Trojaner Uvnx in System 32

#0
04.04.2007, 14:51
Member

Beiträge: 20
#1 Habe mir wohl eben einen Trojaner eingefangen, unglücklicherweise einen der unbekannten Sorte namens "Uvnx". Auffällig wurde er dadurch, dass meine Startseite plötzlich Google war, und alle Suchergebnisse, die man bei Google erhielt, zu Pornoseitem und ähnlichem führten. Er hat sich übrigens als "uvnx.exe" im System32 eingeschrieben. Das Internet ist außerdem ziemlich langsam und stürzt desöfteren ab.
Ich hoffe das hier ist im richtigen Forum. Ich wäre sehr dankbar, wenn jemand mal den Log durchsehen und mir beim möglichen Entfernen behilflich sein könnte.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\(name)\LOKALE~1\Temp\Rar$EX00.031\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

(Warum ist mein Log so kurz?)
Seitenanfang Seitenende
04.04.2007, 15:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 rrain

«
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

«
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

«
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2007, 15:17
Member

Themenstarter

Beiträge: 20
#3 Schritt Nummer 2 verstehe ich nicht. Der PC wurde gerade erst neu formatiert, deshalb steht wahrscheinlich nicht viel in dem Log, oder ich habe irgendetwas falsch gemacht.

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 2083-ADCB

Verzeichnis von D:\

04.04.2007 15:09 289 datFind.zip
04.04.2007 15:05 339.257 CleanUp452.exe
04.04.2007 14:38 212.849 hijackthis.zip
21.03.2007 16:38 5.473.872 msjavx86.exe
23.12.2006 13:46 89.037.338 PSP8.zip
5 Datei(en) 95.063.605 Bytes
0 Verzeichnis(se), 26.898.100.224 Bytes frei

Schritt 3 ist mir ebenfalls nicht möglich, da jedes mal eine Fehlermeldung herausgegeben wird und "Combofix" damit geschlossen wird.

Ich krieg ne Krise. ;)
Seitenanfang Seitenende
04.04.2007, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 wende die datfindbat noch mal an, aber auf c:\
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2007, 15:25
Member

Themenstarter

Beiträge: 20
#5 Uah, ich Trottel, entschuldigung.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C8D-2B7B

Verzeichnis von C:\WINDOWS\system32

04.04.2007 15:18 8.487 form.txt
04.04.2007 14:28 1.080 settingsbkup.sfm
04.04.2007 14:28 11.564 DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 14:28 1.080 settings.sfm
04.04.2007 14:28 32.088 BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 14:28 32.592 BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 14:28 32.592 BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 14:28 32.088 BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 14:11 23.040 crypts.dll
04.04.2007 13:33 1.836 cahoot_logo_small.gif
04.04.2007 13:33 3.550 logo_rbs_2006.gif
04.04.2007 13:33 2.620 ind_homelogo_gen.gif
04.04.2007 13:33 3.443 barclays_logo.gif
04.04.2007 13:10 63.192 ipv6monl.dll
04.04.2007 13:10 30.720 rpcc.dll
04.04.2007 13:10 23.040 uvnx.exe
04.04.2007 13:10 46.176 ipv6mons.dll

26.03.2007 14:26 2.206 wpa.dbl
25.03.2007 10:49 392.296 perfh009.dat
25.03.2007 10:49 58.596 perfc009.dat
25.03.2007 10:49 405.118 perfh007.dat
25.03.2007 10:49 70.580 perfc007.dat
25.03.2007 10:49 938.224 PerfStringBackup.INI
24.03.2007 12:41 139.264 hpzjrd01.dll
24.03.2007 11:38 292.480 FNTCACHE.DAT
23.03.2007 11:54 409.600 wrap_oal.dll
23.03.2007 11:54 86.016 OpenAL32.dll
23.03.2007 11:37 9.857 jupdate-1.5.0_11-b03.log
22.03.2007 20:15 184 e000001.dat

-----------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C8D-2B7B

Verzeichnis von C:\WINDOWS

04.04.2007 15:15 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.CDF
04.04.2007 15:15 70.710 WindowsUpdate.log
04.04.2007 15:15 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.BAK
04.04.2007 14:30 0 0.log
04.04.2007 14:30 159 wiadebug.log
04.04.2007 14:30 50 wiaservc.log
04.04.2007 14:29 2.048 bootstat.dat
04.04.2007 14:28 7.632 SchedLgU.Txt
04.04.2007 14:25 118.266 pxinstall_log.txt
04.04.2007 14:25 13.918 pxdrvinstall.log
04.04.2007 14:25 289.594 setupapi.log
04.04.2007 14:20 77.312 ua2.dll
04.04.2007 14:11 39.936 tbt.exe
04.04.2007 13:33 0 winhp32.exe
04.04.2007 13:10 36.352 newset2.exe

04.04.2007 10:18 54.156 QTFont.qfn
30.03.2007 20:26 2.359.352 blixawallp.bmp
30.03.2007 18:06 2.669 wmsetup.log


-----------------------------------------------------

Temp und Cookies sind leer.

-----------------------------------------------------

Edit:
Hatte außerdem gerade eine "57E6.tmp" im Taskmanager bei den Prozessen. Sieht alles irgendwie garnicht so gut aus. :/

Habe die Dateien mit dem Regcleaner versucht zu entfernen, die erste kommt jedoch immer wieder.

-----------------------------------------------------
REGEDIT4

[HKEY_CURRENT_USER\Software\Reknu\Uvnx\main]
"cid"="CE412D6F20E345888EAB338B9517D69E"
"term"=dword:00000001

[HKEY_CURRENT_USER\Software\Reknu\Uvnx]

[HKEY_CURRENT_USER\Software\Reknu]

-----------------------------------------------------
REGEDIT4

[HKEY_CURRENT_USER\Software\Reknu\D2\main]
"cid"="FFA102236AB14257BE241A6A0106A27B"

[HKEY_CURRENT_USER\Software\Reknu\D2]
Dieser Beitrag wurde am 04.04.2007 um 16:04 Uhr von rrain editiert.
Seitenanfang Seitenende
04.04.2007, 16:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 rrain

-------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|uvnx

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc
HKLM\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}
HKLM\SOFTWARE\Classes\CLSID\{73364D99-1240-4dff-B12A-67E448373148}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73364D99-1240-4dff-B12A-67E448373148}

Files to delete:
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\cahoot_logo_small.gif
C:\WINDOWS\system32\logo_rbs_2006.gif
C:\WINDOWS\system32\ind_homelogo_gen.gif
C:\WINDOWS\system32\barclays_logo.gif
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\rpcc.dll
C:\WINDOWS\system32\uvnx.exe
C:\WINDOWS\system32\ipv6mons.dll
C:\WINDOWS\ua2.dll
C:\WINDOWS\tbt.exe
C:\WINDOWS\winhp32.exe
C:\WINDOWS\newset2.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

------------
««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

----------

poste noch mal die 6 logs von datfindbat (C:\ nicht vergessen !!! ) - ist das letzte der 6 logs

«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2007, 17:24
Member

Themenstarter

Beiträge: 20
#7 Kommw irgendwie bgrundsätzlich mit meinem Pc nicht in den abgesicherten Modus, deshalb habe ich es im normalen Modus gemacht, wie auf der Seite beschrieben. Im Asquared-Report steht:

Scan start: 04.04.2007 17:09:10

C:\avenger\backup.zip/ipv6monl.dll detected: Trojan-Spy.Win32.BZub.ic
C:\SDFix\apps\Process.exe detected: Riskware.RiskTool.Win32.Processor.20
C:\WINDOWS\Temp\E5B3.tmp detected: Trojan-Proxy.Win32.Agent.ls
-----------------------------------------------------

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nlvlnltt

*******************

Script file located at: \??\C:\Program Files\wjycpfay.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\crypts.dll deleted successfully.
File C:\WINDOWS\system32\cahoot_logo_small.gif deleted successfully.
File C:\WINDOWS\system32\logo_rbs_2006.gif deleted successfully.
File C:\WINDOWS\system32\ind_homelogo_gen.gif deleted successfully.
File C:\WINDOWS\system32\barclays_logo.gif deleted successfully.
File C:\WINDOWS\system32\ipv6monl.dll deleted successfully.
File C:\WINDOWS\system32\rpcc.dll deleted successfully.
File C:\WINDOWS\system32\uvnx.exe deleted successfully.
File C:\WINDOWS\system32\ipv6mons.dll deleted successfully.
File C:\WINDOWS\ua2.dll deleted successfully.
File C:\WINDOWS\tbt.exe deleted successfully.
File C:\WINDOWS\winhp32.exe deleted successfully.
File C:\WINDOWS\newset2.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|uvnx deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{73364D99-1240-4dff-B12A-67E448373148} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73364D99-1240-4dff-B12A-67E448373148} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73364D99-1240-4dff-B12A-67E448373148} failed!
Status: 0xc0000034


Completed script processing.

*******************

-----------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C8D-2B7B

Verzeichnis von C:\WINDOWS\system32

04.04.2007 17:00 1.080 settingsbkup.sfm
04.04.2007 17:00 11.564 DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 17:00 1.080 settings.sfm
04.04.2007 17:00 32.088 BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 17:00 32.088 BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 17:00 32.592 BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 17:00 32.592 BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
04.04.2007 16:42 10.931 form.txt
26.03.2007 14:26 2.206 wpa.dbl
25.03.2007 10:49 392.296 perfh009.dat
25.03.2007 10:49 58.596 perfc009.dat
25.03.2007 10:49 405.118 perfh007.dat
25.03.2007 10:49 70.580 perfc007.dat
25.03.2007 10:49 938.224 PerfStringBackup.INI
24.03.2007 12:41 139.264 hpzjrd01.dll
24.03.2007 11:38 292.480 FNTCACHE.DAT
23.03.2007 11:54 409.600 wrap_oal.dll
23.03.2007 11:54 86.016 OpenAL32.dll
23.03.2007 11:37 9.857 jupdate-1.5.0_11-b03.log
22.03.2007 20:15 184 e000001.dat
22.03.2007 19:36 261 $winnt$.inf

