Versteckte Datei lpt2.vrp lässt sich nicht löschen |
||
---|---|---|
#0
| ||
07.02.2007, 20:16
...neu hier
Beiträge: 7 |
||
|
||
07.02.2007, 20:29
Moderator
Beiträge: 6466 |
||
|
||
07.02.2007, 20:31
...neu hier
Themenstarter Beiträge: 7 |
#3
Zitat joschi posteteJa , unter der WinPE CD, kein Fehler |
|
|
||
07.02.2007, 20:48
Moderator
Beiträge: 7805 |
#4
Das ist gromozon. Das Problem mit dem Dateinamen besteht darin, das das ein vom System besetzer Name ist, wie z.B.com lpt und prn.
Antivir wuerde dir noch eine Datei als infiziert melden. Nutze bitte einmal den Grmozon cleaner. Das sollte helfen koennen. http://www.prevx.com/gromozon.asp Es waere interessant zu erfahren, wie lange du die Datei schon auf dem Rechner hast(was sagt denn das Dateidatum beim Start mit der PE cd?) Wenn du wuesstest, wo du dir das eingefangen hast, waere es noch besser! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.02.2007, 21:20
...neu hier
Themenstarter Beiträge: 7 |
#5
[Hi, danke für die Antwort.
Das war wirklich der Gromozon, Danke für diese wahnsinnig schnelle Antwort. Der Gromozon cleaner hat das (fast) auf die Reihe gekriegt. Zumindest sagt er, dass er ein root kit gelöscht hat: emoval tool loaded into memory ------------------------------------ Executing rootkit removal engine.... ------------------------------------ Disabling rootkit file: \\?\C:\WINDOWS\lpt2.vrp \\?\C:\WINDOWS\lpt2.vrp Resetting file permissions... Clearing attributes... Zugriff verweigert - C:\_cleaned.tmp Removing file... Rootkit removed! Cleaning up... Removing temp files... Scanning: C:\WINDOWS Scanning: C:\Programme\Gemeinsame Dateien Trojan.Gromozon Removed! Habe jetzt noch _cleaned.tmp in der gleichen Größe unter C:\ die kann ich nicht löschen, auch nicht mit der mit der gebooteten WIN PE CD Aber der Virenscanner springt hierdrauf aber jetzt wenigstens an. habe das file _cleaned.tmp selber gelöscht bekommen. Hijackthis konnte es nicht löschen. Geklappt hat es dann mit icesword. http://mail2.ustc.edu.cn/~jfpan Das filedatum war der 4.aug.2004, wie viele Files, scheint das Installationsdatum oder das der Istallationscd zu sein Ich habe keine Ahnung, woher der kam. Allerdings war der Rechner auch sehr schlecht geplegt und hatte einiges an Trojanern und rootkits drauf. Der Gromozon, war der (joffentlich) der letze. Danke nochmals Der Blaue Siggi Dieser Beitrag wurde am 07.02.2007 um 22:07 Uhr von Blue_Siggi editiert.
|
|
|
||
07.02.2007, 22:18
Moderator
Beiträge: 7805 |
#6
Stimmt, das mit dem Datum koennte passen, das macht einige Malware so. Schade, wuerde mich wirklich interessieren, wer derzeit fuer die Gromozo Schwemme verantwortlich ist....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.02.2007, 13:43
Ehrenmitglied
Beiträge: 29434 |
#7
raman
Spam-artig verbreiteten Mails, die Links auf dubiose Websites enthalten................ The dropper connects to a remote server, 195.225.177.22 http://www.antirootkit.com/articles/gromozo/The-strange-case-of-Dr-Rootkit-and-Mr-Adware.htm Blue_Siggi es gibt eventuell noch andere Dinge , die geloescht werden sollten... HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\................... (?) http://virus-protect.org/artikel/spyware/gromozon.html ein Log vom HijackThis ist hilfreich http://virus-protect.org/hjtkurz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.02.2007, 15:18
Moderator
Beiträge: 7805 |
#8
Den Artikel kenne ich, aber leider sind alle "infizierbaren" Quellen, die zum Zeitpunkt des Artikels vorhanden waren nicht mehr aktuell.
Irgendwann laeuft uns der Downloader schon ueber den Weg __________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.02.2007, 19:38
...neu hier
Themenstarter Beiträge: 7 |
#9
@Sabina:
die CLSID`s habe ich nicht. alles was ich im HJT sehe kommt mir nicht verdächtig vor: Logfile of HijackThis v1.99.1 Scan saved at 19:36:24, on 08.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\iPod\bin\iPodService.exe C:\lotus\wordpro\ltsstart.exe C:\WINDOWS\System32\alg.exe c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE C:\Programme\Alwil Software\Avast4\ashSimpl.exe C:\Programme\Alwil Software\Avast4\ashChest.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\mmc.exe C:\Tools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [dmnku.exe] C:\WINDOWS\system32\dmnku.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: Lotus Schnellstart.lnk = C:\lotus\wordpro\ltsstart.exe O4 - Startup: Lotus SmartSuite 97 Registrierung.lnk = C:\lotus\register\remind32.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Telefonverbindungsmonitor.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.ts-ticketshop.de O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\ImapiRox.exe (file missing) O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe |
|
|
||
09.02.2007, 00:59
Ehrenmitglied
Beiträge: 29434 |
#10
Blue_Siggi
ich habe so meine Vermutung, denn ich sehe nun schon zum zweiten Mal einen rechner, der wahrscheinlich (?) Warezov,W32/Stration hat + den rootkit hast du auf einen Link im MSN geklickt oder einen Link einer email ??? 1. poste dieses log http://virus-protect.org/artikel/tools/combofix.html 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2007, 21:20
...neu hier
Themenstarter Beiträge: 7 |
#11
Hi
ich benutze nur den Windows update service. da der combofix mir die Starseite auf msn stellt. war ich dort in den letzen Tagen zu ersten mal seit langer Zeit wieder drauf. aber eigentlich nur zum IE start und wieder meine Startseite einzustellen. Links aus e-mails. Nach bestem wissen und Gewissen nur auf angeforderte und vertraute Mails. files anbei Anhang: alle_logs.txt
|
|
|
||
10.02.2007, 00:40
Ehrenmitglied
Beiträge: 29434 |
#12
««
F-Secure BlackLight http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe -poste den report «« virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\dmnku.exe poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.02.2007, 09:23
...neu hier
Themenstarter Beiträge: 7 |
#13
Hi Sabina,
blackligth meldet 0 hidden files. Die Datei C:\WINDOWS\system32\dmnku.exe finde ich auch nicht mit den Explorer. Auch wenn ich eine WinPE CD boote, kann ich diese Datei nicht finden. Da ich schon ziehmlich viel Mist entfernt habe, bevor ich dieses Thread eröffnetet, kann ich mir auch vorstellen, dass der regkey ein Überbleibsel ist. was tun? Einfach raushauen? gruß Der Blaue Siggi |
|
|
||
10.02.2007, 16:13
Ehrenmitglied
Beiträge: 29434 |
#14
ja, fixe die exe mit dem HijackThis, oder ueber Start - Ausfuehren - msconfig
dann belasse es dabei - es kann ein Rest von einer verseuchung sein, die nur noch in der registry vorhanden war. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.02.2007, 20:08
...neu hier
Themenstarter Beiträge: 7 |
#15
Hi,
habe den Key gelöscht. Danke für Deine Hilfe, Sabina. Hoffentlich habe ich jetzt ein bischen Ruhe. Der Blaue Siggi |
|
|
||
Ich habe ein recht merkwürdiges Problem.
F-Secure Blackligth meldet mir die Datei
lpt2.vrp
wenn ich versuche diese Dateien unzubenennen, dann sind sie nach dem Reboot wieder da.
wenn ich eine Win PE CD boote, dann kann ich lpt.vrp nzwar problemlos sehe, aber weder löschen noch umbenennen (File not found)
Fehlermeldung:
attrib lpt2.vrp
\\.\lpt2 not found
ich vermute hier wurde irgendwie am Filesystem manipuliert.
kennt jemand ein Tool mit dem man dieses File sicher löschen kann?
Oder weiß jemand sonst Rat?
Ich finde es schon sehr merkwürdig dass google bei lpt2.vrp 0 hits bringt.
Danke
Der Blaue Siggi