Datei bild_album.zip wird angehängt!

#16 ««

du musst den Avenger korrekt anwenden !!

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Program Files\Internet Explorer\IEXPLORE.EXE

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}

Files to delete:
C:\WINDOWS\system32\info.txt
C:\WINDOWS\system32\form.txt
C:\WINDOWS\system32\bzzz._
C:\WINDOWS\system32\stoG._
C:\WINDOWS\system32\atta._
C:\WINDOWS\system32\RPCRT3.dll
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\ipv6monk.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom avenger, was nach neustart erscheint

--------------------

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt

poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Also ich habe jetzt nochmal den Avanger laufen lassen.
Folgendes Problem ergibt sich jetzt:
Der Computer scheint keine Netzwerkverbindungen mehr aufzubauen.
Es gibt wohl diesesmal einen Logfile, wie ich telefonisch erfahren habe, aber der Computer kommt nicht mehr ins Internet und ich komme nicht mehr mit Net-Op auf den Rechner drauf.
Die Taskleiste ist wohl auch "verschwunden" (nicht nach unten verschoben oder so).
Ich habe die obige Anweisung 1:1 kopiert und im Avanger angewendet.

#18 es kann sein, dass sich die malware auch in den winsock verankert hat ...dummerweise habe ich es nicht nachpruefen lassen
bringe auf den rechner - per diskette oder stick:

WinsockFix
http://www.iup.edu/house/resnet/winfix.shtm
Einfach die Datei downloaden, ausführen, auf FIX klicken, PC neu booten

---------

eine andere Moeglichkeit waere eine Systemwiederherstellung (vor dem 8.02.2007) . falls es (hoffentlich) einen Systemwiederherstellugspunkt gibt

Systemwiederherstellung Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählt man: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen die gesetzten Wiederherstellungspunkte.

--------

oder das backup.zip vom avenger anklicken und oeffnen + PC neustarten
- dann ist zwar wieder alles auf dem System, aber wir koennten noch mal von vorn beginnen
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Ok, das mit der Reperatur durch das Program hat nihct geklappt.
Wir würden jetzt die backup.zip nutzen wollen. Leider sind nicht alle Dateien, die du mir oben genannt hast in der Zip drin.
ipv6monl.dll
ipv6monk.dll
und die beiden Textdateien fehlen.
Die Dateien muss man wohl zurück kopieren, ins richtige Verzeichnis und die reg-datei doppelklicken?

#20 ich nehme an, die RPCRT3.dll ist/war im winsock - es reicht die zip zu entpacken und den rechner neuzustarten
dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Das Problem liegt nicht bei Winsock. Die svchost.exe muss durch eine saubere Datei ersetzt werden, sonst "zerlegt" es dir die Installation(wie bereits vorher geschrieben) Das Problem ist, das die modifizierte svchost.exe nun die Datei RPCRT3.dll anstatt die Datei RPCRT4.dll laedt. Da diese durch den Avenger Einsatz nicht mehr da ist, gibt es die von dir beschriebenen Probleme.

Achso, das starten der RPCRT4.dll wird nach der Modifikation der svchost.exe durch die RPCRT3.dll uebernommen.
__________
MfG Ralf
SEO-Spam Hunter

#22 Soderle...
Folgendes ist der aktuelle Stand:
Es geht gar nichts mehr.
Wir haben das Zip entpackt, neugestartet.
Es gab keine Änderungen.

Folgende Sachen gehen beim System momentan nicht:
Aufruf des Support-Centers
Taskleiste aufrufen
Kopieren und Verschieben von Dateien.
Brennen von CD's
Netzwerk allgemein

Aktuell sind wir gerade dabei Knoppix zu herunterzuladen um wenigstens die paar wichtigen Sachen sichern zu können.

Können wir sonst noch irgendwas machen?

ps. Wie ersetzen wir die svchost.exe? Kopieren und Einfügen geht ja nicht mehr.

#23 Du musst dir eine orginale Datei suchen, die koennte im dllcache Ordner liegen(unter windows\system32) und damit die modifizierte Datei im system32 Ordner ersetzen. Das sollte sogar im laufenden Betrieb moeglich sein. Nach dem Booten mit einer (aktuellen!!) Knoppix CD auch. Aber eine Datensicherung waere ja eh nicht schlecht.
__________
MfG Ralf
SEO-Spam Hunter

#24 ««
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt

poste alles, was im Texteditor erscheint

------------------------

unter der Annahme, dass die i386\svchost.exe sauber ist:

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

expand c:\WINDOWS\ServicePackFiles\i386\svchost.exe c:\windows\system32\svchost.exe

oder:

Zitat

expand c:\WINDOWS\system32\dllcache\svchost.exe c:\WINDOWS\system32\svchost.exe

»»
dann sollte allerdings der Avenger noch mal angewendet werden , ......
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Der Inhalt von find.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

29.08.2002 13:00 12.800 svchost.exe
1 Datei(en) 12.800 Bytes

Verzeichnis von c:\WINDOWS\I386

29.08.2002 13:00 6.310 SVCHOST.EX_
1 Datei(en) 6.310 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 08:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 08:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 08:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Anzahl der angezeigten Dateien:
5 Datei(en) 62.118 Bytes
0 Verzeichnis(se), 65.457.426.432 Bytes frei

Wir haben die svchost.exe aus den ServicaPackFiles genommen, und siehe da:
Alles funktioniert wieder.
Tausend Dank schonmal dafür.

Also als nächstes den Avanger mit den oben genannten Einstellungen noch einmal laufen lassen?
Und danach mochmal mit einem Virenscanner prüfen *denk* ?

Hier nochmal das Log vom Avanger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fljiryko

*******************

Script file located at: \??\C:\WINDOWS\agibcucx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Program Files\Internet Explorer\IEXPLORE.EXE deleted successfully.


File C:\WINDOWS\system32\info.txt not found!
Deletion of file C:\WINDOWS\system32\info.txt failed!

Could not process line:
C:\WINDOWS\system32\info.txt
Status: 0xc0000034



File C:\WINDOWS\system32\form.txt not found!
Deletion of file C:\WINDOWS\system32\form.txt failed!

Could not process line:
C:\WINDOWS\system32\form.txt
Status: 0xc0000034



File C:\WINDOWS\system32\bzzz._ not found!
Deletion of file C:\WINDOWS\system32\bzzz._ failed!

Could not process line:
C:\WINDOWS\system32\bzzz._
Status: 0xc0000034



File C:\WINDOWS\system32\stoG._ not found!
Deletion of file C:\WINDOWS\system32\stoG._ failed!

Could not process line:
C:\WINDOWS\system32\stoG._
Status: 0xc0000034



File C:\WINDOWS\system32\atta._ not found!
Deletion of file C:\WINDOWS\system32\atta._ failed!

Could not process line:
C:\WINDOWS\system32\atta._
Status: 0xc0000034



File C:\WINDOWS\system32\RPCRT3.dll not found!
Deletion of file C:\WINDOWS\system32\RPCRT3.dll failed!

Could not process line:
C:\WINDOWS\system32\RPCRT3.dll
Status: 0xc0000034



File C:\WINDOWS\system32\ipv6monl.dll not found!
Deletion of file C:\WINDOWS\system32\ipv6monl.dll failed!

Could not process line:
C:\WINDOWS\system32\ipv6monl.dll
Status: 0xc0000034



File C:\WINDOWS\system32\ipv6monk.dll not found!
Deletion of file C:\WINDOWS\system32\ipv6monk.dll failed!

Could not process line:
C:\WINDOWS\system32\ipv6monk.dll
Status: 0xc0000034


Warning --- HKLM\Software did not load within MAX_WAIT_ITERATIONS


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Sind wir soweit dann "clean" ?
Oder was ist sonst noch zu machen?

#26 1.
poste noch mal bitte die 6 logs von datfindbat

2.
poste dieses log
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hallo,
habs gestern leider nicht mehr geschafft.
Hier die Logs von datfind.
down.txt ist leer.

sys.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\

23.02.2007 08:09 0 sys.txt
23.02.2007 08:08 572 down.txt
23.02.2007 08:08 325 tmp.txt
23.02.2007 08:08 16.336 system.txt
23.02.2007 08:08 127 systemtemp.txt
23.02.2007 08:07 104.598 system32.txt
23.02.2007 08:07 33 PSPath.ini
22.02.2007 13:06 681 reg.txt
22.02.2007 13:00 536.399.872 hiberfil.sys
22.02.2007 13:00 1.572.864.000 pagefile.sys
22.02.2007 13:00 5.578 avenger.txt
22.02.2007 10:45 954 a.txt
21.02.2007 14:59 796 aclrnarq.txt
19.02.2007 06:14 510 11.tt
14.02.2007 07:58 12.099 JB_GES.DBF

27 Datei(en) 2.109.739.985 Bytes
0 Verzeichnis(se), 65.404.850.176 Bytes frei

system32.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS\system32

23.02.2007 08:07 2.206 wpa.dbl
15.02.2007 10:00 9.857 jupdate-1.5.0_11-b03.log
15.02.2007 09:45 2.550 Uninstall.ico
15.02.2007 09:45 1.406 Help.ico
15.02.2007 09:45 30.590 pavas.ico
14.02.2007 15:00 122.142 TZLog.log
07.02.2007 23:01 12.293.536 MRT.exe
03.02.2007 21:09 10.446 EraserAHS.log
03.02.2007 21:09 10.444 coh.cache
03.02.2007 21:09 24.804 EraserAHS.tlg
29.01.2007 09:58 60.416 tzchange.exe
23.01.2007 20:30 546.304 hhctrl.ocx
12.01.2007 09:27 3.580.416 mshtml.dll
12.01.2007 09:27 51.712 msfeedsbs.dll
12.01.2007 09:27 458.752 msfeeds.dll
12.01.2007 09:27 1.149.952 urlmon.dll
12.01.2007 09:27 822.784 wininet.dll
12.01.2007 09:27 477.696 mshtmled.dll
12.01.2007 09:27 6.054.400 ieframe.dll
12.01.2007 09:27 27.136 jsproxy.dll
12.01.2007 09:27 132.608 extmgr.dll
12.01.2007 09:27 670.720 mstime.dll
12.01.2007 09:27 232.960 webcheck.dll
10.01.2007 17:42 1.040.384 ieframe.dll.mui
08.01.2007 19:04 105.984 url.dll
08.01.2007 19:04 102.400 occache.dll
08.01.2007 19:03 193.024 msrating.dll
08.01.2007 19:02 1.823.744 inetcpl.cpl
08.01.2007 19:02 266.752 iertutil.dll
08.01.2007 19:02 44.544 iernonce.dll
08.01.2007 19:02 383.488 ieapfltr.dll
08.01.2007 19:02 153.088 ieakeng.dll
08.01.2007 19:02 230.400 ieaksie.dll
08.01.2007 19:02 384.000 iedkcs32.dll
08.01.2007 19:02 161.792 ieakui.dll
08.01.2007 19:01 17.408 corpol.dll
08.01.2007 19:00 124.928 advpack.dll
08.01.2007 18:08 56.832 ie4uinit.exe
08.01.2007 18:08 13.824 ieudinit.exe
04.01.2007 17:38 48.776 S32EVNT1.DLL
19.12.2006 22:49 135.168 shsvcs.dll
19.12.2006 22:49 8.494.592 shell32.dll
19.12.2006 19:17 334.336 wiaservc.dll
15.12.2006 03:09 127.078 javaws.exe
15.12.2006 03:09 49.265 jpicpl32.cpl
15.12.2006 01:31 53.346 javaw.exe
15.12.2006 01:30 49.248 java.exe
08.12.2006 10:08 100 LuResult.txt
07.12.2006 07:40 2.362.184 wmvcore.dll
27.11.2006 15:54 539.136 msftedit.dll
27.11.2006 15:54 433.152 riched20.dll

2141 Datei(en) 415.107.933 Bytes
0 Verzeichnis(se), 65.404.985.344 Bytes frei

system.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS

23.02.2007 08:01 547 NetOp.INI
22.02.2007 13:09 1.544.243 WindowsUpdate.log
22.02.2007 13:02 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
22.02.2007 13:02 0 0.log
22.02.2007 13:00 2.048 bootstat.dat
22.02.2007 12:57 32.526 SchedLgU.Txt
21.02.2007 18:09 147.117 setupapi.log
21.02.2007 18:05 6.459 resetlog.txt
21.02.2007 15:51 137.284 ntbtlog.txt
21.02.2007 14:59 216 wiadebug.log
21.02.2007 13:21 50 wiaservc.log
15.02.2007 10:02 1.469 mozver.dat
15.02.2007 09:48 849 win.ini
14.02.2007 15:01 412.689 comsetup.log
14.02.2007 15:01 186.164 iis6.log
14.02.2007 15:01 262.527 ntdtcsetup.log
14.02.2007 15:01 62.497 ocmsn.log
14.02.2007 15:01 1.374 imsins.log
14.02.2007 15:01 511.714 tsoc.log
14.02.2007 15:01 25.645 KB927779.log
14.02.2007 15:01 738.019 ocgen.log
14.02.2007 15:01 67.049 msgsocm.log
14.02.2007 15:01 1.238.145 FaxSetup.log
14.02.2007 15:01 71.713 updspapi.log
14.02.2007 15:01 1.374 imsins.BAK
14.02.2007 15:01 22.219 KB927802.log
14.02.2007 15:01 22.862 KB928255.log
14.02.2007 15:00 12.791 KB923723.log
14.02.2007 15:00 19.528 KB924667.log
14.02.2007 15:00 31.183 KB931836.log
14.02.2007 14:59 20.685 KB926436.log
14.02.2007 14:59 14.463 KB928090-IE7.log
14.02.2007 14:58 16.615 KB918118.log
14.02.2007 14:57 16.279 KB928843.log
15.01.2007 09:08 229.103 setupact.log
11.01.2007 03:00 7.845 KB929969.log
03.01.2007 21:55 372.876 wmsetup.log
19.12.2006 11:34 37.274 spupdsvc.log
19.12.2006 10:55 23.906 ie7_main.log
19.12.2006 10:55 54.681 ie7.log
19.12.2006 10:52 13.088 IDNMitigationAPIs.log
19.12.2006 10:52 12.799 NLSDownlevelMapping.log
19.12.2006 10:51 13.193 KB915865.log
19.12.2006 10:49 8.659 KB914440.log
19.12.2006 10:49 43.827 KB925454.log
19.12.2006 10:49 16.963 KB904942.log
15.12.2006 03:03 13.411 KB925398.log
15.12.2006 03:03 14.631 KB923689.log
15.12.2006 03:03 1.036.954 setupapi.log.0.old
15.12.2006 03:02 22.031 KB926255.log
15.12.2006 03:02 22.858 KB923694.log
19.11.2006 03:02 16.388 KB923980.log
19.11.2006 03:02 16.406 KB924270.log
19.11.2006 03:01 15.725 KB920213.log
19.11.2006 03:01 18.189 KB922760.log

324 Datei(en) 36.434.236 Bytes
0 Verzeichnis(se), 65.404.870.656 Bytes frei

systemtmp.txt ist leer.

tmp.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS\Temp

23.02.2007 08:07 409 WGANotify.settings
23.02.2007 08:07 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 65.404.854.272 Bytes frei

comboscan ist wieder zu viel. Ich leg das Log als Anhang bei.

edit:
Uns ist aufgefallen, dass der Rechner momentan sehr träge und langsam auf Eingaben reagiert.
Könnte das eine "Nachwirkung" der Aktionen sein, die wir die letzten Tage ausgeführt haben?

#28 Selber

1.
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked"

Zitat

O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC} - http://key.one2bill.de/soft/ieloader.cab

2.
Avenger

Zitat

registry keys to delete:
HKLM\Software\Classes\CLSID\{00000000-6666-0704-0B53-2C8830E9FAEC}

Files to delete:
C:\WINDOWS\Downloaded Program Files\axload.dll

3.
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3

3 : wird Sophos geladen - waehle 6 - scanne und poste den report
---------------

**
scanne mit kaspersky (auch die mails mitscannen lassen) - und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Punkt 1 konnte ich erldigen.
Bei Punkt 2 bekomme ich den error, dass kein script-file angelegt werden konnte.
Soll ich einfach mit Punkt 3 weitermachen?
Oder ist der Avanger zwingend erforderlich?

edit: Hat sich gerade erledigt. Ich hab den Inhalt von c:\avanger gelöscht, jetzt gehts.

#30 nun arbeite sophos ab, poste den report - dann mache den kompletten scan (mit emails)(online) mit kaspersky + poste ebenfalls den report
__________
MfG Sabina

rund um die PC-Sicherheit