WinAntiVirus Pro 2006 + lzx32.sys pIofCallDriver |
||
---|---|---|
#0
| ||
31.01.2007, 22:11
Ehrenmitglied
Beiträge: 29434 |
||
|
||
31.01.2007, 23:50
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) lzx32.sys in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.01.2007, 23:54
...neu hier
Beiträge: 8 |
#3
Avenger:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\pujuwlri ******************* Script file located at: \??\C:\Program Files\mkbksuah.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Folder C:\Programme\Common Files\Companion Wizard deleted successfully. Folder C:\WA6P deleted successfully. Folder C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjiff not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjiff failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkkl not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkkl failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{63DEC027-FB23-462C-8C0D-BFC2433999E7} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63DEC027-FB23-462C-8C0D-BFC2433999E7} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63DEC027-FB23-462C-8C0D-BFC2433999E7} failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44} failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{7DA39570-5FD2-4f18-94B4-20730CB3F727} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7DA39570-5FD2-4f18-94B4-20730CB3F727} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7DA39570-5FD2-4f18-94B4-20730CB3F727} failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045} not found! Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045} failed! Status: 0xc0000034 Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7E853D72-626A-48EC-A868-BA8D5E23E045} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects\{7E853D72-626A-48EC-A868-BA8D5E23E045} failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. 2. Gmer SweetGreekGirlTzinzi (10:50 PM) : http://board.protecus.de/t28023-1.htm#260533 SweetGreekGirlTzinzi (11:55 PM) : GMER 1.0.12.12011 - http://www.gmer.net Rootkit scan 2007-01-31 23:36:01 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.12 ---- SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver ---- Threads - GMER 1.0.12 ---- Thread 4:112 819B43E0 Thread 4:116 819B43E0 Thread 4:120 8198A820 Thread 4:124 8198A820 Thread 4:128 8198A820 Thread 4:404 819B43E0 Thread 4:540 819B43E0 Thread 4:432 FF2807D0 ---- Services - GMER 1.0.12 ---- Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!! ---- EOF - GMER 1.0.12 ---- 3. SDFIX SDFix: Version 1.63 01.02.2007 - 0:03:46,44 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ [COLOR=RED]Rootkit PE386 maybe active, Use a Rootkit scanner![/COLOR] Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe"="C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus" "C:\\Programme\\FRITZ!DSL\\AWatch.exe"="C:\\Programme\\FRITZ!DSL\\AWatch.exe:*:Enabled:ADSLWatch" "C:\\Programme\\FRITZ!DSL\\FritzDsl.exe"="C:\\Programme\\FRITZ!DSL\\FritzDsl.exe:*:Enabled:FRITZ!web DSL" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Mozilla Firefox" "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe" "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update" "C:\\Programme\\Morpheus\\Morpheus.exe"="C:\\Programme\\Morpheus\\Morpheus.exe:*:Enabled:M5Shell" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent" "C:\\Programme\\Maxis\\SimCity 3000 Deutschland\\Apps\\Updater\\UPDATER.EXE"="C:\\Programme\\Maxis\\SimCity 3000 Deutschland\\Apps\\Updater\\UPDATER.EXE:*:Enabled:SC3UpdaterMFC" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"="C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe:*:Enabled:XPressUpdate" "C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer" "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Windows Explorer" "C:\\DOKUME~1\\Chrissie\\LOKALE~1\\Temp\\win3E.tmp.exe"="C:\\DOKUME~1\\Chrissie\\LOKALE~1\\Temp\\win3E.tmp.exe:*:Enabled:win3E.tmp" "C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus" "C:\\Programme\\WinAntiVirus Pro 2006\\Updater.exe"="C:\\Programme\\WinAntiVirus Pro 2006\\Updater.exe:*:Enabled:updater.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\QooBox\Purity\DOKUME~1\Chrissie\Anwendungsdaten\STEM~1\n?pdb.exe C:\QooBox\Purity\WINDOWS\system32\CROSOF~1\smss.exe Finished Dieser Beitrag wurde am 01.02.2007 um 00:21 Uhr von Keti1985 editiert.
|
|
|
||
01.02.2007, 10:35
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
Keti1985
Start -- Ausführen -- schreib rein: cmd Zitat sc stop Win23 lzx files loader[klicke "enter"] und warte ein bisschen, dann kopiere rein: Zitat sc delete Win23 lzx files loader[klicke "enter"] ............................................................................................... Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten «« poste das log vom avenger, was nach neustart erscheint ------------ Start - Ausfuhren - regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services loesche alle pe386 - wenn du sie findest -------------------------------- «« gehe in gmer und loesche: (kill - wenn es noch vorhanden ist System Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver Services Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 -------------- dann lasse den gemer noch mal laut Anleitung durchlaufen und poste den report, damit ich sehe, ob der rootkit geloscht ist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2007, 22:32
...neu hier
Beiträge: 8 |
#5
Zitat Sabina postete Dieser Beitrag wurde am 01.02.2007 um 23:28 Uhr von Keti1985 editiert.
|
|
|
||
01.02.2007, 23:44
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
sieht gut aus
schade, dass du nicht das log vom avenger gepostet hast... scanne und berichte AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.02.2007, 16:39
...neu hier
Beiträge: 8 |
#7
Avenger Log hab ich gestern Abend gepostet. Hab extra nochmal die Seite aufgerufen, weil ichs vergessen hatte. aber wahrscheinlich is was schiefgelaufen zu so später Stunde.
Deinen anderen tipp führ ich heut Abend aus. |
|
|
||
02.02.2007, 16:45
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
poste dann den scanreport vom rootkitscanner
+ http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle die 6 - lasse scannen und poste hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.02.2007, 20:58
...neu hier
Beiträge: 8 |
#9
AVG hat keine Rootkit gefunden!
|
|
|
||
03.02.2007, 00:11
...neu hier
Beiträge: 8 |
#10
Report Sophos:
Sophos Anti-Virus Version 4.13.0 [Win32/Intel] Virus data version 4.13, January 2007 Includes detection for 208818 viruses, trojans and worms Copyright (c) 1989-2007 Sophos Plc, www.sophos.com System time 21:00:27, System date 02 February 2007 Command line qualifiers are: -f -remove -nc -nb --stop-scan IDE directory is: C:\Dokumente und Einstellungen\Chrissie\Desktop\SDFix\SDFix\IDE 1 boot sector swept. 19539 files swept in 25 minutes and 25 seconds. No viruses were discovered. Ending Sophos Anti-Virus. Ewido folgt noch. Dieser Beitrag wurde am 03.02.2007 um 01:07 Uhr von Keti1985 editiert.
|
|
|
||
03.02.2007, 00:28
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#11
scanne und poste den scanreport
http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.02.2007, 01:08
...neu hier
Beiträge: 8 |
#12
---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 01:02:23 03.02.2007 + Scan-Ergebnis: C:\avenger\backup-01.02.2007-22.38.09,12.zip/avenger/Companion Wizard/WapCHK.dll -> Adware.Companion : Ignoriert. C:\avenger\backup-01.02.2007-22.38.09,12.zip/avenger/WinAntiVirus Pro 2006/WapCHK.dll -> Adware.WinAntiVirus : Ignoriert. :mozilla.79:C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\Mozilla\Firefox\Profiles\33ds13qc.default\cookies-1.txt -> TrackingCookie.2o7 : Ignoriert. :mozilla.46:C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\Mozilla\Firefox\Profiles\33ds13qc.default\cookies-3.txt -> TrackingCookie.71i : Ignoriert. :mozilla.48:C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\Mozilla\Firefox\Profiles\33ds13qc.default\cookies-6.txt -> TrackingCookie.71i : Ignoriert. :mozilla.53:C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\Mozilla\Firefox\Profiles\33ds13qc.default\cookies-4.txt ::Berichtend Cookies hab ich mit Clean up entfernt, Backup gelöscht. Scanne morgen mal nochmal |
|
|
||
03.02.2007, 18:17
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#13
««
AVG Anti-Spyware loescht..man darf natuerlich nicht auf Ignoriert. belassen dann sollte wieder alles i.o. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 13:14
...neu hier
Beiträge: 8 |
#14
Wie stellt man den AVG ein, dass er löscht? Das hab ich irgendwie net finden können.
|
|
|
||
04.02.2007, 13:16
Ehrenmitglied
Themenstarter Beiträge: 29434 |
||
|
||
Zitat
1.noch mal der avenger
Zitat
2.http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
--------------------------------------------------
3.
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken
es erscheint folgende Meldung:
"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"
unter C:\ findet man nun den SDFix-Ordner
boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)
gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken
schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
--------------
Code \??\C:\WINDOWS\system32:lzx32.sys
---- Services - GMER 1.0.12 ----
Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!
__________
MfG Sabina
rund um die PC-Sicherheit