Generic host for win32&Trojaner-Problem durch "port schliessen" behoben?!

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.08.2006, 12:47
...neu hier

Beiträge: 9
#1 Also dann poste ich hier nochmal kurz meinen Eintrag aus dem anderen Thread :

Hallöchen
Ich hatte selbiges Problem wie heima,habe einfach mal still mitgelesen und ausprobiert,und jetzt auch mit dem windows worms doors cleaner die jeweiligen ports geschlossen.Habe seitdem sogar ruhe ,(immerhin schon eine halbe stunde ),ewido hab ich nochmal laufen lassen der mir jedoch wieder einen neuen trojaner meldete ,namens trojan.proxcrak.A.Hab ihn jetzt erst mal unter quaratäne gestellt.Gestern wurde ein trojaner names trojan.BHO.b gefunden,hab die gesamte datei einfach gelöscht,ging sogar,aber trotz allem,immer nach neustart des systems wurde ein "komischer" prozess gestartet ..irgendeine zahl mit exe dahinter,die sich dann irgendwie vermehrt in meine temp eingetragen hat.

Hier mal ein Bild dazu :

http://img239.imageshack.us/img239/9675/exejq7.jpg

Frage mich aber ob nun alle probleme nur durch schliessen der ports behoben sind?


Es kam dauernd die meldung es wäre zu wenig virtueller speicher auf meinem pc,oder wenn ich irgendein Programm öfnen wollte, kam die Fehlermeldung ,die Auslagerungsdatei wäre zu klein, manchmal auch irgendein Fehlercode "00000x0" oder so ähnlich,habs mir leider nicht gemerkt.Kurz danach,"generic host for win 32 hat ein problem feestgestellt und muß beendet werden.Ein paar Minuten hatte ich Zeit dann wurde die Verbindung gekappt.Das passierte dann nach jedem Neustart, auch ohne die Meldung vorher dass nicht genügend virtueller speicher vorhanden sei.Inwiefern das jetzt zusammenhängt und ob überhaupt weiß ich ja nicht.Hab deswegen schon öfter gegoogelt und gelesen dass man dan virtuellen speicher einstellen kann,hab davon aber absolut NULL ahnung,und wusste nicht wieviel ich da eingeben kann/muss,usw.
Vor ein paar Tagen war auch mein Ton völlig verschwunden,hab mich durch Foren gegoogelt und Gott sei Dank Hilfe gefunden,einen Treiber runtergeladen und installiert für meine Soundkarte,danach ging es wieder.
Es kam aber auch oft eine Meldung irgendein Mixer wäre kaputt /oder nicht gefunden/ beschädigt,weiß es leider nicht mehr genau,weil die Meldung sofort wieder weg war.
Nachdem ich den "windows worms doors cleaner " heute benutzt habe, habe ich auch nochmal das Update (Patch) von Microsoft runtergeladen und installiert.Neu gestartet.
Anschließend nochmal ewido laufen lassen der mir folgendes meldete :
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 10:13:52 14.08.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Erika\Eigene Dateien\WinRAR_v3[1].20_Final_German.zip/patch.exe -> Trojan.Proxcrak.A : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende



Hier schon mal das Hijackthis Log :

Logfile of HijackThis v1.99.1
Scan saved at 12:39:40, on 14.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\Erika\LOKALE~1\Temp\49exinjs32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Erika\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {6780CE88-29CF-4235-8301-1804F3C5FB48} - C:\WINDOWS\system32\shgina32.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Arcor\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140442071362
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140444659921
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FF1EB91-1513-4F1A-95DC-40213C725CDB}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)


edit :


so hab jetzt auch clean up und combofix laufen lassen,und poste mal den nächsten Log :



Start Time= 14.08.2006 13:19:00,96
Running from: C:\Dokumente und Einstellungen\Erika\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-14 12:50:30 ( .D... ) "C:\Programme\CleanUp!"
2006-08-14 07:36:28 ( .D... ) "C:\Programme\XoftSpySE"
2006-08-13 22:05:46 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-08-13 21:21:10 ( .D... ) "C:\Programme\Tweak-XP Pro 4"
2006-08-13 21:20:42 737280 ( A.... ) "C:\WINDOWS\iun6002.exe"
2006-08-13 20:56:16 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-08-13 17:27:36 ( .D... ) "C:\Dokumente und Einstellungen\Erika\Anwendungsdaten\Lavasoft"
2006-08-13 17:27:02 ( .D... ) "C:\Programme\Lavasoft"
2006-08-12 21:27:28 ( .D... ) "C:\Programme\3D-Fahrschule"
2006-08-10 14:46:44 ( .D... ) "C:\Programme\Lavalys"
2006-08-09 16:32:14 ( .D... ) "C:\Programme\tewi"
2006-08-06 15:08:26 ( .D... ) "C:\Dokumente und Einstellungen\Erika\Anwendungsdaten\Google"
2006-08-06 15:07:32 ( .D... ) "C:\Programme\Google"
2006-08-05 18:41:30 ( .D... ) "C:\Programme\DAEMON Tools"
2006-07-31 20:54:26 ( .D... ) "C:\Dokumente und Einstellungen\Erika\Anwendungsdaten\InternetCalls"
2006-07-19 12:32:22 ( .D... ) "C:\Programme\Winamp"
2006-07-18 14:22:52 ( .D... ) "C:\Programme\RegCleaner"
2006-07-18 12:56:02 40960 ( A.... ) "C:\WINDOWS\system32\nvsvcd.exe"
2006-07-18 12:51:52 ( .D... ) "C:\Programme\Ulead Systems"
2006-07-11 02:44:42 ( .D... ) "C:\Programme\Gemeinsame Dateien\Designer"
2006-07-11 02:41:58 ( .D... ) "C:\Dokumente und Einstellungen\Erika\Anwendungsdaten\Microsoft Web Folders"
2006-06-16 19:17:04 ( .D... ) "C:\Dokumente und Einstellungen\Erika\Anwendungsdaten\Magix"
2006-06-16 11:48:50 ( .D... ) "C:\Programme\MAGIX Online Druck Service"
2006-06-16 11:46:28 ( .D... ) "C:\Programme\Gemeinsame Dateien\MAGIX Shared"
2006-05-27 19:57:40 131584 ( A.... ) "C:\WINDOWS\system32\SpoonUninstall.exe"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2006-05-14 12:22:06 58952 ( A.... ) "C:\WINDOWS\system32\MsgPlusLoader.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-13 21:21 737.280 C:\WINDOWS\iun6002.exe
2006-08-10 15:25 32.768 C:\WINDOWS\system32\UnAudioNT.dll
2006-08-06 12:41 367.001.600 C:\pagefile.sys
2006-07-28 22:11 65.536 C:\WINDOWS\system32\Audio3D.dll
2006-07-28 22:11 65.536 C:\WINDOWS\system32\a3d.dll
2006-07-22 10:24 73.728 C:\WINDOWS\system32\asuninst.exe
2006-07-22 10:24 11.776 C:\WINDOWS\system32\ZPORT4AS.dll
2006-07-18 12:56 40.960 C:\WINDOWS\system32\nvsvcd.exe
2006-07-08 18:35 692.224 C:\WINDOWS\system32\ciaResSvr20.dll
2006-07-08 18:35 584.484 C:\WINDOWS\system32\Tweak-XP.scr
2006-07-08 18:35 53.248 C:\WINDOWS\system32\SSubTmr6.dll
2006-07-08 18:35 53.248 C:\WINDOWS\system32\ciaXPRegSvr20.dll
2006-07-08 18:35 40.960 C:\WINDOWS\system32\ciaSubClsSvr.dll
2006-07-08 18:35 24.576 C:\WINDOWS\system32\TXPstart.exe
2006-07-08 18:35 20.480 C:\WINDOWS\system32\CPUINFO2.DLL
2006-07-08 18:35 118.784 C:\WINDOWS\system32\msstdfmt.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"DSLSTATEXE"="C:\\Program Files\\Arcor\\Adsl\\dslstat.exe icon"
"DSLAGENTEXE"="dslagent.exe"
".nvsvc"="C:\\WINDOWS\\system\\smss.exe /w"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="http://www.blogigo.de/img/usr/28478/Unbenannt6.jpg"
"SubscribedURL"="http://www.blogigo.de/img/usr/28478/Unbenannt6.jpg"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,00,00,00,00,13,00,00,00,00,06,00,00,2b,03,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,12,03,00,00,19,01,00,00,ee,02,00,00,26,02,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:14,6d,c3,08,41,c0,ac,74,50,8f,f8,04,68,de,c3,08,20,6d,\
c3,08,c3,f5,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader Speed Launch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Scroll-In-Mouse V2.0.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Scroll-In-Mouse V2.0.lnk"
"backup"="C:\\WINDOWS\\pss\\Scroll-In-Mouse V2.0.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\A.C\\SCROLL~1.1\\Scroll.exe "
"item"="Scroll-In-Mouse V2.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Erika^Startmenü^Programme^Autostart^Hardcopy.LNK]
"path"="C:\\Dokumente und Einstellungen\\Erika\\Startmenü\\Programme\\Autostart\\Hardcopy.LNK"
"backup"="C:\\WINDOWS\\pss\\Hardcopy.LNKStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Hardcopy\\hardcopy.exe "
"item"="Hardcopy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InternetCalls]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="InternetCalls"
"hkey"="HKCU"
"command"="\"C:\\Programme\\InternetCalls.com\\InternetCalls\\InternetCalls.exe\" -nosplash -minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\XoftSpySE.job

