200 cmsetacl.log 05.08.2006 14:47 149 wsdu.log 05.08.2006 14:47 11.575 WINNT32.LOG 05.08.2006 14:46 1.451 UPGRADE.TXT 05.08.2006 14:46 356 DHCPUPG.LOG 02.08.2006 19:49 177 kpcms.ini 31.07.2006 21:19 1.163 KB842773Uninst.log 31.07.2006 20:03 2.899 mozver.dat 31.07.2006 14:32 5.912 ModemLog_Bluetooth Modem.txt 31.07.2006 13:53 400 ODBC.INI 30.07.2006 16:46 139 msicpl.ini 30.07.2006 12:46 0 nsreg.dat 30.07.2006 12:30 5.415 WGA.log 30.07.2006 12:30 5.803 KB842773.log 30.07.2006 12:17 92 CMISETUP.INI 30.07.2006 12:17 26 CMCDPLAY.INI 30.07.2006 12:17 0 Wininit.ini 30.07.2006 12:16 2.133 Ascd_tmp.ini 30.07.2006 12:06 0 Sti_Trace.log 30.07.2006 11:19 8.192 REGLOCS.OLD 30.07.2006 11:16 0 control.ini 30.07.2006 11:13 36 vb.ini 30.07.2006 11:13 37 vbaddin.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8044-CF53 Verzeichnis von C:\ 14.08.2006 16:31 0 sys.txt 14.08.2006 16:31 6.108 system.txt 14.08.2006 16:30 985 systemtemp.txt 14.08.2006 16:30 102.286 system32.txt 14.08.2006 16:09 805.306.368 pagefile.sys 13.08.2006 14:08 5.012 avenger.txt 10.08.2006 11:01 293 BcBtRmv.log 09.08.2006 19:00 211 boot.ini 30.07.2006 11:16 0 MSDOS.SYS 30.07.2006 11:16 0 CONFIG.SYS 30.07.2006 11:16 0 IO.SYS 30.07.2006 11:16 0 AUTOEXEC.BAT 23.01.2006 15:36 429 datFind.bat ...mehr sagt Datfind für die letzten "3" Monate nich. Was mich auch nervt, ist, dass mein Netzzugang sporadisch funktioniert. D.h.: Kabelmodem per USB installiert... nächster Tag noch alles tutti. Dann mal kein Modem gefunden, oder im Gerätemanager fettes gelbes Dreieck, unerschiedliche Install-Methoden... voll die Überraschungskiste. cc __________ Beste Grüße CC |
|
|
|
|
|
|
14.08.2006, 23:55
Ehrenmitglied
Beiträge: 29434 |
#118
multiavtool.
http://virus-protect.org/multiavtool.html * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein - man muss eingeben, was gescannt werden soll - C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.08.2006, 20:17
Member
Beiträge: 15 |
#119
Also, multi av konnte ich downloaden. Beim Entpacken macht er alles Mögliche, nur nicht, wie auf der Site beschrieben das Icon auf dem Desktop zum starten. Die EXE- Datei ist zwar vorhanden, lässt sich jedoch nicht starten. Da lässt sich gar nix starten. Schau mal im Anhang. da ist das komplette entzippte Material.
Ich habe aber von deiner multi av Site so manche online vieren scanner durchlaufen lassen. Teils mit Erfolg. Ich könnte platzen, wenn es nich so funktioniert, wie es soll. Nun funktioniert auch mein Bluetooth- Stick ooch nich mehr. Er kann eine BTHUSB.sys nirgends finden. Auch nicht in der Treibersoftware oder im Netz. Du siehst, ich brauch eine Weile, bis mein Rechner gerade aus rennt. Anhang: Multi-AV.doc __________ Beste Grüße CC |
|
|
|
|
|
|
15.08.2006, 20:25
Ehrenmitglied
Beiträge: 29434 |
#120
ich kann das .doc-Dokument nicht lesen, kannst du eine txt-Datei posten ?
Bluetooth- Stick installiere mit Hilfe der CD neu. (du hast doch eine ? ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- » PC extrem langsam, Programme lassen sich nicht starten...
- » Programme lassen sich nicht starten + Popups + Disfunktion der Progs!!!
- » Norten AV und Firewall lassen sich nicht mehr starten!!!
- » CWS Shredder / Hijackthis / spybot etc. lassen sich nicht starten
- » XP-Start dauert ewig, Progs lassen sich oft nicht starten
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Und reanimator zeigt es zwar an, kann aber die datei selbst nicht finden !
Hab sie damit versucht zu killen, aber nix zu machen ! >> Sie wird jetzt als "prohibited" angezeigt.
Und reanimator bekommt auch nicht meine alte umbenannte virus-datei weg.
Gibt es denn kein progi, dem es völlig egal ist welche eigenschaften eine datei hat bzw. welche prozesse damit eventuell verbunden sind und diese einfach nur LÖSCHT ??!!??
p.s. Was bedeutet "kompromitiert" ?
__________
_____________
THX for Helping