Laufend werden Dialer und ZEugs gefunden und ich kriegse nimma weg

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.12.2006, 14:27
Member
Avatar linuxsuse

Beiträge: 33
#1 Bitte um hilfe

...

hier Hijackthis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:20, on 06-12-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\msasvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmclient\panapp.exe
E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
E:\Spyware Doctor\swdoctor.exe
C:\Programme\avmclient\pantbsrv.exe
C:\Dokumente und Einstellungen\Simon\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - F:\Pc Programme\Flashget\jccatch.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {D4E0C464-30CE-4075-9A10-71FD106C2847} - (no file)
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - F:\Pc Programme\Flashget\getflash.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\Pc Programme\Flashget\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [kis] "E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~1\PRINTV~1\pvmodule.exe
O4 - HKLM\..\Run: [ICQ Lite] "F:\Pc Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "E:\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Registration .LNK = D:\Support\Register\RegistrationReminder.exe
O4 - Startup: Registration Prince of Persia T2T.LNK = E:\Spiele\Prince of Persia T2T\Support\Register\RegistrationReminder.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - F:\Pc Programme\Flashget\jc_all.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Mit FlashGet laden - F:\Pc Programme\Flashget\jc_link.htm
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Pc Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Pc Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PCPROG~1\Flashget\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PCPROG~1\Flashget\flashget.exe (file missing)
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: E:\NTZLIC~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\nmwrszht.dll (file missing)
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\gplql3351.dll (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Unknown owner - C:\Programme\Trend Micro\Internet Security\PccPfw.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - F:\Pc Programme\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe (file missing)
O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\Programme\Trend Micro\Internet Security\tmproxy.exe (file missing)

Bitte helft mia
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe
Seitenanfang Seitenende
28.12.2006, 15:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 linuxsuse

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.12.2006, 15:29
Member

Themenstarter
Avatar linuxsuse

Beiträge: 33
#3 Also hier mal das Combo dings log:

Simon - 06-12-28 15:18:05.82 Service Pack 2
ComboFix 06.11.27W - Running from: "E:\Downloads 2"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


Granting sedebugprivilege to Administratoren ... successful


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Install.dat
C:\WINDOWS\system32\aaa00000.sys
C:\WINDOWS\system32\bszip.dll
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\outlook
C:\Programme\PrintView
C:\Programme\Gemeinsame Dateien\{54E19EB1-07D4-1031-1111-04121020002b}


((((((((((((((((((((((((((((((( Files Created from 2006-11-28 to 2006-12-28 ))))))))))))))))))))))))))))))))))


2006-12-28 10:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DESIGNER
2006-12-27 16:02 991,232 --a------ C:\WINDOWS\system32\virtear.dll
2006-12-27 16:02 978,944 --a------ C:\WINDOWS\SynthCoreA.Dll
2006-12-27 16:02 765,952 --a------ C:\WINDOWS\system\crlds3d.dll
2006-12-27 16:02 720,896 --a------ C:\WINDOWS\system32\Audio3d.dll
2006-12-27 16:02 578,304 --a------ C:\WINDOWS\system32\drivers\smwdm.sys
2006-12-27 16:02 49,152 --a------ C:\WINDOWS\system32\S11thk32.dll
2006-12-27 16:02 49,152 --a------ C:\WINDOWS\system32\DSndUp.exe
2006-12-27 16:02 45,056 --a------ C:\WINDOWS\system32\SynthCore11Resources.dll
2006-12-27 16:02 45,056 --a------ C:\WINDOWS\system32\CleanUp.exe
2006-12-27 16:02 40,820 --a------ C:\WINDOWS\system32\Syncor11.dll
2006-12-27 16:02 4,816 --a------ C:\WINDOWS\system32\drivers\aeaudio.sys
2006-12-27 16:02 380,928 --a------ C:\WINDOWS\SynCor.exe
2006-12-27 16:02 30,208 --a------ C:\WINDOWS\system32\wdmioctl.dll
2006-12-27 16:02 3,744 --a------ C:\WINDOWS\system32\drivers\smsens.sys
2006-12-27 16:02 1,285,632 --a------ C:\WINDOWS\system32\SMMedia.dll
2006-12-27 16:02 <DIR> d-------- C:\WINDOWS\VirtualEar
2006-12-27 15:13 82,944 --a------ C:\WINDOWS\system32\CTWFLT32.DLL
2006-12-27 15:13 53,488 --a------ C:\WINDOWS\CTCCW.DLL
2006-12-27 15:13 26,768 --a------ C:\WINDOWS\system32\CTL3D.DLL
2006-12-27 15:13 24,992 --a------ C:\WINDOWS\CTRES.DLL
2006-12-27 15:13 149,504 --a------ C:\WINDOWS\system32\MFCANS32.DLL
2006-12-27 15:13 108,032 --a------ C:\WINDOWS\system32\MFCUIA32.DLL
2006-12-27 15:13 <DIR> d-------- C:\Programme\Creative
2006-12-27 13:34 3,648 --a------ C:\rvpljn.exe
2006-12-27 13:34 3,584 --a------ C:\WINDOWS\system32\msasvc.exe
2006-12-27 13:34 23,552 --a------ C:\rjyvgnd.exe
2006-12-27 13:34 2,981 --a------ C:\WINDOWS\system32\autosys.exe
2006-12-27 09:29 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2006-12-26 14:20 <DIR> d--h----- C:\WINDOWS\PIF
2006-12-24 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POP3Profiles
2006-12-17 11:52 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-12-17 11:52 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-12-17 10:54 <DIR> d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Talkback
2006-12-17 10:54 <DIR> d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Mozilla
2006-12-14 22:47 <DIR> d-------- C:\avenger
2006-12-14 22:46 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2006-12-14 21:25 <DIR> d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\F-Secure
2006-12-14 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\ispnews
2006-12-14 14:50 <DIR> d-------- C:\Programme\Key Generator
2006-12-12 15:32 <DIR> d--hs---- C:\WINDOWS\CSC
2006-12-11 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\S.A.D
2006-11-28 12:24 <DIR> d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Azureus