Completion time: 14.08.2006 13:19:15,66
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt


So,und nun der Log von Datfind.bat,hoffe das war alles richtig :


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84F6-C274

Verzeichnis von C:\WINDOWS\system32

13.08.2006 21:33 2.206 wpa.dbl
13.08.2006 19:29 723.744 PerfStringBackup.INI
13.08.2006 19:29 316.594 perfh007.dat
13.08.2006 19:29 48.156 perfc007.dat
13.08.2006 19:29 39.992 perfc009.dat
13.08.2006 19:29 311.604 perfh009.dat
05.08.2006 20:34 30.590 pavas.ico
05.08.2006 20:34 1.406 Help.ico
05.08.2006 20:34 2.550 Uninstall.ico
22.07.2006 10:26 0 asfiles.txt
18.07.2006 14:32 338.856 FNTCACHE.DAT
18.07.2006 12:56 40.960 nvsvcd.exe
02.07.2006 12:21 114.494 AdobeFnt.lst
22.06.2006 12:47 181.248 rasmans.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
27.05.2006 19:57 131.584 SpoonUninstall.exe
27.05.2006 19:57 2.541 SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.dat
27.05.2006 19:57 33.846 SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.bmp
27.05.2006 19:53 36.100 SpoonUninstall-dBpowerAMP Music Converter.dat
27.05.2006 19:53 33.846 SpoonUninstall-dBpowerAMP Music Converter.bmp
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
17.05.2006 11:23 579.888 LegitCheckControl.dll
14.05.2006 12:22 58.952 MsgPlusLoader.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:23 474.624 shlwapi.dll
10.05.2006 07:23 615.936 urlmon.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 357.888 dxtmsft.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84F6-C274

Verzeichnis von C:\DOKUME~1\Erika\LOKALE~1\Temp

14.08.2006 13:57 46 injs32.exe.conf
14.08.2006 13:57 45.568 68exinjs32.exe
14.08.2006 13:16 16.384 ~DFB675.tmp
3 Datei(en) 61.998 Bytes
0 Verzeichnis(se), 1.526.210.560 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84F6-C274

