tr/crypt.fkm.gen

#16 boa nee hatte zu weit runtergescrollt und hab das erste programm nicht angewandt , ich wiederhole alles ~ sorry

#17 wende es im abgesicherten Modus an, denn wie du geschrieben hast, klappt es im Normalmodus nicht.
poste dann bitte den report
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\System32\com7.fdn
\\?\C:\WINDOWS\System32\com7.fdn
Resetting file permissions...
Clearing attributes...
Zugriff verweigert - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programme\Gemeinsame Dateien


Trojan.Gromozon Removed!


kann den avenger wieder starten!


soll ich nun mit deinen letzten punkten fortfahren?

#19 1.
wende den avenger an

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
c:\windows\naelq1.dll
C:\WINDOWS\naelq1.del

dann arbeite alles weitere ab, was ich zuletzt geschrieben habe.
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ohkdndbg

*******************

Script file located at: \??\C:\WINDOWS\System32\ninunyur.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\naelq1.dll deleted successfully.


File C:\WINDOWS\naelq1.del not found!
Deletion of file C:\WINDOWS\naelq1.del failed!

Could not process line:
C:\WINDOWS\naelq1.del
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} failed!
Status: 0xc0000034



Could not get size of registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate

#21 hijackthis

diesen auftrag verstehe ich nicht, es befindet sich lediglich eine beispieldatei unter "open hosts file manager"


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost







Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07.02.2007 12:05:09 for strings:
; '{a9db0bc1-9ba5-8840-a638-86fba9755b3d}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks]
"{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}]

; End Of The Log...




Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07.02.2007 12:08:42 for strings:
; 'naelq1'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1}\InprocServer32]
@="C:\\WINDOWS\\naelq1.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B}\InprocServer32]
@="C:\\WINDOWS\\naelq1.dll"

; End Of The Log...





Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07.02.2007 12:12:11 for strings:
; 'com7.fdn'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...






rootkitreveal:



HKLM\SECURITY\Policy\Secrets\SAC* 12.11.2004 20:02 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 12.11.2004 20:02 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 28.12.2006 16:49 0 bytes Access is denied.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat:KAVICHS 24.11.2006 18:18 68 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat:KAVICHS 24.11.2006 18:18 36 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\a.JPG 07.02.2007 12:18 182.75 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\aa.JPG 07.02.2007 12:18 185.31 KB Visible in directory index, but not Windows API or MFT.
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 07.02.2007 12:01 36 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat:KAVICHS 05.08.2005 08:39 36 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Dr.SwifT\Recent\a.JPG.lnk 07.02.2007 12:18 368 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Dr.SwifT\Recent\aa.JPG.lnk 07.02.2007 12:18 471 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf 07.02.2007 12:18 13.28 KB Hidden from Windows API.

#22 während des scans von rootkitreveal zeigte mir antivir folgende 2 meldungen:

#23 swifffer

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
Avenger

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B}

Files to delete:
C:\_cleaned.tmp

««
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#24 habe den avenger zuerst ohne die deaktivierung der systemwiederherstellung laufen lassen, habe zu spät gemerkt das du editiert hast.

hier der zweite scanbericht mit deaktivierung:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dwvceaip

*******************

Script file located at: liwjbhqr

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!



scheint das er alles gelöscht hat?












The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 1
Feb 7, 2007 13:37:04


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1932
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanenten Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1948
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #3
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{6d1441e6-9847-404a-8417-b820c3de6bc1}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 84 Win32 services on this machine.
3 were unrecognized.

Script Execution Time: 1,109375 seconds.

#25 ««
wende den avenger noch mal an - du hast wahrscheinlich zitat mit reinkopiert - oder nicht das richtige angehakt

---------

License: Freeware/Getservices http://www.bleepingcomputer.com/files/getservices.php

Note: Administrator
- klicke auf "getservice.bat und poste, was im Editor erscheint.
- get_active_services_179.zip -- entpacken
- gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

- öffnen --"get active services.vbs"--scannen--Active.txt--es öffnet sich der [Texteditor]
- nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bbjfwvmo

*******************

Script file located at: \??\C:\WINDOWS\ajncgglf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\_cleaned.tmp deleted successfully.


Could not delete registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}
Deletion of registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

edit (Sabina)

#27 klicke Option 4 (Kaspersky)
scanne und poste den scanreport
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#28 ich nehme an ich hab das programm nicht richtig angewandt oder?

#29 alles richtig
und alles sauber - ich habe keinen Dienst gefunden, der da nicht hingehoert

was den Avenger betrifft...so ueberpruefen wir dann spaeter noch mal, warum die reg-Eintraege nicht gefunden wurden)
__________
MfG Sabina

rund um die PC-Sicherheit

#30 scanreport ist sehr lange deshalb anhang !

............................

e:\SETUP.EXE/data0010/NHInstall.exe
e:\SETUP.EXE/data0010/v2.0.3.cab archive: CAB
e:\SETUP.EXE/data0010/v2.0.3.cab/NHUninstaller.exe infected: not-a-virus:AdWare.Win32.NavExcel
e:\SETUP.EXE/data0010/v2.0.3.cab/NHUpdater.exe infected: not-a-virus:AdWare.Win32.NavExcel.b
e:\SETUP.EXE/data0010/v2.0.3.cab/NHelper.dll infected: not-a-virus:AdWare.Win32.NavExcel.d
e:\SETUP.EXE/data0010/v2.0.3.cab/NHelper.dll disinfection failed: not-a-virus:AdWare.Win32.NavExcel.d
e:\SETUP.EXE/data0010/v2.0.3.cab disinfection failed: not-a-virus:AdWare.Win32.NavExcel.d
e:\SETUP.EXE/data0010 disinfection failed: not-a-virus:AdWare.Win32.NavExcel.d
e:\SETUP.EXE disinfection failed: not-a-virus:AdWare.Win32.NavExcel.d