-----------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C8D-2B7B

Verzeichnis von C:\WINDOWS

04.04.2007 17:10 79.493 WindowsUpdate.log
04.04.2007 17:04 0 0.log
04.04.2007 17:04 159 wiadebug.log
04.04.2007 17:04 50 wiaservc.log
04.04.2007 17:04 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.CDF
04.04.2007 17:03 2.048 bootstat.dat
04.04.2007 17:00 8.496 SchedLgU.Txt
04.04.2007 17:00 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.BAK
04.04.2007 14:25 118.266 pxinstall_log.txt
04.04.2007 14:25 13.918 pxdrvinstall.log
04.04.2007 14:25 289.594 setupapi.log
04.04.2007 10:18 54.156 QTFont.qfn
30.03.2007 20:26 2.359.352 blixawallp.bmp
30.03.2007 18:06 2.669 wmsetup.log
26.03.2007 20:16 69 NeroDigital.ini
24.03.2007 12:45 214 HP_48BitScanUpdatePatch.ini
24.03.2007 12:42 221 HP_RedboxHprblog_HPSU.ini
23.03.2007 15:34 400 ODBC.INI

-----------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C8D-2B7B

Verzeichnis von C:\

04.04.2007 17:24 0 sys.txt
04.04.2007 17:24 391 down.txt
04.04.2007 17:24 321 tmp.txt
04.04.2007 17:24 5.751 system.txt
04.04.2007 17:24 135 systemtemp.txt
04.04.2007 17:23 98.660 system32.txt
04.04.2007 17:03 1.073.270.784 hiberfil.sys
04.04.2007 17:03 1.610.612.736 pagefile.sys
04.04.2007 16:49 4.546 avenger.txt
04.04.2007 15:09 289 datFind.zip
03.04.2007 13:54 1.627 ads_err.dbf
22.03.2007 19:33 0 IO.SYS
22.03.2007 19:33 0 MSDOS.SYS
22.03.2007 19:33 0 AUTOEXEC.BAT
22.03.2007 19:33 0 CONFIG.SYS
22.03.2007 19:29 211 boot.ini
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
19 Datei(en) 2.684.299.151 Bytes
0 Verzeichnis(se), 20.617.596.928 Bytes frei

Muss ich den Avenger Backup löschen?
Dieser Beitrag wurde am 04.04.2007 um 17:28 Uhr von rrain editiert.
Seitenanfang Seitenende
04.04.2007, 17:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 rrain

««
Avenger Backup - loschen + papierkorb leeren

»»
loeschen
C:\WINDOWS\Temp\E5B3.tmp

»»
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2007, 18:32
Member

Themenstarter

Beiträge: 20
#9 Habe den Avenger Backup gelöscht, die "E5B3.tmp" lies sich allerdings nicht finden. Bin auch nochmal per Windowssuche durchgegangen, es wurde jedoch auch dort nichts gefunden.

Wie ist das mit den SDFix Sachen? Kann ich den ganzen Ordner löschen, wenn alles wieder in Ordnung sein sollte?

Dieser Dr. Web hat nichts gefunden.
Seitenanfang Seitenende
04.04.2007, 19:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 rrain

loesche in der registry:

[HKEY_CURRENT_USER\Software\Reknu

PC neustarten

»»
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2007, 20:19
Member

Themenstarter

Beiträge: 20
#11 Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\(name)\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 10648
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:05:24

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\{00000001-00000000-00000008-00001102-00000004-20021102}.CDF Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
-----------------------------------------------------

Reknu ist in der Registry nicht zu finden.
Seitenanfang Seitenende
04.04.2007, 20:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 poste das neue log vom Hijackthis +
das neue log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2007, 11:20
Member

Themenstarter

Beiträge: 20
#13 Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\(name)\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freenet.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

-----------------------------------------------------

Combofix funktioniert im Moment nicht.
Seitenanfang Seitenende
05.04.2007, 12:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
PC neustarten

»»
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken

reinschreiben: 3
3 : wird Sophos geladen - waehle 6 -scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2007, 11:12
Member

Themenstarter

Beiträge: 20
#15 Full Scanning

Could not open C:\hiberfil.sys

6 boot sectors swept.
16043 files swept in 9 minutes and 56 seconds.
1 error was encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.
-----------------------------------------------------

Mehr erscheint dort nicht.
Dieser Beitrag wurde am 06.04.2007 um 12:48 Uhr von rrain editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: