Angriff von Antivermins |
||
---|---|---|
#0
| ||
25.12.2006, 11:27
...neu hier
Beiträge: 2 |
||
|
||
25.12.2006, 14:12
Ehrenmitglied
Beiträge: 29434 |
#2
micrometer
ich brauche noch daten: poste dieses log http://virus-protect.org/artikel/tools/combofix.html ____________________________________________________ Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter F:\Avenger\backup.zip + leere den Papierkorb «« scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.12.2006, 17:47
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo Sabina
Hier die noch gewünschten Daten Naumann - 06-12-25 17:30:46,03 Service Pack 2 ComboFix 06.11.27 - Running from: "F:\Dokumente und Einstellungen\Naumann\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) F:\WINDOWS\system32\W007T32W.DLL F:\WINDOWS\system32\W008T32W.DLL F:\WINDOWS\system32\W001T32W.DLL F:\WINDOWS\system32\W006T32W.DLL F:\WINDOWS\system32\W020T32W.DLL F:\WINDOWS\system32\W021T32W.DLL ((((((((((((((((((((((((((((((( Files Created from 2006-11-25 to 2006-12-25 )))))))))))))))))))))))))))))))))) 2006-12-25 13:48 <DIR> dr-h----- F:\Dokumente und Einstellungen\Naumann\Recent 2006-12-25 13:20 1,730 --a------ F:\WINDOWS\system32\tmp.reg 2006-12-25 10:45 <DIR> d-------- F:\avenger 2006-12-24 16:28 <DIR> d-------- F:\Programme\Lavasoft 2006-12-24 16:28 <DIR> d-------- F:\Dokumente und Einstellungen\Naumann\Anwendungsdaten\Lavasoft 2006-12-24 15:29 <DIR> d-------- F:\Programme\a-squared Free 2006-12-23 11:52 72,920 --a------ F:\WINDOWS\system32\ipv6monk.dll 2006-12-22 19:24 72,920 --a------ F:\WINDOWS\system32\ipv6monl.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-12-07 07:40 2362184 --a------ F:\WINDOWS\system32\wmvcore.dll 2006-11-08 06:06 679424 --a------ F:\WINDOWS\system32\inetcomm.dll 2006-10-20 02:38 715776 --a------ F:\WINDOWS\system32\sxs.dll 2006-10-13 13:35 65536 --a------ F:\WINDOWS\system32\nwwks.dll 2006-10-13 13:35 64000 --a------ F:\WINDOWS\system32\nwapi32.dll 2006-10-13 13:35 146432 --a------ F:\WINDOWS\system32\nwprovau.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "Logitech Utility"="Logi_MwX.Exe" "EM_EXEC"="F:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE" "SiSUSBRG"="F:\\WINDOWS\\SiSUSBrg.exe" "HTpatch"="F:\\WINDOWS\\htpatch.exe" "TkBellExe"="\"F:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="F:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="F:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "StartMenuLogOff"=dword:00000001 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000001 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Dokumente und Einstellungen^Naumann^Startmenü^Programme^Autostart^Persbackup.lnk] "path"="F:\\Dokumente und Einstellungen\\Naumann\\Startmenü\\Programme\\Autostart\\Persbackup.lnk" "backup"="F:\\WINDOWS\\pss\\Persbackup.lnkStartup" "location"="Startup" "command"="F:\\PROGRA~1\\PERSON~1\\PERSBA~1.EXE /auto" "item"="Persbackup" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Dokumente und Einstellungen^Naumann^Startmenü^Programme^Autostart^PERSBA~1.lnk] "path"="F:\\Dokumente und Einstellungen\\Naumann\\Startmenü\\Programme\\Autostart\\PERSBA~1.lnk" "backup"="F:\\WINDOWS\\pss\\PERSBA~1.lnkStartup" "location"="Startup" "command"="F:\\PROGRA~1\\PERSON~1\\PERSBA~1.EXE /auto" "item"="PERSBA~1" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AVGNT" "hkey"="HKLM" "command"="F:\\Programme\\AVPersonal\\AVGNT.EXE /min" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="avgnt" "hkey"="HKLM" "command"="\"F:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMWInfoAgent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="bmw_agent" "hkey"="HKCU" "command"="C:\\Programme\\BMWInfoRadio\\bmw_agent.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AVWUpSrv"=dword:00000002 "AntiVirService"=dword:00000002 "WZCSVC"=dword:00000002 "UPS"=dword:00000003 "TapiSrv"=dword:00000003 "SQLAgent$AUDACON"=dword:00000003 "MSSQL$AUDACON"=dword:00000003 "ImapiService"=dword:00000003 "ERSvc"=dword:00000002 "AntiVirScheduler"=dword:00000002 "SCardSvr"=dword:00000003 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder F:\WINDOWS\tasks\Personal Backup.job Completion time: 06-12-25 17:31:18.26 F:\ComboFix.txt ... 06-12-25 17:31 Ich habe SmitfratFix angewendet u. wie es scheint Erfolg gehabt. Die andere Variante (Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein ......) bringt mir nur Fehlermeldungen Z.B.: Fatal error: could not create new script file Error Code 1813 Error logged to errorlog.txt Aborting now! Das Symbol in der Taskleiste rechts ist aber weg u. IE bringt keine Fehlermeldung mehr. micrometer |
|
|
Seit 2 Tagen habe ich ständig in der Taskleiste unten rechts ein blinkendes Fragezeichen mit dem Hinweis ich hätte einen Systemfehler. Beim anklicken des Symboles kommt eine Website von Antisermins. Ich glaube nicht, daß die es gut mit meinem Rechner meinen. Das scannen mit verschieden Virenscannern hat keinen Erfolg gebracht. Ich suche hier nun um Hilfe, um den Eindringling loszuwerden. Hier die Logfiles
Logfile of HijackThis v1.99.1
Scan saved at 11:04:47, on 25.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Video ActiveX Object\pmsngr.exe
F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
F:\WINDOWS\htpatch.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\Video ActiveX Object\pmmon.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\FRITZ!\FriFax32.exe
F:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
F:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
F:\WINDOWS\system32\crypserv.exe
F:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe
F:\Programme\Microsoft SQL Server\MSSQL$EK4\Binn\sqlservr.exe
F:\WINDOWS\system32\UStorSrv.exe
f:\programme\gemeinsame dateien\vidicom\vcmserver.exe
F:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlagent.EXE
F:\Programme\Internet Explorer\iexplore.exe
F:\PROGRA~1\Logitech\MOUSEW~1\system\WebColct.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\DOKUME~1\Naumann\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - F:\Programme\Video ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SiSUSBRG] F:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HTpatch] F:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: FRITZ!fax.lnk = F:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Dienst-Manager.lnk = F:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {693F0F29-1D1F-4EDF-B5A8-E8852FF195DE} (SEAGULL J Walk Printer Client) - http://www.japcar.de/jwalk/jwalk_printerclient_ie.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - F:\WINDOWS\system32\cthkpcv.dll
O23 - Service: Autodata Limited License Service - Unknown owner - F:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - F:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: UStorage Server Service - OTi - F:\WINDOWS\system32\UStorSrv.exe
O23 - Service: vidicom Server - vidicom GmbH - f:\programme\gemeinsame dateien\vidicom\vcmserver.exe
Danke schon mal an alle, die darüber nachdenken
micrometer