ICQ Wurm "check this [...]" System wirklich gereigt ?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
15.02.2007, 09:42
...neu hier
Beiträge: 6 |
||
|
||
15.02.2007, 11:32
Ehrenmitglied
Beiträge: 29434 |
#2
SouLySoRc
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\accm.exe C:\WINDOWS\system32\msrdwint.exe poste hier die reporte --------------------------------------------------------- Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» poste das log vom avenger, was nach neustart erscheint (loesche noch nicht das backup vom avenger) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.02.2007, 11:51
...neu hier
Themenstarter Beiträge: 6 |
#3
kA was du mit log meinst, da erscheint nämlich keins, lediglich ne commandzeile wodrin steht:
c:avenger\1.reg 1 datei kopiert und zeitgleich findet antivir in dem verzeichnnis dann nen unerwünschtes programm und bietet an es in quarantäne zu verschieben usw.. Hab nun erstmal deinen kompletten post gesehen, muss nun aber los. welche file soll ich angeben bei virustotal und durchsuchen ? werd das ganze heute abend machen, in der hoffnung du bist noch da, ansonsten morgen früh ?? find ich auf jeden Fall top, wie du und was du hier machst! großes lob an dieser stelle ! nun ist auch die logfile aufgetaucht ^^ hab antivir gesagt er solls in quarantäne verschieben Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\chmtmyhk ******************* Script file located at: \??\C:\tfaj^eoe.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\msrdwint.dll not found! Deletion of file C:\WINDOWS\system32\msrdwint.dll failed! Could not process line: C:\WINDOWS\system32\msrdwint.dll Status: 0xc0000034 File C:\WINDOWS\system32\msrdwint.dat deleted successfully. File C:\WINDOWS\system32\msrdwint.exe deleted successfully. File C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\ZZZZZZZ.ZZZ not found! Deletion of file C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\ZZZZZZZ.ZZZ failed! Could not process line: C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\ZZZZZZZ.ZZZ Status: 0xc0000034 Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msrdwint deleted successfully. Completed script processing. ******************* Finished! Terminate. Dieser Beitrag wurde am 15.02.2007 um 11:56 Uhr von SouLySoRc editiert.
|
|
|
||
15.02.2007, 12:05
Ehrenmitglied
Beiträge: 29434 |
#4
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\accm.exe poste hier den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.02.2007, 19:37
...neu hier
Themenstarter Beiträge: 6 |
#5
avenger logfile:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\chmtmyhk ******************* Script file located at: \??\C:\tfaj^eoe.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\msrdwint.dll not found! Deletion of file C:\WINDOWS\system32\msrdwint.dll failed! Could not process line: C:\WINDOWS\system32\msrdwint.dll Status: 0xc0000034 File C:\WINDOWS\system32\msrdwint.dat deleted successfully. File C:\WINDOWS\system32\msrdwint.exe deleted successfully. File C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\ZZZZZZZ.ZZZ not found! Deletion of file C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\ZZZZZZZ.ZZZ failed! Could not process line: C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\ZZZZZZZ.ZZZ Status: 0xc0000034 Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msrdwint deleted successfully. Completed script processing. ******************* Finished! Terminate. accm.exe Complete scanning result of "accm.exe", received in VirusTotal at 02.15.2007, 19:25:07 (CET). Antivirus Version Update Result AntiVir 7.3.1.37 02.15.2007 no virus found Authentium 4.93.8 02.15.2007 no virus found Avast 4.7.936.0 02.15.2007 no virus found AVG 386 02.14.2007 no virus found BitDefender 7.2 02.15.2007 no virus found CAT-QuickHeal 9.00 02.15.2007 no virus found ClamAV devel-20060426 02.15.2007 no virus found DrWeb 4.33 02.15.2007 no virus found eSafe 7.0.14.0 02.15.2007 no virus found eTrust-Vet 30.4.3400 02.15.2007 no virus found Ewido 4.0 02.14.2007 no virus found Fortinet 2.85.0.0 02.15.2007 no virus found F-Prot 4.2.1.29 02.15.2007 no virus found F-Secure 6.70.13030.0 02.15.2007 no virus found Ikarus T3.1.0.31 02.15.2007 no virus found Kaspersky 4.0.2.24 02.15.2007 no virus found McAfee 4963 02.14.2007 no virus found Microsoft 1.2204 02.15.2007 no virus found NOD32v2 2064 02.15.2007 no virus found Norman 5.80.02 02.15.2007 no virus found Panda 9.0.0.4 02.15.2007 no virus found Prevx1 V2 02.15.2007 no virus found Sophos 4.14.0 02.13.2007 no virus found Sunbelt 2.2.907.0 02.15.2007 no virus found Symantec 10 02.15.2007 no virus found TheHacker 6.1.6.057 02.14.2007 no virus found UNA 1.83 02.14.2007 no virus found VBA32 3.11.2 02.15.2007 no virus found VirusBuster 4.3.19:9 02.15.2007 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 C:\WINDOWS\system32\msrdwint.exe Complete scanning result of "msrdwint.exe", received in VirusTotal at 02.15.2007, 19:29:04 (CET). Antivirus Version Update Result AntiVir 7.3.1.37 02.15.2007 no virus found Authentium 4.93.8 02.15.2007 no virus found Avast 4.7.936.0 02.15.2007 no virus found AVG 386 02.14.2007 no virus found BitDefender 7.2 02.15.2007 no virus found CAT-QuickHeal 9.00 02.15.2007 no virus found ClamAV devel-20060426 02.15.2007 no virus found DrWeb 4.33 02.15.2007 no virus found eSafe 7.0.14.0 02.15.2007 no virus found eTrust-Vet 30.4.3400 02.15.2007 no virus found Ewido 4.0 02.14.2007 no virus found Fortinet 2.85.0.0 02.15.2007 no virus found F-Prot 4.2.1.29 02.15.2007 no virus found F-Secure 6.70.13030.0 02.15.2007 no virus found Ikarus T3.1.0.31 02.15.2007 no virus found Kaspersky 4.0.2.24 02.15.2007 no virus found McAfee 4963 02.14.2007 no virus found Microsoft 1.2204 02.15.2007 no virus found NOD32v2 2064 02.15.2007 no virus found Norman 5.80.02 02.15.2007 no virus found Panda 9.0.0.4 02.15.2007 no virus found Prevx1 V2 02.15.2007 no virus found Sophos 4.14.0 02.13.2007 no virus found Sunbelt 2.2.907.0 02.15.2007 no virus found Symantec 10 02.15.2007 no virus found TheHacker 6.1.6.057 02.11.2007 no virus found UNA 1.83 02.14.2007 no virus found VBA32 3.11.2 02.15.2007 no virus found VirusBuster 4.3.19:9 02.15.2007 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 hab die datei selber nicht mehr finden können... Woran kann das liegen ? Entfernt oder umbenannt worden ? Mach mir ja nun bischen Sorgen. hab ergo einfach dateifad kopiert, aber wird ja als 0byte datei angezeigt.. hmhm imo findet antivir andauernd Stration.Gen.. in diversen .dll files.. Ich krieg die Krise.. Dieser Beitrag wurde am 15.02.2007 um 20:43 Uhr von SouLySoRc editiert.
|
|
|
||
15.02.2007, 23:58
Ehrenmitglied
Beiträge: 29434 |
#6
Avenger - kopiere rein
Zitat Registry values to delete:dann berichte, ob die windowsupdates funktionieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.02.2007, 00:51
...neu hier
Themenstarter Beiträge: 6 |
#7
was heißt windows updates klappen??
sind die etwas nicht alle drauf ?? eek, hab ds system schon aufgesetz bekommen u dacht das ist uptodate..?? hier das log Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\tcpbmqua ******************* Script file located at: \??\C:\jhfddoji.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\accm.exe not found! Deletion of file C:\WINDOWS\accm.exe failed! Could not process line: C:\WINDOWS\accm.exe Status: 0xc0000034 File C:\WINDOWS\system32\msrdwint.dll not found! Deletion of file C:\WINDOWS\system32\msrdwint.dll failed! Could not process line: C:\WINDOWS\system32\msrdwint.dll Status: 0xc0000034 File C:\WINDOWS\system32\msrdwint.dat not found! Deletion of file C:\WINDOWS\system32\msrdwint.dat failed! Could not process line: C:\WINDOWS\system32\msrdwint.dat Status: 0xc0000034 File C:\WINDOWS\system32\msrdwint.exe not found! Deletion of file C:\WINDOWS\system32\msrdwint.exe failed! Could not process line: C:\WINDOWS\system32\msrdwint.exe Status: 0xc0000034 Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|accm.exe Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|accm.exe failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msrdwint not found! Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msrdwint failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Dieser Beitrag wurde am 16.02.2007 um 01:00 Uhr von SouLySoRc editiert.
|
|
|
||
16.02.2007, 10:04
Ehrenmitglied
Beiträge: 29434 |
#8
dieser Wurm greift normalerweise in die Registry ein, dass in Zukunft keine Windowsupdates mehr gemacht werden koennen.
deshalb habe ich geschrieben, dass du ueberpruefen sollst, ob die Updates funktionieren. http://virus-protect.org/artikel/spyware/warezov_1.html http://virus-protect.org/artikel/spyware/warezov3.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.02.2007, 11:30
...neu hier
Themenstarter Beiträge: 6 |
#9
hab automatische updates ohnehin aus,
gestern mal wieder angemacht und geupdatet, hat funktioniert, einwandfrei. die in der reg angegbenen pfade existieren aber nicht, muss der wurm die alsow irklich zerstört haben .. muss ich nun autom. anmachen und abwarten ob er das mal wieder updatet ? |
|
|
||
16.02.2007, 11:32
Ehrenmitglied
Beiträge: 29434 |
#10
wenn die updates funktionieren und keine Fehlermeldung kommt, wenn du auf der Seite von MS bist, dann ist alles wieder i.o.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.02.2007, 20:52
...neu hier
Themenstarter Beiträge: 6 |
#11
also hab mal manuell geupdatet und es hat alles funktioniert inkl downloading und installation ergo..
hab aber sicherheitshalber die beiden letzten links von dir dennoch abgearbeitet ^^ ich häng die txt dateien einfach mal hintendran.. € geht nur eine,dann werd ich mal die beiden reg einträge copien.. Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 16.02.2007 - 10:53 Wert 0 Name: NoAutoUpdate Typ: REG_DWORD Daten: 0x0 Wert 1 Name: AUOptions Typ: REG_DWORD Daten: 0x5 Wert 2 Name: ScheduledInstallDay Typ: REG_DWORD Daten: 0x0 Wert 3 Name: ScheduledInstallTime Typ: REG_DWORD Daten: 0x11 Wert 4 Name: RescheduleWaitTime Typ: REG_DWORD Daten: 0x3 Wert 5 Name: NoAutoRebootWithLoggedOnUsers Typ: REG_DWORD Daten: 0x1 Wert 6 Name: UseWUServer Typ: REG_DWORD Daten: 0x1 -------------------------------------- Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 16.02.2007 - 20:38 Wert 0 Name: ConfigVer Typ: REG_DWORD Daten: 0x1 Wert 1 Name: AUOptions Typ: REG_DWORD Daten: 0x4 Wert 2 Name: NextDetectionTime Typ: REG_SZ Daten: 2007-02-17 12:55:55 Wert 3 Name: BalloonTime Typ: REG_SZ Daten: 2007-02-16 00:05:46 Wert 4 Name: BalloonType Typ: REG_DWORD Daten: 0x5 Wert 5 Name: ScheduledInstallDay Typ: REG_DWORD Daten: 0x0 Wert 6 Name: ScheduledInstallTime Typ: REG_DWORD Daten: 0x3 Wert 7 DAS WARS SCHON Und besten Dank für den Fall dass ich wieder clean bin. Das Board ist ja echt mal spitzenklasse, Daumen hoch Sabina !! Anhang: avenger.txt
|
|
|
||
24.02.2007, 16:39
Member
Beiträge: 15 |
#12
hi hab den wurm wahrscheinlich auch auf meinem system, könnte sich einer von euch mal meinen hijack log anschauen und mir sagen wie es um mein system steht? wäre euch echt sehr dankbar!
Logfile of HijackThis v1.99.1 Scan saved at 16:23:06, on 24.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Dell\QuickSet\quickset.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Apoint\Apntex.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Digital Line Detect\DLG.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\Seeeb\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/activation/activate-redirect.jsp?LG=DEU&IVR= 3004134539763097466091047831738456170612991585165&SO= {257BBC47-1B26-432e-9F84-188603799DD3} O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing) O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe gruß, soulrebel |
|
|
||
24.02.2007, 17:23
Ehrenmitglied
Beiträge: 29434 |
#13
soul rebel
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.02.2007, 17:47
Member
Beiträge: 15 |
#14
habe das cleanup so eingestellt und laufen alssen, danach neu gestartet, jetzt bin ich auf die seite mit den 6 textdateien gegangen und hab den datfinder installiert, der mir die 6 textdateien: system32.txt, systemtemp.txt, system.txt, tmp.txt, down.txt und c.txt generiert hat.
war das bisher richtig was ich gemacht hab und wie geht es jetzt weiter? danke für die bisherige hilfe... |
|
|
||
24.02.2007, 20:07
Ehrenmitglied
Beiträge: 29434 |
#15
soul rebel
wenn du die 6 logs hier posten koenntest ( 3 Monate von jedem... ), waere ich dir sehr verbunden __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
also ich hab mir auch den besagten Wurm/Trojaner eingefangen der über ICQ kam.
Habe Luke Filewalker mal angetestet und auch was gefunden, anschließend noch dateien gelöscht (waren unwichtige) und dann nochmal rüberlaufen lassen.
Nichts gefunden. Heißt das nun dass er auch wirklich sauber ist oder eher nicht ?
Wie kann ich das rausfinden, Symptome scheint er keine zu haben ..
Meldung plz,
danke
mal n antivir report, ganz frisch:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 15. Februar 2007 09:36
Es wird nach 671878 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Marco
Computername: SOULY
Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 12.02.2007 16:37:15
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 16:37:17
ANTIVIR2.VDF : 6.37.1.85 598016 Bytes 14.02.2007 16:37:36
ANTIVIR3.VDF : 6.37.1.91 9728 Bytes 14.02.2007 16:37:36
AVEWIN32.DLL : 7.3.1.37 2306560 Bytes 13.02.2007 16:39:41
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.37.1.1 1105960 Bytes 12.02.2007 16:37:17
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 15:21:31
AVREG.DLL : 7.0.1.2 30760 Bytes 12.02.2007 16:37:15
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00007000
Beginn des Suchlaufs: Donnerstag, 15. Februar 2007 09:36
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'E_FATIACE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'Azureus.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'DkIcon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'pdservice.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'tvtpwm_tray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AwaySch.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'Amsg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'scheduler_proxy.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TpScrex.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LPMGR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TPHKMGR.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'EZEJMNAP.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'cssauth.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SvcGuiHlpr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SNDSrvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'logmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AcSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'IUService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'rrservice.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'tvttcsd.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TpKmpSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SymSPort.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Rtvscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SUService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'DkService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'DefWatch.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AcPrfMgrSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'IPSSVC.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ccEvtMgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ISSVC.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ccSetMgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ccProxy.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '86' Prozesse mit '86' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'R:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 48 Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Preload>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'R:\' <SECUREDRIVE>
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Unzulässige Funktion.
Ende des Suchlaufs: Donnerstag, 15. Februar 2007 10:16
Benötigte Zeit: 39:55 min
Der Suchlauf wurde vollständig durchgeführt.
6110 Verzeichnisse wurden überprüft
366680 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
366680 Dateien ohne Befall
9349 Archive wurden durchsucht
2 Warnungen
5 Hinweise
Habe mal das von Sabina vorgegebene abgearbeitet
Dabei ging combofix nicht ,
kam ne fhelermeldung, habe ich mal mit reingesetzt und ne Frage hätt ich dabei.
Der Rechner ist klatschneu, laptop von ende06, wie können da dateien von 02 angezeigt werden ???
hier die logs:
Zitat