Winfixer 2005 Überbleibsel |
||
---|---|---|
#0
| ||
23.01.2007, 19:41
Member
Beiträge: 19 |
||
|
||
24.01.2007, 01:36
Ehrenmitglied
Beiträge: 29434 |
#2
DesMas
«« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« poste dieses log http://virus-protect.org/artikel/tools/combofix.html ---------------------------------------------------------------- «« Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) sysmgr64 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) microsoft update in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) msnupdate in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Local Security Authority Subsystem Service in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Microsoft Windows Explorer Shell Subsystem in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Shell32Extender in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) System Manager Service in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) SMSC in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.01.2007, 16:44
Member
Themenstarter Beiträge: 19 |
#3
und auf gehts mal wieder:
system32.txt (mal etwas länger da mit da so einige suspektere sachen weiter unten drin sind) Zitat Volume in Laufwerk C: hat keine Bezeichnung.systemtemp.txt Zitat Volume in Laufwerk C: hat keine Bezeichnung.system.txt Zitat Volume in Laufwerk C: hat keine Bezeichnung.temp.txt Zitat Volume in Laufwerk C: hat keine Bezeichnung.down.txt Zitat Volume in Laufwerk C: hat keine Bezeichnung.sys.txt (ebenfalls etwas weiter) Zitat Volume in Laufwerk C: hat keine Bezeichnung.ComboFix.txt Zitat "Meike" - 07-01-24 16:20:12 Service Pack 1regsearch sysmgr64 Zitat REGEDIT4{00DBDAC8-4691-4797-8E6A-7C6AB89BC441} Zitat REGEDIT4microsoft update Zitat REGEDIT4msnupdate Zitat REGEDIT4Local Security Authority Subsystem Service Zitat REGEDIT4Microsoft Windows Explorer Shell Subsystem Zitat REGEDIT4Shell32Extender Zitat REGEDIT4System Manager Service Zitat REGEDIT4SMSC Zitat REGEDIT4 |
|
|
||
24.01.2007, 17:26
Ehrenmitglied
Beiträge: 29434 |
#4
DesMas
«« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4«« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** scanne mit vundofix http://virus-protect.org/artikel/tools/vundofixx.html --------------------------------------------------------------------- «« ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren «« poste noch mal die 6 logs von datfindbat (bis Mai 2005) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.01.2007, 20:54
Member
Themenstarter Beiträge: 19 |
#5
seufz, manchmal glaube ich, ich sollte den leuten für ihren leichtsinn den rechner einfach neu installieren und abgesichert wiedergeben, damit sie das lernen und für die Sicherung von pers. Daten extra Geld nehmen....
so auf gehts: einmal vorneweg das avenger log, da einige Fehlermeldungen drin sind Zitat Logfile of The Avenger version 1, by Swandog46Vundo vermeldete 0, wobei 2 andere Progs konnten den am Anfang auch net finden, weswegen ich dem nicht trau POST_THIS.TXT Zitat The script did not recognize the services listed below.system32.txt Zitat Verzeichnis von C:\WINDOWS\system32system.txt Zitat Verzeichnis von C:\WINDOWStmp.txt Zitat nixdown.txt Zitat Verzeichnis von C:\WINDOWS\Downloaded Program Filessys.txt Zitat Verzeichnis von C:\ Dieser Beitrag wurde am 26.01.2007 um 16:16 Uhr von DesMas editiert.
|
|
|
||
26.01.2007, 00:18
Ehrenmitglied
Beiträge: 29434 |
#6
formatieren waere natuerlich bei weitem das vernuenftigste
http://www.sophos.com/virusinfo/analyses/w32sdbotajs.html 1. kopiere in regsearch systemdriver System Driver Service rdriv NTFSCrypt MTServ Microsoft Translation Service MBIT ___________________ http://virus-protect.org/artikel/tools/gmer.html nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. ------------------------ http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, ------- auf der gleichen Seite http://virus-protect.org/artikel/tools/sdfix.html - im normamodus - lade sophos, scanne mit option 6 und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.01.2007, 18:26
Member
Themenstarter Beiträge: 19 |
#7
und es nimmt kein Ende ...
regsearch listing systemdriver Zitat REGEDIT4System Driver Service Zitat REGEDIT4rdriv Zitat REGEDIT4NTFSCrypt Zitat REGEDIT4MTServ Zitat REGEDIT4Microsoft Translation Service Zitat REGEDIT4MBIT Zitat REGEDIT4GMER Startlog Zitat ---- Processes - GMER 1.0.12 ----SDFix Log Zitat SDFix: Version 1.62Den Sphos Report häng ich wegen der Länge an. Auszüge Sophos succesfull Zitat --> Virus 'Troj/Rootkit-W'Sophos failed Zitat >>> Virus 'W32/Sdbot-BFX' found in file C:\WINDOWS\aim.exeno comment :/ Anhang: SophosReport.txt
|
|
|
||
26.01.2007, 20:05
Ehrenmitglied
Beiträge: 29434 |
#8
avenger Zitat Registry values to delete:«« Sophos Anti-Rootkit http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html «« AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html ««« http://virus-protect.org/artikel/tools/gmer.html nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. »» dann arbeite bitte noch mal sdfix ab und poste das log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.01.2007, 10:28
Member
Themenstarter Beiträge: 19 |
#9
avenger LOG
Zitat Logfile of The Avenger version 1, by Swandog46Sophos und AVG meldeten keine Funde Gmer vermeldete keine versteckten Prozesse allerdings ist noch wohl einiges in den Einstellungen verdreht, bzw Keys in der Registry fehlern, denn z.B. die SP2 Firewall ist nicht aktivierbar.... EDIT Firewall mit rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf wieder aktiv... Dieser Beitrag wurde am 27.01.2007 um 17:43 Uhr von DesMas editiert.
|
|
|
||
27.01.2007, 21:54
Ehrenmitglied
Beiträge: 29434 |
#10
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html Poste den report, vor allem, was du unter Hidden Files Detector - findest. « poste noch mal das log vom Hijackthis + die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 10:12
Member
Themenstarter Beiträge: 19 |
#11
RootKitReveal
Zitat HKU\.DEFAULT\Control Panel\International 24.01.2007 16:22 0 bytes Security mismatch.DatFind system32.txt Zitat Verzeichnis von C:\WINDOWS\system32systemtemp Zitat Verzeichnis von C:\DOKUME~1\Meike\LOKALE~1\Tempsystem Zitat Verzeichnis von C:\WINDOWSdown Zitat Verzeichnis von C:\WINDOWS\Downloaded Program Filestemp Zitat leersys Zitat Verzeichnis von C:\hijackthis.log Zitat Logfile of HijackThis v1.99.1 |
|
|
||
28.01.2007, 15:47
Ehrenmitglied
Beiträge: 29434 |
#12
kopiere in regsearch:
AOL Instant Messanger ----------------------------------------------------------------------- O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.01.2007, 17:21
Member
Themenstarter Beiträge: 19 |
#13
AOL Instant Messanger
Zitat [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AIM\0000] |
|
|
||
30.01.2007, 00:55
Ehrenmitglied
Beiträge: 29434 |
#14
Avenger
Zitat registry keys to delete:deinstalliere vorruebergehend den Antivirenscanner (AVPersonal) + Symantec und lade Kaspersky Anti-Virus 6.0 http://virus-protect.org/antivirenfree.html scanne , klar - im abgesicherten modus + berichte dann , da der scanner nur trial ist, lade , vorher deinstalliere den kaspersky aber wieder. http://virus-protect.org/antivirus.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2007, 18:22
Member
Themenstarter Beiträge: 19 |
#15
avenger log
Zitat Logfile of The Avenger version 1, by Swandog46Kaspersky fand 0 |
|
|
||
eine Ganze Reihe von Sachen sind bereits raus...(45 warns von Trojaner bis weiss der Kiuckuck was)
Darunter war auch die beegg.dll die nach einschlägigen Forendaten auf Winfixer 2005 Hinweist wenn ich mich net irre und von S&D als VirtuaMonde gelistet wurde.
Allerdings scheine ich nicht alles los geworden zu sein.
Anbei mal das Hijacker log, vielleicht findet eienr noch weise Worte
Zitat