Verzeichnis von C:\WINDOWS

14.08.2006 13:19 182.713 setupact.log
14.08.2006 13:15 0 0.log
14.08.2006 13:15 159 wiadebug.log
14.08.2006 13:15 2.048 bootstat.dat
14.08.2006 13:14 32.612 SchedLgU.Txt
14.08.2006 13:14 50 wiaservc.log
14.08.2006 13:14 1.057.851 WindowsUpdate.log
14.08.2006 12:14 95 winamp.ini
14.08.2006 10:55 2.970 ACROREAD.INI
14.08.2006 09:49 66.335 wmsetup.log
14.08.2006 09:43 33.520 KB894391.log
14.08.2006 08:02 27.120 KB916281.log
14.08.2006 08:00 26.192 KB914388.log
13.08.2006 23:20 488.558 setupapi.log
13.08.2006 21:20 737.280 iun6002.exe
13.08.2006 19:28 30.762 spupdsvc.log
13.08.2006 19:17 21.526 ocmsn.log
13.08.2006 19:17 1.374 imsins.log
13.08.2006 19:17 137.731 comsetup.log
13.08.2006 19:17 43.372 KB917734.log
13.08.2006 19:17 474.239 iis6.log
13.08.2006 19:17 18.166 tabletoc.log
13.08.2006 19:17 82.823 ntdtcsetup.log
13.08.2006 19:17 181.944 tsoc.log
13.08.2006 19:17 19.616 msgsocm.log
13.08.2006 19:17 27.126 medctroc.Log
13.08.2006 19:17 381.166 FaxSetup.log
13.08.2006 19:17 195.503 ocgen.log
13.08.2006 19:17 63.122 netfxocm.log
13.08.2006 19:17 127.432 msmqinst.log
13.08.2006 19:17 13.288 KB920214.log
13.08.2006 19:16 13.282 KB922616.log
13.08.2006 19:16 12.598 KB921398.log
13.08.2006 19:16 21.153 KB911280.log
13.08.2006 19:16 1.374 imsins.BAK
13.08.2006 19:16 22.316 updspapi.log
13.08.2006 19:16 14.109 KB918899.log
13.08.2006 19:16 32.629 KB900485.log
13.08.2006 19:16 12.212 KB920670.log
13.08.2006 19:16 20.645 KB917159.log
13.08.2006 19:16 9.026 KB917422.log
13.08.2006 19:15 8.888 KB920683.log
13.08.2006 19:15 20.417 KB918439.log
13.08.2006 19:15 19.507 KB917344.log
13.08.2006 19:15 18.471 KB917953.log
13.08.2006 19:15 18.472 KB916595.log
13.08.2006 19:14 7.869 KB921883.log
13.08.2006 19:12 12.398 KB913580.log
13.08.2006 19:11 12.250 KB914389.log
13.08.2006 18:17 962 win.ini
10.08.2006 15:35 227 system.ini
05.08.2006 20:34 32 pavsig.txt
03.08.2006 01:04 27.729 WGA.log
03.08.2006 00:57 1.144.741 setupapi.log.0.old
18.07.2006 14:21 30 Iedit_.INI
15.07.2006 21:36 2.899 mozver.dat
15.07.2006 12:23 167 homeDVD-Fotos3_5.INI
11.07.2006 02:46 403 ODBC.INI
11.07.2006 02:15 0 PROTOCOL.INI
08.07.2006 22:48 35.037 wmsetup10.log
07.07.2006 14:33 0 setuperr.log
06.07.2006 11:01 46 mxcdr.INI
03.07.2006 17:45 754 WORDPAD.INI
02.07.2006 12:21 105 MGX.INI
29.06.2006 03:35 596 u3dedit4.INI
16.06.2006 11:47 316.640 WMSysPr9.prx
16.06.2006 11:42 85 magix.ini
12.06.2006 20:20 44 Ezphoto.ini
08.06.2006 08:42 67 Adobereg.db
08.06.2006 08:38 177 KPCMS.INI
24.05.2006 13:48 0 nsreg.dat
16.05.2006 13:08 227 Directx.log




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84F6-C274

Verzeichnis von C:\

14.08.2006 14:42 0 sys.txt
14.08.2006 14:42 10.297 system.txt
14.08.2006 14:41 397 systemtemp.txt
14.08.2006 14:41 102.037 system32.txt
14.08.2006 13:19 10.903 ComboFix.txt
14.08.2006 13:15 267.964.416 hiberfil.sys
14.08.2006 13:15 367.001.600 pagefile.sys
10.08.2006 15:35 211 boot.ini
08.06.2006 00:38 201 UVS7_WKLog.txt
20.02.2006 15:46 47.564 NTDETECT.COM
20.02.2006 15:46 251.184 ntldr
17.02.2006 18:44 0 CONFIG.SYS
17.02.2006 18:44 0 IO.SYS
17.02.2006 18:44 0 MSDOS.SYS
17.02.2006 18:44 0 AUTOEXEC.BAT
10.02.2004 07:54 1.886.585 Setup.exe
29.09.2003 05:10 31 AUTORUN.INF
18.08.2001 12:00 4.952 bootfont.bin
18 Datei(en) 637.280.378 Bytes
0 Verzeichnis(se), 1.525.817.344 Bytes frei




Ich glaub ich hab jetzt alles soweit wie beschrieben ausgeführt,und hoffe dass mir jemand weiterhelfen kann ;)
Dieser Beitrag wurde am 14.08.2006 um 14:43 Uhr von DevilGirly editiert.
Seitenanfang Seitenende
14.08.2006, 15:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\.nvsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:

C:\Documente und Einstellungen\Erika\Lokale Einstellungen\Temp\injs32.exe.conf
C:\Documente und Einstellungen\Erika\Lokale Einstellungen\Temp\68exinjs32.exe
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system\smss.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

-----------------------

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows User Mode Driver Framework

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2006, 16:01
...neu hier

Themenstarter

Beiträge: 9
#3 Huhu Sabina ;)
Erst mal vielen Dank ,ich werde die Sachen dann jetzt mal sofort erledigen.
Ich hatte übrigens bis jetzt gerade noch mal den Kapersky online Scan laufen, und poste mal das Log,vielleicht ist es ja nützlich


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 14. August 2006 15:56:10
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 14/08/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 202067
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 35334
Viren gefunden: 2
Infizierte Objekte gefunden: 3 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:46:32

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd4349.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\nvsvcd.exe Infizierte Objekte: Backdoor.Win32.Medbot.bb übersprungen
C:\WINDOWS\system\smss.exe Infizierte Objekte: Backdoor.Win32.Medbot.bb übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Temp\~DFB675.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006081420060815\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{7E07DA02-ED29-4767-9F61-3FDABD66A784}\RP155\change.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{7E07DA02-ED29-4767-9F61-3FDABD66A784}\RP155\change.log Das Objekt ist gesperrt übersprungen
D:\Incoming\ACTIVATOR.exe
Infizierte Objekte: Trojan-Downloader.Win32.Agent.apv übersprungen

Die Untersuchung wurde abgeschlossen.


So,hier schon mal das Avenger Logfile :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\aloqgpjt

*******************

Script file located at: \??\C:\WINDOWS\system32\guqvtbeo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034



Could not open file C:\Documente und Einstellungen\Erika\Lokale Einstellungen\Temp\injs32.exe.conf for deletion
Deletion of file C:\Documente und Einstellungen\Erika\Lokale Einstellungen\Temp\injs32.exe.conf failed!

Could not process line:
C:\Documente und Einstellungen\Erika\Lokale Einstellungen\Temp\injs32.exe.conf
Status: 0xc000003a



Could not open file C:\Documente und Einstellungen\Erika\Lokale Einstellungen\Temp\68exinjs32.exe for deletion
Deletion of file C:\Documente und Einstellungen\Erika\Lokale Einstellungen\Temp\68exinjs32.exe failed!

Could not process line:
C:\Documente und Einstellungen\Erika\Lokale Einstellungen\Temp\68exinjs32.exe
Status: 0xc000003a

File C:\WINDOWS\system32\nvsvcd.exe deleted successfully.


File C:\WINDOWS\system32\wdfmgr.exe not found!
Deletion of file C:\WINDOWS\system32\wdfmgr.exe failed!

Could not process line:
C:\WINDOWS\system32\wdfmgr.exe
Status: 0xc0000034

File C:\WINDOWS\system\smss.exe deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\.nvsvc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\.nvsvc failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Edit :

Ähm..ich hoffe ich habs richtig gemacht *g* :

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 14.08.2006 16:17:05 for strings:
; 'windows user mode driver framework'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UMWDF\0000]
"DeviceDesc"="Windows User Mode Driver Framework"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UMWdf]
"DisplayName"="Windows User Mode Driver Framework"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UMWDF\0000]
"DeviceDesc"="Windows User Mode Driver Framework"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UMWdf]
"DisplayName"="Windows User Mode Driver Framework"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_UMWDF\0000]
"DeviceDesc"="Windows User Mode Driver Framework"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\UMWdf]
"DisplayName"="Windows User Mode Driver Framework"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UMWDF\0000]
"DeviceDesc"="Windows User Mode Driver Framework"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf]
"DisplayName"="Windows User Mode Driver Framework"

; End Of The Log...



Sieht etwas seltsam aus für mich*g* das war bestimmt falsch was ich da eingegeben hab oder?
Das kleine Prog hat sich übrigens dabei aufgehangen,aber ein editor mit dem obigen hat sich geöffnet.


Edit:
Übrigens,habe ich gestern über Ewido einen Trojaner gefunden namens Trojan.BHO.b ,der in der oben aufgeführten --> shgina32.dll (file missing)
war...hm da hab ich wohl etwas voreilig gelöscht oder? ;)

Kann ich die noch irgendwie ersetzen,braucht man die überhaupt?*g*

So,und Kapersky hab ich jetzt zwischenzeitlich auch nochmal laufen lassen und poste mal den aktuellen Log :



-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 14. August 2006 17:38:31
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 14/08/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 202154
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 34544
Viren gefunden: 1
Infizierte Objekte gefunden: 5 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:23:54

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd4349.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Temp\~DF1CE0.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006081420060815\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Erika\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{7E07DA02-ED29-4767-9F61-3FDABD66A784}\RP155\change.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{7E07DA02-ED29-4767-9F61-3FDABD66A784}\RP155\A0051093.exe Infizierte Objekte: Backdoor.Win32.Medbot.bb übersprungen
C:\System Volume Information\_restore{7E07DA02-ED29-4767-9F61-3FDABD66A784}\RP155\A0051094.exe Infizierte Objekte: Backdoor.Win32.Medbot.bb übersprungen
C:\avenger\backup.zip/avenger/nvsvcd.exe Infizierte Objekte: Backdoor.Win32.Medbot.bb übersprungen
C:\avenger\backup.zip/avenger/smss.exe Infizierte Objekte: Backdoor.Win32.Medbot.bb übersprungen
C:\avenger\backup.zip ZIP: infiziert - 2 übersprungen

Die Untersuchung wurde abgeschlossen.


edit :
Ich vermute mal dass ich die backup archive löschen muß,oder?
Aber ich warte mal brav ab ,bis Du wieder da bist = )
Dieser Beitrag wurde am 14.08.2006 um 17:47 Uhr von DevilGirly editiert.
Seitenanfang Seitenende
14.08.2006, 22:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Avenger

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UMWDF\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UMWdf
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UMWDF\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UMWdf
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_UMWDF\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\UMWdf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UMWDF\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf

**
poste das log vom avenger, was erscheint

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

3.
C:\avenger\backup.zip - loeschen

4.
poste per Anhang (siehe unten, dieses Log)
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2006, 22:59
...neu hier

Themenstarter

Beiträge: 9
#5 So Nr.1 wäre dann soweit - ich poste schon mal das Logfile :


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tfronyin

*******************

Script file located at: \??\C:\WINDOWS\yelnnskd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UMWDF\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UMWdf deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UMWDF\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UMWdf deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_UMWDF\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\UMWdf deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UMWDF\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UMWDF\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UMWDF\0000
Status: 0xc0000034


okay ,anschliessend hab ich jetzt die systemwiederherstellung deaktiviert, die beiden backups gelöscht ,systemwiederherstellung wieder aktiviert und jetzt diesen scan gemacht den ich als Textdatei angehängt habe.

Danke für Deine Mühen ;)

Anhang: look1.txt
Dieser Beitrag wurde am 14.08.2006 um 23:15 Uhr von DevilGirly editiert.
Seitenanfang Seitenende
14.08.2006, 23:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
gehe in die Registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 -> in 1 aendern (also aktivieren)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

alles rausloeschen !

"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\12exinjs20.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\12exinjs20.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\96exinjs20.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\96exinjs20.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\36exinjs21.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\36exinjs21.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\16ex10.modul32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\16ex10.modul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\59ex10.modul32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\59ex10.modul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\81exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\81exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\46exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\46exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\55exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\55exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\34exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\34exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\90exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\90exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\43exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\43exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\16exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\16exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\31exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\31exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\79exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\79exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\47exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\47exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\85exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\85exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\69exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\69exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\60exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\60exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\10exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\10exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\30exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\30exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\56exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\56exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\45exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\45exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\96exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\96exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\35exinjs31.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\35exinjs31.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\36exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\36exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\38exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\38exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\96exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\96exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\57exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\57exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\65exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\65exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\11exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\11exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\5exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\5exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\6exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\6exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\39exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\39exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\82exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\82exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\28exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\28exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\83exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\83exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\51exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\51exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\33exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\33exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\85exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\85exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\49exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\49exinjs32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\68exinjs32.exe"="C:\\DOKUME~1\\Erika\\LOKALE~1\\Temp\\68exinjs32.exe:*:Enabled:Microsoft Update"

PC neustarten

**
Windows Worms Doors Cleaner - anwenden, schliesse die Ports
http://virus-protect.org/windsdoorcleaner.html

**
http://virus-protect.org/windienst.html
Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter
Start - Ausführen: services.msc
Nun werden alle laufenden Dienste angezeigt.

Remote-Registrierung
Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.

Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

Zitat

*Hier den Dienst "Remote-Registrierung" aussuchen.

*Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen.

*Nicht "Den Dienst beenden" auswählen, denn dann wird der Dienst "Remote-Registrierung" beim nächsten Systemstart erneut ausgeführt.

*Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen.

*Jetzt noch "Übernehmen" anklicken. Der " Remote-Registrierung" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
das gleiche mit :

Telnet
Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. Wenn dieser Dienst angehalten wird, ist der Remotezugriff möglicherweise nicht mehr verfügbar. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden.

Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 00:31
...neu hier

Themenstarter

Beiträge: 9
#7 So fertig ;)
Ich war mir jetzt allerdings nicht sicher- ich habe nur die von dir markierten files gelöscht in der registrierung ,das war richtig dass da noch ein paar andere sind oder? Allerdings sind alle "Zahlen exen " endlich weg.
Hab dann neu gestartet,und die ports waren übrigens schon zu.Sagte mir your pc is already protected ,oder so.
Bei den diensten klappte es nicht so, zumindest bei dem dienst remote registrierung.Nachdem ichs deaktivierte und beenden wollte , kam eine fehler meldung " Der Dienst "remote registrierung" auf "Lokaler Computer" konnte nicht beendet werden.
fehler 1053: der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung. "
Ist das schlimm?
So und nun? Ist mein Pc schon geheilt ? *g*
Seitenanfang Seitenende
15.08.2006, 00:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 poste noch mal das log vom stuff
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 00:36
...neu hier

Themenstarter

Beiträge: 9
#9 okay, auch erledigt = )

edit :
ahhhhh die sind ja noch da drin seh ich gerade , oder??
Igitt,dachte ich bin die zahlen endlich los *hmpf *
hab ich was falsch gemacht?



Neee,moment mal,hab grad wohl das alte Log gepostet *gg*
Mannoman,ist ja auch schon spät :p
Also hier das richtige aktuelle Logfile :

Anhang: look1neu.txt
Dieser Beitrag wurde am 15.08.2006 um 00:46 Uhr von DevilGirly editiert.
Seitenanfang Seitenende
15.08.2006, 00:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update" -> raus damit

2.
Windows-Dienste abschalten! - Script anwenden !
http://www.dingens.org

PC neustarten

3.
scanne mit panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 01:18
...neu hier

Themenstarter

Beiträge: 9
#11 Oje Oje Oje , was is das denn jetzt wieder für einer ? ;)
Ich werd verrückt

Seitenanfang Seitenende
15.08.2006, 01:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ein Hacktool..olala ;)

Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SZEROFYT\win32sec[1].exe
suche/loesche:
C:\Dokumente und Einstellungen\Erika\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SZEROFYT
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 02:01
...neu hier

Themenstarter

Beiträge: 9
#13 Ich hab damit nix zu tun *gg*
Aber habs jetzt gelöscht.Glaube das ist dieses Programm zum Beenden der Dienste ,kann das sein? Wird auch nur von Panda und antivir als hacktool bezeichnet,soviel ich gehört habe.
Soooo ,und nun ? = ) Alles ok? Oder soll ich noch was scannen?*g*
Hatte diese "generic host for win32 ...." Fehlermeldung jetzt eigentlich was mit dem Trojaner zu tun?
Oder war das unabhängig voneinander ?
Lieben Gruß
Seitenanfang Seitenende
15.08.2006, 13:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 das als Hacktool zu bezeichnen, ist von panda reichlich unverschaemt..........

Zitat

win32sec.exe von http://www.dingens.org/
;)
die Fehlermeldung "generic host for win32 " hatte nichts mit dem Trojaner zu tun...
tritt sie noch auf ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 13:31
...neu hier

Themenstarter

Beiträge: 9
#15 *gg* Soviel ich gehört hab wird alles was zum schließen irgendwelcher Dienste führt schon als "böse" eingestuft von Panda ,oder? Naja ANti-vir ist da aber auch nicht besser.
Auf jeden klappt jetzt alles wieder *freu*
Die Meldung kam schon seit gestern morgen nicht mehr nachdem ich die Ports geschlossene hatte .
Also vielen vielen Dank Sabina = )
Was hätte ich ohne Dich gemacht
Ganz grooooßes Lob an Dich !!
Dieser Beitrag wurde am 15.08.2006 um 13:35 Uhr von DevilGirly editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: