tr/crypt.fkm.gen |
||
---|---|---|
#0
| ||
07.02.2007, 11:16
Member
Themenstarter Beiträge: 41 |
#16
boa nee hatte zu weit runtergescrollt und hab das erste programm nicht angewandt , ich wiederhole alles ~ sorry
|
|
|
||
07.02.2007, 11:28
Ehrenmitglied
Beiträge: 29434 |
#17
wende es im abgesicherten Modus an, denn wie du geschrieben hast, klappt es im Normalmodus nicht.
poste dann bitte den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 11:29
Member
Themenstarter Beiträge: 41 |
#18
Removal tool loaded into memory
------------------------------------ Executing rootkit removal engine.... ------------------------------------ Disabling rootkit file: \\?\C:\WINDOWS\System32\com7.fdn \\?\C:\WINDOWS\System32\com7.fdn Resetting file permissions... Clearing attributes... Zugriff verweigert - C:\_cleaned.tmp Removing file... Rootkit removed! Cleaning up... Removing temp files... Scanning: C:\WINDOWS Scanning: C:\Programme\Gemeinsame Dateien Trojan.Gromozon Removed! kann den avenger wieder starten! soll ich nun mit deinen letzten punkten fortfahren? |
|
|
||
07.02.2007, 11:38
Ehrenmitglied
Beiträge: 29434 |
#19
1.
wende den avenger an Zitat registry keys to delete:dann arbeite alles weitere ab, was ich zuletzt geschrieben habe. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 11:53
Member
Themenstarter Beiträge: 41 |
#20
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ohkdndbg ******************* Script file located at: \??\C:\WINDOWS\System32\ninunyur.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File c:\windows\naelq1.dll deleted successfully. File C:\WINDOWS\naelq1.del not found! Deletion of file C:\WINDOWS\naelq1.del failed! Could not process line: C:\WINDOWS\naelq1.del Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} failed! Status: 0xc0000034 Could not get size of registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs Replacement with dummy of registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate |
|
|
||
07.02.2007, 12:17
Member
Themenstarter Beiträge: 41 |
#21
hijackthis
diesen auftrag verstehe ich nicht, es befindet sich lediglich eine beispieldatei unter "open hosts file manager" # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 127.0.0.1 localhost Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 07.02.2007 12:05:09 for strings: ; '{a9db0bc1-9ba5-8840-a638-86fba9755b3d}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks] "{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}] ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 07.02.2007 12:08:42 for strings: ; 'naelq1' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1}\InprocServer32] @="C:\\WINDOWS\\naelq1.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B}\InprocServer32] @="C:\\WINDOWS\\naelq1.dll" ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 07.02.2007 12:12:11 for strings: ; 'com7.fdn' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... rootkitreveal: HKLM\SECURITY\Policy\Secrets\SAC* 12.11.2004 20:02 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 12.11.2004 20:02 0 bytes Key name contains embedded nulls (*) HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 28.12.2006 16:49 0 bytes Access is denied. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat:KAVICHS 24.11.2006 18:18 68 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat:KAVICHS 24.11.2006 18:18 36 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\a.JPG 07.02.2007 12:18 182.75 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\aa.JPG 07.02.2007 12:18 185.31 KB Visible in directory index, but not Windows API or MFT. C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 07.02.2007 12:01 36 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat:KAVICHS 05.08.2005 08:39 36 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Dr.SwifT\Recent\a.JPG.lnk 07.02.2007 12:18 368 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Dr.SwifT\Recent\aa.JPG.lnk 07.02.2007 12:18 471 bytes Visible in directory index, but not Windows API or MFT. C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf 07.02.2007 12:18 13.28 KB Hidden from Windows API. |
|
|
||
07.02.2007, 12:18
Member
Themenstarter Beiträge: 41 |
||
|
||
07.02.2007, 13:05
Ehrenmitglied
Beiträge: 29434 |
#23
swifffer
«« Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. «« Avenger Zitat Registry values to delete:«« ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 13:29
Member
Themenstarter Beiträge: 41 |
#24
habe den avenger zuerst ohne die deaktivierung der systemwiederherstellung laufen lassen, habe zu spät gemerkt das du editiert hast.
hier der zweite scanbericht mit deaktivierung: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\dwvceaip ******************* Script file located at: liwjbhqr Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! scheint das er alles gelöscht hat? The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 1 Feb 7, 2007 13:37:04 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir PersonalEdition Classic Planer Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1932 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Guard Start Mode: Auto Start Name: LocalSystem Description: Bietet permanenten Schutz vor Viren und Malware mit der AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1948 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #3 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{6d1441e6-9847-404a-8417-b820c3de6bc1} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 84 Win32 services on this machine. 3 were unrecognized. Script Execution Time: 1,109375 seconds. Dieser Beitrag wurde am 07.02.2007 um 13:33 Uhr von swifffer editiert.
|
|
|
||
07.02.2007, 13:34
Ehrenmitglied
Beiträge: 29434 |
#25
««
wende den avenger noch mal an - du hast wahrscheinlich zitat mit reinkopiert - oder nicht das richtige angehakt --------- License: Freeware/Getservices http://www.bleepingcomputer.com/files/getservices.php Note: Administrator - klicke auf "getservice.bat und poste, was im Editor erscheint. - get_active_services_179.zip -- entpacken - gehe in den abgesicherten Modus (du must als Administrator angemeldet sein) http://www.tu-berlin.de/www/software/virus/savemode.shtml - öffnen --"get active services.vbs"--scannen--Active.txt--es öffnet sich der [Texteditor] - nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 13:55
Member
Themenstarter Beiträge: 41 |
#26
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\bbjfwvmo ******************* Script file located at: \??\C:\WINDOWS\ajncgglf.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\_cleaned.tmp deleted successfully. Could not delete registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} Deletion of registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} not found! Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B} failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. edit (Sabina) |
|
|
||
07.02.2007, 14:04
Ehrenmitglied
Beiträge: 29434 |
#27
klicke Option 4 (Kaspersky)
scanne und poste den scanreport http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 14:04
Member
Themenstarter Beiträge: 41 |
#28
ich nehme an ich hab das programm nicht richtig angewandt oder?
|
|
|
||
07.02.2007, 14:06
Ehrenmitglied
Beiträge: 29434 |
#29
alles richtig
und alles sauber - ich habe keinen Dienst gefunden, der da nicht hingehoert was den Avenger betrifft...so ueberpruefen wir dann spaeter noch mal, warum die reg-Eintraege nicht gefunden wurden) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 15:55
Member
Themenstarter Beiträge: 41 |
#30
scanreport ist sehr lange deshalb anhang !
............................ e:\SETUP.EXE/data0010/NHInstall.exe e:\SETUP.EXE/data0010/v2.0.3.cab archive: CAB e:\SETUP.EXE/data0010/v2.0.3.cab/NHUninstaller.exe infected: not-a-virus:AdWare.Win32.NavExcel e:\SETUP.EXE/data0010/v2.0.3.cab/NHUpdater.exe infected: not-a-virus:AdWare.Win32.NavExcel.b e:\SETUP.EXE/data0010/v2.0.3.cab/NHelper.dll infected: not-a-virus:AdWare.Win32.NavExcel.d e:\SETUP.EXE/data0010/v2.0.3.cab/NHelper.dll disinfection failed: not-a-virus:AdWare.Win32.NavExcel.d e:\SETUP.EXE/data0010/v2.0.3.cab disinfection failed: not-a-virus:AdWare.Win32.NavExcel.d e:\SETUP.EXE/data0010 disinfection failed: not-a-virus:AdWare.Win32.NavExcel.d e:\SETUP.EXE disinfection failed: not-a-virus:AdWare.Win32.NavExcel.d Anhang: ScanReport.txt
|
|
|
||