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-12-28 15:18 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-28 10:07 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-12-27 16:02 44 --a------ C:\WINDOWS\system32\msssc.dll
2006-12-27 16:02 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-27 09:29 -------- d-------- C:\Programme\Internet Explorer
2006-12-27 09:27 -------- d-------- C:\Programme\Java
2006-12-27 09:26 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-12-14 21:56 61584 --a------ C:\WINDOWS\system32\drivers\klick.sys
2006-12-14 15:32 -------- d-------- C:\Programme\Documents To Go
2006-12-11 19:30 -------- d-------- C:\Programme\Messenger
2006-12-07 21:01 -------- d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Skype
2006-11-29 11:23 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-22 22:05 -------- d---s---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Microsoft
2006-11-21 22:25 -------- d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\ICQLite
2006-11-14 21:29 -------- d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Sun
2006-11-08 15:46 -------- d-------- C:\Programme\MSN Messenger
2006-11-05 20:10 -------- d-------- C:\Programme\Microsoft Office
2006-11-05 20:09 -------- d-------- C:\Programme\Microsoft.NET
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-28 16:59 -------- d-------- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Google
2006-10-28 12:08 59536 --a------ C:\WINDOWS\system32\drivers\klin.sys
2006-10-28 11:53 -------- d-------- C:\Programme\Google
2006-10-27 09:24 21840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2006-10-27 09:24 17212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2006-10-27 09:24 12067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"Spyware Doctor"="\"E:\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"AVMBLUEPAN"="C:\\Programme\\avmclient\\panapp.exe -debug"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"kis"="\"E:\\Nützliche Pc Programme\\Kaspersky Internet Security 6.0\\avp.exe\""
@=""
"ICQ Lite"="\"F:\\Pc Programme\\ICQLite\\ICQLite.exe\" -minimize"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe\""
"AutoSys"="C:\\WINDOWS\\system32\\autosys.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000002

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,d2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"E:\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"E:\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoCDBurning"=dword:00000000
"FoFileAssociate"=dword:00000000
"StartMenuLogoff"=dword:00000000
"NoShellSearchButton"=dword:00000001
"NoLowDiskSpaceChecks"=dword:00000000
"HideClock"=dword:00000000
"NoRecentDocsMenu"=dword:00000000
"NoFolderOptions"=dword:00000000
"NoUserNameInStartMenu"=dword:00000000
"NoRecentDocsNetHood"=dword:00000000
"NoInstrumentation"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSharedDocuments"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HOTSYNCSHORTCUTNAME.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HOTSYNCSHORTCUTNAME.lnk"
"backup"="C:\\WINDOWS\\pss\\HOTSYNCSHORTCUTNAME.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\PROGRA~1\\Palm\\Hotsync.exe -logon"
"item"="HOTSYNCSHORTCUTNAME"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ISDNWatch.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\ISDNWatch.lnk"
"backup"="C:\\WINDOWS\\pss\\ISDNWatch.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\PROGRA~1\\FRITZ!\\IWatch.exe "
"item"="ISDNWatch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Simon^Startmenü^Programme^Autostart^Palm Registration.lnk]
"path"="C:\\Dokumente und Einstellungen\\Simon\\Startmenü\\Programme\\Autostart\\Palm Registration.lnk"
"backup"="C:\\WINDOWS\\pss\\Palm Registration.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Palm\\register.exe /remind /language=DE /INTL=\"true\" /PRNM=\"Palm\""
"item"="Palm Registration"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Simon^Startmenü^Programme^Autostart^UltimateZip Quick Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\Simon\\Startmenü\\Programme\\Autostart\\UltimateZip Quick Start.lnk"
"backup"="C:\\WINDOWS\\pss\\UltimateZip Quick Start.lnkStartup"
"location"="Startup"
"command"="E:\\Nützliche Pc Programme\\UltimateZip\\UltimateZip\\lil "
"item"="UltimateZip Quick Start"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lingo4u Dictionary]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Dictionary"
"hkey"="HKCU"
"command"="E:\\NÜTZLICHE PROGRAMME\\Dictionary\\Dictionary.exe /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="swdoctor"
"hkey"="HKCU"
"command"="E:\\NTZLIC~1\\SPYWAR~1\\SPYWAR~1\\swdoctor.exe /Q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tuloxFreeWBF]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="FreeDict"
"hkey"="HKLM"
"command"="E:\\WÖRTERBÜCHER\\Französisch-Deutsch\\tuloxFreeWBF\\FreeDict.exe AUTOSTART"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-28 15:20:17.85
C:\ComboFix.txt ... 06-12-28 15:20
C:\ComboFix2.txt ... 06-12-14 22:43

Und jetzt noch diese Datfindbat sachen oda??

Hmm da is sie:

Verzeichnis von C:\WINDOWS\system32

28.12.2006 15:21 28.991 nvapps.xml
28.12.2006 15:19 17.426 lckfldservicelog.txt
28.12.2006 15:19 4.941.667 ikhcore.log
28.12.2006 14:08 10.434 ModemLog_AVM ISDN Custom Config.txt
28.12.2006 14:03 4.180 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
28.12.2006 14:03 4.152 ModemLog_AVM ISDN FAX (G3).txt
28.12.2006 14:03 4.164 ModemLog_AVM ISDN Mailbox (X.75).txt
28.12.2006 14:03 4.192 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
28.12.2006 14:03 4.174 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
28.12.2006 14:03 4.184 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
28.12.2006 11:30 203.328 FNTCACHE.DAT
28.12.2006 10:08 339.956 perfh009.dat
28.12.2006 10:08 52.240 perfc009.dat
28.12.2006 10:08 350.558 perfh007.dat
28.12.2006 10:08 63.194 perfc007.dat
28.12.2006 10:08 808.356 PerfStringBackup.INI
27.12.2006 16:02 44 msssc.dll
27.12.2006 15:45 2.206 wpa.dbl
27.12.2006 13:34 2.981 autosys.exe
27.12.2006 13:34 3.584 msasvc.exe

02.12.2006 13:57 8.891 jupdate-1.5.0_09-b03.log
29.11.2006 11:23 43.520 CmdLineExt03.dll
15.11.2006 21:20 10.474.920 MRT.exe
14.11.2006 16:09 999 ST4UNST.000
14.11.2006 16:09 1.571 ST4UNST.LOG
04.11.2006 14:14 1.245.696 msxml4.dll
27.10.2006 09:24 21.840 SIntfNT.dll


Komischer Weise is beim zweiten nur so viel gekommen! Wieso?

Verzeichnis von C:\DOKUME~1\Simon\LOKALE~1\Temp

Verzeichnis von C:\WINDOWS

28.12.2006 15:19 0 0.log
28.12.2006 15:19 1.392.274 WindowsUpdate.log
28.12.2006 15:19 2.048 bootstat.dat
28.12.2006 10:08 512 ODBC.INI
28.12.2006 10:08 795.652 setupapi.log
28.12.2006 10:07 1.226 win.tmp
28.12.2006 10:07 1.226 win.ini

27.12.2006 17:57 50 wiaservc.log
27.12.2006 17:57 159 wiadebug.log
27.12.2006 16:02 4.071 Ascd_tmp.ini
27.12.2006 15:13 270 SBWIN.INI
27.12.2006 09:29 37 vbaddin.ini
24.12.2006 22:27 116 NeroDigital.ini
19.12.2006 21:08 253 goldwave.ini
17.12.2006 13:44 181.404 setupact.log
17.12.2006 10:54 0 nsreg.dat
14.12.2006 22:12 531 daasunin.LOG
14.12.2006 22:12 1.225 fsdgunst.log
14.12.2006 22:12 2.831 fsmaunin.log
14.12.2006 22:12 458 FSGUIINS.LOG
14.12.2006 22:12 479 fstnbins.LOG
14.12.2006 22:12 32.625 fsavunin.log


Da war dann wieda so wenig!

Verzeichnis von C:\WINDOWS\Temp

28.12.2006 15:19 16.384 ~DFF687.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 2.863.108.096 Bytes frei


Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.05.2005 14:37 65 desktop.ini
09.02.2005 16:54 1.271 erma.inf
19.09.2003 13:22 299.008 isusweb.dll
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
7 Datei(en) 523.387 Bytes
0 Verzeichnis(se), 2.863.108.096 Bytes frei

Verzeichnis von C:\

28.12.2006 15:30 0 sys.txt
28.12.2006 15:30 632 down.txt
28.12.2006 15:30 276 tmp.txt
28.12.2006 15:29 9.709 system.txt
28.12.2006 15:27 133 systemtemp.txt
28.12.2006 15:27 104.311 system32.txt
28.12.2006 15:20 15.143 ComboFix.txt
28.12.2006 15:19 1.048.576.000 pagefile.sys
27.12.2006 13:34 2 1424072369
27.12.2006 13:34 3.648 rvpljn.exe
27.12.2006 13:34 23.552 rjyvgnd.exe

15.12.2006 15:25 1.537.432 drwtsn32.log
14.12.2006 22:47 47.854 avenger.txt
14.12.2006 22:43 109 ComboFix2.txt
25.08.2006 17:41 211 boot.ini
25.05.2005 16:01 47.564 NTDETECT.COM
25.05.2005 16:01 251.184 ntldr
25.05.2005 14:38 0 MSDOS.SYS
25.05.2005 14:38 0 IO.SYS
25.05.2005 14:38 0 CONFIG.SYS
25.05.2005 14:38 0 AUTOEXEC.BAT
18.08.2001 11:00 4.952 bootfont.bin
22 Datei(en) 1.050.622.712 Bytes
0 Verzeichnis(se), 2.863.108.096 Bytes frei

So dass wars.

Was soll ich jetzt tun?
Sabina bekomme ich noch Anleitung..? Bisjetzt wars wirklich toll dass du mir gholfen hast ich bin froh dass es so Leute, bzw Foren gibt wie hier bei euch, großes Lob

aba irgendwie habe ich so das Gefühl, dass ich hier noch was machen muss........ sag mir BBBBBBIIIIIIIIITTTTTTTEEEEEE was.

Danke linuxsuse
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe
Dieser Beitrag wurde am 28.12.2006 um 20:12 Uhr von linuxsuse editiert.
Seitenanfang Seitenende
28.12.2006, 22:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 regsearch
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft authenticate service


in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

MsaSvc


in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

aaa00000.sys

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

_______________________________________________________________-

««««««
Original.Link scheint im Moment down zu sein: (19.12.2006)
Alternative: http://virus-protect.org/zip/gmer.zip

Bitte nutze Gmer .
Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.


_________________________________________________________________________________

warte mit dem avenger, bis ich alle daten zusammenhabe..ich editiere dann

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|AutoSys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc

Files to delete:
C:\1424072369
C:\rvpljn.exe
C:\rjyvgnd.exe
C:\WINDOWS\win.ini
C:\WINDOWS\win.tmp
C:\WINDOWS\system32\autosys.exe
C:\WINDOWS\system32\msasvc.exe

Folders to delete:
C:\Programme\TClock

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

loesche das backup unter C:\Avenger\backup.zip und leere den Papierkorb

-----------
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\nmwrszht.dll (file missing)
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\gplql3351.dll (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.12.2006, 23:24
Member

Themenstarter
Avatar linuxsuse

Beiträge: 33
#5 Das Erste:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 28.12.2006 23:16:38 for strings:
; 'microsoft authenticate service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000]
"DeviceDesc"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc]
"DisplayName"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000]
"DeviceDesc"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc]
"DisplayName"="Microsoft authenticate service"

; End Of The Log...

Das Zweite:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 28.12.2006 23:18:18 for strings:
; 'msasvc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000]
"Service"="MsaSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000\Control]
"ActiveService"="MsaSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc]
; Contents of value:
; c:\windows\system32\msasvc.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
6d,73,61,73,76,63,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc\Enum]
"0"="Root\\LEGACY_MSASVC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000]
"Service"="MsaSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000\Control]
"ActiveService"="MsaSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc]
; Contents of value:
; c:\windows\system32\msasvc.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
6d,73,61,73,76,63,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Enum]
"0"="Root\\LEGACY_MSASVC\\0000"

; End Of The Log...

Das Dritte:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 28.12.2006 23:20:09 for strings:
; 'aaa00000.sys'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Das war das mal und jetzt mach ich das andere Zeug
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe
Seitenanfang Seitenende
28.12.2006, 23:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««««««
Original.Link scheint im Moment down zu sein: (19.12.2006)
Alternative: http://virus-protect.org/zip/gmer.zip

Bitte nutze Gmer .
Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2006, 10:59
Member

Themenstarter
Avatar linuxsuse

Beiträge: 33
#7 Es gibt ein Problem mit Gmer.
Ich scanne ----> und dann findet er einiges und nach 2 minuten bootet er neu, während er noch scannnt, so kann ich dir aber nie ein log schicken weil er immer neu bootet.

Was soll ich tun?
Und Avenger soll ich eh noch nix machen oda?

lg linux (vielen Dank für deine bisherige Hilfe)
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe
Seitenanfang Seitenende
29.12.2006, 14:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 wende den avenger an, poste dann das log nach neustart, was erscheint
dann wende den gmer noch mal an.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2006, 22:11
Member

Themenstarter
Avatar linuxsuse

Beiträge: 33
#9 Also das is das Log das nach neustart angezeigt wurde:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 1813
Line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000


Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 1813
Line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc


Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 1813
Line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000


Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 1813
Line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vxtitnci

*******************

Script file located at: \??\C:\yplkaugb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\1424072369 deleted successfully.
File C:\rvpljn.exe deleted successfully.
File C:\rjyvgnd.exe deleted successfully.
File C:\WINDOWS\win.ini deleted successfully.
File C:\WINDOWS\win.tmp deleted successfully.
File C:\WINDOWS\system32\autosys.exe deleted successfully.
File C:\WINDOWS\system32\msasvc.exe deleted successfully.


Folder C:\Programme\TClock not found!
Deletion of folder C:\Programme\TClock failed!

Could not process line:
C:\Programme\TClock
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|AutoSys deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Das mit Gmer is imma noch ein Problem, er bootet während dem Scan genau so wie vorher.........
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe
Seitenanfang Seitenende
29.12.2006, 23:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
Avenger
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc
»»
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2006, 10:52
Member

Themenstarter
Avatar linuxsuse

Beiträge: 33
#11 Oke hier ist dieser Scanreport

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mbsfu^wj

*******************

Script file located at: \??\C:\Program Files\pebyausl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe
Seitenanfang Seitenende
30.12.2006, 12:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ««
AVG Anti-Rootkit 1.0.0.13 Beta - scanne und berichte, ob ein rootkit gefunden wurde
http://www.freewarefiles.com/program_9_90_22524.html

««
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2006, 14:11
Member

Themenstarter
Avatar linuxsuse

Beiträge: 33
#13 Also es wurde was gefunden: C:\WINDOWS\system32:lzx32.sys

Und der Bericht von cureit oda wie das heißt! da funktioniert donwloadlink net! könnt ich vielleiccht einen anderen download link kriegen?

bite?


lg linuxsuse
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe
Dieser Beitrag wurde am 30.12.2006 um 14:30 Uhr von linuxsuse editiert.
Seitenanfang Seitenende
30.12.2006, 16:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ««
post dieses log
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

««
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

pe386

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

»»
ADSSpy - anwenden
http://virus-protect.org/artikel/tools/ADSSpy.exe

- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk -

nenne die textdatei (z.B) scan.txt -> speichern
nun erscheint auf dem Bildschirm : ADS Spy -> mit der rechten maustaste den Text markieren -> kopieren -> im Forum, wo du einen Beitrag eroeffnet hast -> einfuegen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2006, 22:25
Member

Themenstarter
Avatar linuxsuse

Beiträge: 33
#15 So einmal das Log:

HKLM\SECURITY\Policy\Secrets\SAC* 25.05.2005 14:59 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 25.05.2005 14:59 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 01.09.2005 18:28 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 30.12.2006 22:07 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 01.09.2005 18:32 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40 28.12.2006 11:30 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\jt10dpxj.default\urlclassifier2.sqlite-journal 30.12.2006 22:08 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 30.12.2006 22:04 64.00 KB Visible in Windows API, MFT, but not in directory index.


jetzt kommt Log von regsearch:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 30.12.2006 22:18:52 for strings:
; 'pe386'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

und jetzt beim letzten habe ich alles so gemacht wie du es gesagt hast, aber er hat nichts gefunden.
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: