WinAntiVirus Pro 2006 + lzx32.sys pIofCallDriver

#0
31.01.2007, 22:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1 Keti1985

Zitat

((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

Rootkit driver pe386 is present. A rootkit scan is required
1.
noch mal der avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjiff
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkkl
HKLM\SOFTWARE\Classes\CLSID\{63DEC027-FB23-462C-8C0D-BFC2433999E7}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63DEC027-FB23-462C-8C0D-BFC2433999E7}
HKLM\SOFTWARE\Classes\CLSID\{B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44}
HKLM\SOFTWARE\Classes\CLSID\{7DA39570-5FD2-4f18-94B4-20730CB3F727}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7DA39570-5FD2-4f18-94B4-20730CB3F727}
HKLM\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7E853D72-626A-48EC-A868-BA8D5E23E045}

Folders to delete:
C:\Programme\Common Files\Companion Wizard
C:\WA6P
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
2.
http://virus-protect.org/artikel/tools/gmer.html

nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

--------------------------------------------------

3.
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"


unter C:\ findet man nun den SDFix-Ordner


boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

--------------


Code \??\C:\WINDOWS\system32:lzx32.sys
---- Services - GMER 1.0.12 ----


Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2007, 23:50
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

lzx32.sys

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2007, 23:54
...neu hier

Beiträge: 8
#3 Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pujuwlri

*******************

Script file located at: \??\C:\Program Files\mkbksuah.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programme\Common Files\Companion Wizard deleted successfully.
Folder C:\WA6P deleted successfully.
Folder C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjiff not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjiff failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkkl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkkl failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{63DEC027-FB23-462C-8C0D-BFC2433999E7} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63DEC027-FB23-462C-8C0D-BFC2433999E7} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63DEC027-FB23-462C-8C0D-BFC2433999E7} failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44} failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{7DA39570-5FD2-4f18-94B4-20730CB3F727} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7DA39570-5FD2-4f18-94B4-20730CB3F727} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7DA39570-5FD2-4f18-94B4-20730CB3F727} failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045} not found!
Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045} failed!
Status: 0xc0000034



Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7E853D72-626A-48EC-A868-BA8D5E23E045} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7E853D72-626A-48EC-A868-BA8D5E23E045} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


2. Gmer

SweetGreekGirlTzinzi (10:50 PM) :
http://board.protecus.de/t28023-1.htm#260533
SweetGreekGirlTzinzi (11:55 PM) :
GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-31 23:36:01
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver

---- Threads - GMER 1.0.12 ----

Thread 4:112 819B43E0
Thread 4:116 819B43E0
Thread 4:120 8198A820
Thread 4:124 8198A820
Thread 4:128 8198A820
Thread 4:404 819B43E0
Thread 4:540 819B43E0
Thread 4:432 FF2807D0

---- Services - GMER 1.0.12 ----

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!

---- EOF - GMER 1.0.12 ----


3. SDFIX


SDFix: Version 1.63

01.02.2007 - 0:03:46,44

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------

[COLOR=RED]Rootkit PE386 maybe active, Use a Rootkit scanner![/COLOR]

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe"="C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\\Programme\\FRITZ!DSL\\AWatch.exe"="C:\\Programme\\FRITZ!DSL\\AWatch.exe:*:Enabled:ADSLWatch"
"C:\\Programme\\FRITZ!DSL\\FritzDsl.exe"="C:\\Programme\\FRITZ!DSL\\FritzDsl.exe:*:Enabled:FRITZ!web DSL"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Mozilla Firefox"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\\Programme\\Morpheus\\Morpheus.exe"="C:\\Programme\\Morpheus\\Morpheus.exe:*:Enabled:M5Shell"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\Maxis\\SimCity 3000 Deutschland\\Apps\\Updater\\UPDATER.EXE"="C:\\Programme\\Maxis\\SimCity 3000 Deutschland\\Apps\\Updater\\UPDATER.EXE:*:Enabled:SC3UpdaterMFC"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"="C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe:*:Enabled:XPressUpdate"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Windows Explorer"
"C:\\DOKUME~1\\Chrissie\\LOKALE~1\\Temp\\win3E.tmp.exe"="C:\\DOKUME~1\\Chrissie\\LOKALE~1\\Temp\\win3E.tmp.exe:*:Enabled:win3E.tmp"
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\\Programme\\WinAntiVirus Pro 2006\\Updater.exe"="C:\\Programme\\WinAntiVirus Pro 2006\\Updater.exe:*:Enabled:updater.exe"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\QooBox\Purity\DOKUME~1\Chrissie\Anwendungsdaten\STEM~1\n?pdb.exe
C:\QooBox\Purity\WINDOWS\system32\CROSOF~1\smss.exe

Finished
Dieser Beitrag wurde am 01.02.2007 um 00:21 Uhr von Keti1985 editiert.
Seitenanfang Seitenende
01.02.2007, 10:35
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 Keti1985

Start -- Ausführen -- schreib rein: cmd

Zitat

sc stop Win23 lzx files loader
[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

Zitat

sc delete Win23 lzx files loader
[klicke "enter"]

...............................................................................................

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Programme\WinAntiVirus Pro 2006\Updater.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\Chrissie\Lokale Einstellungen\Temp\win3E.tmp.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lzx32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN

drivers to unload:
C:\windows\system32\ lzx32 sys

Files to delete:
C:\windows\system32\ lzx32 sys
C:\WINDOWS\system32\drivers\uwasfsd.sys
C:\WINDOWS\system32\fwsvc.sys
C:\WINDOWS\system32\drivers\vspf5.sys
C:\WINDOWS\system32\drivers\vspf_hk5.sys
C:\WINDOWS\system32\drivers\fopn.sys
C:\Dokumente und Einstellungen\%Username%\fopn.sys
C:\Dokumente und Einstellungen\Chrissie\Lokale Einstellungen\Temp\win3E.tmp.exe
C:\temp\%u.tmp

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

««
poste das log vom avenger, was nach neustart erscheint


------------

Start - Ausfuhren - regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

loesche alle pe386 - wenn du sie findest

--------------------------------

««
gehe in gmer
und loesche: (kill;) - wenn es noch vorhanden ist

System
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver

Services
Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386

--------------

dann lasse den gemer noch mal laut Anleitung durchlaufen und poste den report, damit ich sehe, ob der rootkit geloscht ist
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2007, 22:32
...neu hier

Beiträge: 8
#5

Zitat

Sabina postete
Keti1985

Start -- Ausführen -- schreib rein: cmd

Zitat

sc stop Win23 lzx files loader
[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

Zitat

sc delete Win23 lzx files loader
[klicke "enter"]

Meldung: Ist kein installierter Dienst

pe386 konnte ich nicht finden.

Bei gmer hab ich die zwei Dateien zum killen net gefunden.

GMER REPORT:

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-02-01 23:07:20
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296]

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!KiDispatchInterrupt + BA 804DB92E 7 Bytes JMP F8DAA120 \??\C:\WINDOWS\system32\drivers\klif.sys
.text ntoskrnl.exe!IoIsOperationSynchronous 804E8752 3 Bytes JMP F8DA72A0 \??\C:\WINDOWS\system32\drivers\klif.sys
.text ntoskrnl.exe!IoIsOperationSynchronous + 4 804E8756 1 Byte [ 78 ]
.text ntoskrnl.exe!FsRtlCheckLockForReadAccess 804FBE09 5 Bytes JMP F8DA6E10 \??\C:\WINDOWS\system32\drivers\klif.sys

---- User code sections - GMER 1.0.12 ----

.text C:\WINDOWS\system32\alg.exe[208] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\alg.exe[208] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\alg.exe[208] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\alg.exe[208] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\alg.exe[208] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\WINDOWS\explorer.exe[496] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\explorer.exe[496] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\explorer.exe[496] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\explorer.exe[496] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\explorer.exe[496] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\WINDOWS\system32\csrss.exe[732] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\csrss.exe[732] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\csrss.exe[732] KERNEL32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\csrss.exe[732] KERNEL32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\winlogon.exe[756] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\winlogon.exe[756] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\winlogon.exe[756] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\winlogon.exe[756] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\services.exe[800] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\services.exe[800] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\services.exe[800] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\services.exe[800] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\svchost.exe[964] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\svchost.exe[964] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\svchost.exe[964] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\svchost.exe[964] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1052] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\svchost.exe[1052] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1052] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1052] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1088] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\svchost.exe[1088] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1088] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1088] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1212] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\svchost.exe[1212] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1212] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1212] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1244] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\svchost.exe[1244] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1244] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1244] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\spoolsv.exe[1292] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\spoolsv.exe[1292] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\spoolsv.exe[1292] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\spoolsv.exe[1292] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Programme\FRITZ!DSL\IGDCTRL.EXE[1400] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\FRITZ!DSL\IGDCTRL.EXE[1400] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Programme\FRITZ!DSL\IGDCTRL.EXE[1400] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Programme\FRITZ!DSL\IGDCTRL.EXE[1400] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Programme\avmwlanstick\WLanNetService.exe[1412] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\avmwlanstick\WLanNetService.exe[1412] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Programme\avmwlanstick\WLanNetService.exe[1412] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Programme\avmwlanstick\WLanNetService.exe[1412] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1736] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\svchost.exe[1736] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1736] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\svchost.exe[1736] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe[2112] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe[2112] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe[2112] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe[2112] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe[2112] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[2180] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[2180] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[2180] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[2180] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[2180] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\WINDOWS\system32\VTTimer.exe[2836] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\system32\VTTimer.exe[2836] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\system32\VTTimer.exe[2836] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\system32\VTTimer.exe[2836] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\system32\VTTimer.exe[2836] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\WINDOWS\AGRSMMSG.exe[2856] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\AGRSMMSG.exe[2856] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\AGRSMMSG.exe[2856] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\WINDOWS\AGRSMMSG.exe[2856] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\WINDOWS\AGRSMMSG.exe[2856] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\Programme\Apoint2K\Apoint.exe[2888] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Apoint2K\Apoint.exe[2888] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Programme\Apoint2K\Apoint.exe[2888] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Programme\Apoint2K\Apoint.exe[2888] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Programme\Apoint2K\Apoint.exe[2888] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\Dokumente und Einstellungen\Chrissie\Desktop\gmer\gmer.exe[2924] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Dokumente und Einstellungen\Chrissie\Desktop\gmer\gmer.exe[2924] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Dokumente und Einstellungen\Chrissie\Desktop\gmer\gmer.exe[2924] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Dokumente und Einstellungen\Chrissie\Desktop\gmer\gmer.exe[2924] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Dokumente und Einstellungen\Chrissie\Desktop\gmer\gmer.exe[2924] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\Programme\Java\jre1.5.0_10\bin\jusched.exe[2928] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Java\jre1.5.0_10\bin\jusched.exe[2928] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Programme\Java\jre1.5.0_10\bin\jusched.exe[2928] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Programme\Java\jre1.5.0_10\bin\jusched.exe[2928] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Programme\Java\jre1.5.0_10\bin\jusched.exe[2928] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\Programme\avmwlanstick\WLanGUI.exe[2944] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\avmwlanstick\WLanGUI.exe[2944] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Programme\avmwlanstick\WLanGUI.exe[2944] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Programme\avmwlanstick\WLanGUI.exe[2944] kernel32.dll!CreateProcessA 7C802367 6 Bytes [ FF, 25, 1E, 00, 05, 5F ]
.text C:\Programme\avmwlanstick\WLanGUI.exe[2944] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes [ 45, 54, 7F, E2 ]
.text C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe[2988] ntdll.dll!NtTerminateProcess 7C91E88E 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe[2988] ntdll.dll!NtTerminateProcess + 4 7C91E892 2 Bytes [ 0F, 5F ]
.text C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe[2988] kernel32.dll!CreateProcessW 7C802332 6 Bytes [ FF, 25, 1E, 00, 0C, 5F ]
.text C:\Programme\Steganos\Steganos Internet Security 2007\
Dieser Beitrag wurde am 01.02.2007 um 23:28 Uhr von Keti1985 editiert.
Seitenanfang Seitenende
01.02.2007, 23:44
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#6 sieht gut aus ;)
schade, dass du nicht das log vom avenger gepostet hast...

scanne und berichte
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.02.2007, 16:39
...neu hier

Beiträge: 8
#7 Avenger Log hab ich gestern Abend gepostet. Hab extra nochmal die Seite aufgerufen, weil ichs vergessen hatte. aber wahrscheinlich is was schiefgelaufen zu so später Stunde.
Deinen anderen tipp führ ich heut Abend aus.
Seitenanfang Seitenende
02.02.2007, 16:45
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#8 poste dann den scanreport vom rootkitscanner ;)

+
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken

reinschreiben: 3

3 : wird Sophos geladen - waehle die 6 - lasse scannen und poste hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.02.2007, 20:58
...neu hier

Beiträge: 8
#9 AVG hat keine Rootkit gefunden!
Seitenanfang Seitenende
03.02.2007, 00:11
...neu hier

Beiträge: 8
#10 Report Sophos:

Sophos Anti-Virus
Version 4.13.0 [Win32/Intel]
Virus data version 4.13, January 2007
Includes detection for 208818 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 21:00:27, System date 02 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: C:\Dokumente und Einstellungen\Chrissie\Desktop\SDFix\SDFix\IDE



1 boot sector swept.
19539 files swept in 25 minutes and 25 seconds.
No viruses were discovered.
Ending Sophos Anti-Virus.


Ewido folgt noch.
Dieser Beitrag wurde am 03.02.2007 um 01:07 Uhr von Keti1985 editiert.
Seitenanfang Seitenende
03.02.2007, 00:28
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#11 scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.02.2007, 01:08
...neu hier

Beiträge: 8
#12 ---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:02:23 03.02.2007

+ Scan-Ergebnis:



C:\avenger\backup-01.02.2007-22.38.09,12.zip/avenger/Companion Wizard/WapCHK.dll -> Adware.Companion : Ignoriert.
C:\avenger\backup-01.02.2007-22.38.09,12.zip/avenger/WinAntiVirus Pro 2006/WapCHK.dll -> Adware.WinAntiVirus : Ignoriert.
:mozilla.79:C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\Mozilla\Firefox\Profiles\33ds13qc.default\cookies-1.txt -> TrackingCookie.2o7 : Ignoriert.
:mozilla.46:C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\Mozilla\Firefox\Profiles\33ds13qc.default\cookies-3.txt -> TrackingCookie.71i : Ignoriert.
:mozilla.48:C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\Mozilla\Firefox\Profiles\33ds13qc.default\cookies-6.txt -> TrackingCookie.71i : Ignoriert.
:mozilla.53:C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\Mozilla\Firefox\Profiles\33ds13qc.default\cookies-4.txt


::Berichtend
Cookies hab ich mit Clean up entfernt, Backup gelöscht. Scanne morgen mal nochmal
Seitenanfang Seitenende
03.02.2007, 18:17
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#13 ««
AVG Anti-Spyware loescht..man darf natuerlich nicht auf Ignoriert. belassen ;)

dann sollte wieder alles i.o. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.02.2007, 13:14
...neu hier

Beiträge: 8
#14 Wie stellt man den AVG ein, dass er löscht? Das hab ich irgendwie net finden können.
Seitenanfang Seitenende
04.02.2007, 13:16
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#15 ;)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: