WIN32 Warezov WurmThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.11.2007, 01:22
...neu hier
Beiträge: 7 |
||
|
||
24.11.2007, 11:15
Member
Beiträge: 3716 |
#2
hi, der wurm kann rootkitfunktionen haben, dass schnellste und sicherste ist immer formatieren dann mit einem ordentlichen sicherheitskonzept neu zu bespielen. wenn du das nciht möchtest, mache folgendes.
1. lad hijackthis: www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html - 59k - das programm muss unbedingt in einen eigenen ordner! sonst können keine backups angelegt werden. 1.1 ordneransichten einstellen: öffne arbeitsplatz,extras,ordneroptionen,ansicht dort einstellen dateienamenerweiterungen bei bekannten dateitypen ausblenden off inhalte von systemordnern einblenden on geschützte systemdateien ausblenden off und versteckte dateien und ordner anzeigen on bitte benenne nur die hijackthis.exe in hjt.com um da sich malware verstecken kann nun öffnen scan and safe log klicken und dieses posten! 2. lad combofix: http://virus-protect.org/artikel/tools/combofix.html poste log. 3. führe bitte all diese rootkitscans durch und beachte: du musst alle programme abschalten, die im hintergrund laufen also antivirus firewall chats internet etc weiterhin muss die verbindung zum internet getrennt sein also wlan ausschalten und oder netzwerkkabel ziehen. poste alle ergebnisse. http://www.hijackthis-forum.de/showthread.php?t=20219 |
|
|
||
24.11.2007, 14:22
...neu hier
Themenstarter Beiträge: 7 |
#3
Hi virenfinder,
vielen Dank für deine schnelle Hilfe. Anbei habe ich die Log-Files beider Programme: hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:10:26, on 24.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\HPQ\IAM\bin\asghost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167776034468 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: e1.dll olearasr.dll O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe -- End of file - 7263 bytes Combofix: ComboFix 07-11-19.3 - Soph 2007-11-24 14:12:50.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.262 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Soph\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\sys.txt C:\WINDOWS\system32\e1.dll E:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2007-10-24 bis 2007-11-24 )))))))))))))))))))))))))))))) . 2007-11-24 14:08 <DIR> d-------- C:\Programme\Trend Micro 2007-11-23 23:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-11-23 23:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2007-11-23 23:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-11-23 23:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-11-23 23:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-11-23 23:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2007-11-23 23:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-11-23 23:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SampleView 2007-11-23 23:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-11-22 20:51 55,334 --a------ C:\WINDOWS\system32\picnsche.exe 2007-11-22 20:51 20,480 --a------ C:\WINDOWS\system32\msapmsor.exe 2007-11-13 15:19 118,520 --a------ C:\WINDOWS\system32\PxInsI64.exe 2007-11-13 15:19 115,960 --a------ C:\WINDOWS\system32\PxCpyI64.exe 2007-11-13 15:19 2,560 --a------ C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-11-13 15:19 2,432 --a------ C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-11-13 15:17 <DIR> d-------- C:\Programme\Sony . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-23 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2007-11-23 18:22 --------- d-----w C:\Programme\Spamihilator 2007-11-23 13:21 --------- d-----w C:\Programme\ICQToolbar 2007-11-21 11:14 --------- d-----w C:\Programme\Gemeinsame Dateien\matf_update 2007-11-13 14:20 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-10-26 18:01 --------- d-----w C:\Programme\PartyGaming 2007-09-25 13:57 --------- d-----w C:\Dokumente und Einstellungen\Soph\Anwendungsdaten\ICQ Toolbar 2007-02-03 10:21 22 --sha-w C:\WINDOWS\SMINST\HPCD.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 09:00] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00] "ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard] C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 19:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"= e1.dll olearasr.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Notification Packages"= scecli AsWlnPkg [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DVD Check.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk backup=C:\WINDOWS\pss\DVD Check.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package Menu.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Picture Package Menu.lnk backup=C:\WINDOWS\pss\Picture Package Menu.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package VCD Maker.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Picture Package VCD Maker.lnk backup=C:\WINDOWS\pss\Picture Package VCD Maker.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2007-05-11 02:06 40048 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!] 2007-09-06 11:06 79224 --a------ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] C:\Programme\SlySoft\CloneCD\CloneCDTray.exe /s [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset] 2006-02-22 07:03 40960 --a------ C:\Programme\HPQ\Default Settings\cpqset.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2004-08-04 09:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA] 2005-08-31 04:20 122940 --a------ C:\WINDOWS\System32\DLA\DLACTRLW.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 EPSON Stylus C62 Series /O6 USB001 /M Stylus C62 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2005-02-16 22:11 49152 --a------ C:\Programme\Hp\HP Software Update\HPWuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant] 2006-02-14 09:49 454656 --a------ C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd] 2006-03-23 13:13 77824 --a------ C:\WINDOWS\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers] 2006-03-23 13:17 118784 --a------ C:\WINDOWS\system32\igfxpers.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray] 2006-03-23 13:17 94208 --a------ C:\WINDOWS\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe -start [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\picnsche] 2007-11-22 20:51 55334 --a------ C:\windows\system32\picnsche.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard] 2005-12-20 14:51 1187840 --a------ C:\WINDOWS\Sminst\Recguard.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder] 2006-01-23 15:11 802816 --a------ C:\WINDOWS\Creator\Remind_XP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Scheduler] 2006-02-15 14:43 892928 --a------ C:\WINDOWS\SMINST\Scheduler.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] 2005-05-20 09:11 925696 --a------ C:\Programme\Analog Devices\Core\smax4pnp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spamihilator] 2007-01-24 14:49 619008 --a------ C:\Programme\Spamihilator\spamihilator.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2005-11-10 12:03 36975 --a------ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2007-04-12 16:08 68856 --a------ C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] 2005-11-10 19:04 761945 --a------ C:\Programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog] 2005-11-08 11:59 184320 --a------ C:\Programme\InterVideo\DVD Check\DVDCheck.exe R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe -k Cognizance R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Cognizance ASChannel . Inhalt des "geplante Tasks" Ordners "2007-11-23 23:29:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-24 14:15:33 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-11-24 14:16:15 - machine was rebooted . --- E O F --- Grüsse MB123 |
|
|
||
24.11.2007, 18:20
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne auf C:\ Qoobox-->Papierkorb leeren
Verborgene Dateien sichtbar machen Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\WINDOWS\system32\picnsche.exe C:\WINDOWS\system32\msapmsor.exe Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
24.11.2007, 18:56
...neu hier
Themenstarter Beiträge: 7 |
#5
Habe beide Dateien analysiert, ist beides der Wurm.
Kann ich diese nun einfach löschen?? Oder muß ich einspezielles Programm ausführen? Vielen Dank Gruß MB123 |
|
|
||
24.11.2007, 19:09
Ehrenmitglied
Beiträge: 6028 |
#6
OTMoveIt.exe
Download OTMoveIt zum Desktop Oeffne:OTMoveIt.exe Kopiere (selektiere en klick Ctrl-C) alle unterstehende C:\WINDOWS\system32\picnsche.exe C:\WINDOWS\system32\msapmsor.exe Klicke auf den Roten MoveIt! knopf Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit In Datei C:\_OTMoveIt\MovedFiles\ Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Onlinescanner NOD32 F-Secure mit Rootkitscanner Bitdefender Housecall CA Antivirus Java Dein Java software ist veraltet, Download jre-6u3-windows-i586-p.exe Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf Download Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6u3-windows-i586-p.exe” zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe __________ MfG Argus |
|
|
||
25.11.2007, 01:49
...neu hier
Themenstarter Beiträge: 7 |
#7
Hier die Log-Files
File/Folder C:\Windows\system32\pinsche.exe not found. C:\Windows\system32\msapmsor.exe moved successfully. Created on 11.25.2007 01:37:47 C:\Windows\System32\picnsche.exe moved successfully. Created on 11.25.2007 01:39:48 Habe mich beim erste mal nur verschrieben. Gruß |
|
|
||
25.11.2007, 02:24
Ehrenmitglied
Beiträge: 6028 |
#8
Entferne auf C:\ _OTMoveIt\ -->Papierkorb leeren
Du kannst noch ein scan machen mit CureIt! DrWeb CureIt! Scanne mit DrWeb http://board.protecus.de/t29350.htm __________ MfG Argus |
|
|
||
25.11.2007, 10:06
Member
Beiträge: 3716 |
#9
kannst du bitte noch die rootkitscans machen... wie gesagt ist nur sicherheitshalber...
|
|
|
||
25.11.2007, 16:57
...neu hier
Themenstarter Beiträge: 7 |
#10
Ich habe nun mit Dr.Web nochmal alles abgescannt. Es wurden noch 8 infizierte Dateien gefunden und gelöscht.
Bei den Rootkitscanns wurden ebenfalls noch Einträge gefunden und gelöscht. Habe dann nochmal beide laufen lassen, keine Dateien meht gefunden. Ein Problem habe ich allerdings noch, ich kann die Windows-Sicherheitsupdates nicht starten. Weiß einer vielleicht, warum?? |
|
|
||
25.11.2007, 17:12
Ehrenmitglied
Beiträge: 6028 |
||
|
||
25.11.2007, 17:27
...neu hier
Themenstarter Beiträge: 7 |
#12
Ja, beim Starten von Windows kommt, die Meldung
Der Computer ist evtl. gefährdet. Automatische Updates sind deaktiviert. Wenn ich automatische Updates einstellen möchte, kommt die Meldung: Das Sicherheitscenter konnte die Einstellungen für automatische Updates nicht ändern. Ändern Sie diese manuell, indem Sie die Systemsteuerung "Automatische Updates" öffnen. Wählen Sie darin die Option "Automatisch" aus und klicken Sie auf "OK". Die Einstellungen wären eigentlich drin, aber funktioniert nicht. Wenn ich die Updates direkt über MS beziehen möchte, bekomme ich ebenfalls eine Fehlermeldung |
|
|
||
25.11.2007, 18:09
Ehrenmitglied
Beiträge: 6028 |
#13
Start>Ausführen>> Kopiere rein services.msc ok
Und schau mal nach ob automatische Updates auf Automatisch stet __________ MfG Argus |
|
|
||
25.11.2007, 18:14
...neu hier
Themenstarter Beiträge: 7 |
#14
Automtische Updates kann ich nicht finden.
Kann es evtl. der Windows-Installer sein? Der steht auf Manuell. Habe auf einem anderen Rechner den Dienst "Automatische Updates" gefunden. Aber auf dem Laptop (Läuft auf WinXP Home) gibt es diesen Dienst scheinbar nicht oder Nicht mehr! Dieser Beitrag wurde am 25.11.2007 um 19:26 Uhr von MB123 editiert.
|
|
|
||
26.11.2007, 21:11
Ehrenmitglied
Beiträge: 6028 |
#15
Problem mit "Automatische Updates"wurde mit Dial-a-fix behoben
http://dial-a-fix.softonic.de/ __________ MfG Argus |
|
|
||
ich bin fast am verzweifeln und komme absolut nicht weiter. Ich hoffe mir kann hier jemand weiterhelfen.
Muß einen Laptop reparieren, der sich über ICQ einen Virus eingefangen hat. Habe mir bereits einige Threads durchgeldesen, aber wie gesagt, komme absolut nicht weiter.
Habe euch die Dateien von datFind angehängt. Ich hoffe ihr könnt damit was anfangen.
P.S.: Habe auch schon ein CleanUp durchgeführt
Vielen Dank für Eure Hilfe
VG
MB123
Verzeichnis von C:\WINDOWS\system32
24.11.2007 00:44 1.158 wpa.dbl
24.11.2007 00:44 76.956 lsass.log
24.11.2007 00:30 9.728 e1.dll
22.11.2007 20:51 20.480 msapmsor.exe
22.11.2007 20:51 55.334 picnsche.exe
15.11.2007 17:50 383.588 perfh009.dat
15.11.2007 17:50 53.942 perfc009.dat
15.11.2007 17:50 395.074 perfh007.dat
15.11.2007 17:50 64.994 perfc007.dat
15.11.2007 17:50 906.376 PerfStringBackup.INI
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 17:42 8.501.248 shell32.dll
18.09.2007 19:46 3.002 CONFIG.NT
06.09.2007 11:09 801.144 aswBoot.exe
06.09.2007 11:00 95.608 AvastSS.scr
30.08.2007 02:01 249.852 TZLog.log
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 124.928 advpack.dll
Verzeichnis von C:\DOKUME~1\Soph\LOKALE~1\Temp
24.11.2007 00:54 824 jusched.log
24.11.2007 00:44 49.152 ~DF7B21.tmp
24.11.2007 00:30 49.152 ~DFC107.tmp
24.11.2007 00:26 49.152 ~DF45A0.tmp
24.11.2007 00:07 797.676 IMTD.xml
24.11.2007 00:07 426 IMTC.xml
24.11.2007 00:07 2.036 IMTB.xml
24.11.2007 00:05 49.152 ~DF82BC.tmp
23.11.2007 22:57 49.152 ~DF13CD.tmp
9 Datei(en) 1.046.722 Bytes
0 Verzeichnis(se), 55.950.589.952 Bytes frei
Verzeichnis von C:\WINDOWS
24.11.2007 00:44 0 0.log
24.11.2007 00:44 2.048 bootstat.dat
24.11.2007 00:43 32.530 SchedLgU.Txt
24.11.2007 00:43 1.608.793 WindowsUpdate.log
24.11.2007 00:20 311.553 setupapi.log
23.11.2007 23:27 150.586 ntbtlog.txt
21.11.2007 17:31 95 winamp.ini
14.11.2007 14:51 133.081 iis6.log
14.11.2007 14:51 292.248 comsetup.log
14.11.2007 14:51 330.848 tsoc.log
14.11.2007 14:51 176.856 ntdtcsetup.log
14.11.2007 14:51 1.393 imsins.log
14.11.2007 14:51 7.424 KB943460.log
14.11.2007 14:51 47.256 ocmsn.log
14.11.2007 14:51 416.804 ocgen.log
14.11.2007 14:51 42.845 msgsocm.log
14.11.2007 14:51 844.936 FaxSetup.log
14.11.2007 14:51 98.156 updspapi.log
03.11.2007 20:14 2.554 OEWABLog.txt
03.11.2007 20:14 54.508 wmsetup.log
16.10.2007 20:14 50 wiaservc.log
16.10.2007 20:14 216 wiadebug.log
10.10.2007 21:08 12.114 KB933729.log
10.10.2007 21:08 1.393 imsins.BAK
10.10.2007 21:07 22.679 KB939653-IE7.log
10.10.2007 21:07 10.595 KB941202.log
30.08.2007 02:01 21.992 KB933360.log
15.08.2007 17:13 7.610 spupdsvc.log
15.08.2007 14:47 573 win.ini
15.08.2007 14:46 17.857 KB936021.log
15.08.2007 14:46 17.040 KB938828.log
15.08.2007 14:45 17.188 KB921503.log
15.08.2007 14:45 16.985 KB938829.log
15.08.2007 14:44 22.228 KB937143-IE7.log
15.08.2007 14:44 11.926 KB938127-IE7.log
15.08.2007 14:43 289.992 msxml4-KB936181-enu.LOG
15.08.2007 14:43 9.386 KB936782.log
15.08.2007 13:21 5.856 cddabase.ini
Verzeichnis von C:\WINDOWS\Temp
24.11.2007 00:44 409 WGANotify.settings
24.11.2007 00:44 255 WGAErrLog.txt
24.11.2007 00:44 16.384 Perflib_Perfdata_5ec.dat
23.11.2007 19:27 16.384 Perflib_Perfdata_6cc.dat
21.10.2007 14:05 16.384 Perflib_Perfdata_6d0.dat
15.10.2007 14:06 16.384 Perflib_Perfdata_6ec.dat
17.09.2007 16:58 16.384 Perflib_Perfdata_688.dat
20.07.2007 20:50 664 {AC76BA86-7AD7-1031-7B44-A81000000003}.ini
11.07.2007 13:54 11.458 NetFxUpdate_v1.1.4322.log
11.07.2007 13:54 14.886 netfxsl.log
18.06.2007 15:24 16.384 Perflib_Perfdata_6e4.dat
09.04.2007 20:38 0 nsfAE.tmp
09.04.2007 20:38 0 nspAD.tmp
03.02.2007 23:04 5.851 plf86.tmp
01.03.2002 16:08 2.069 navLoad.ini
12.09.2001 14:42 212.992 NavBrowser.exe
10.10.2000 12:48 65.536 IEHost.exe
17 Datei(en) 412.424 Bytes
0 Verzeichnis(se), 55.950.589.952 Bytes frei
Verzeichnis von C:\WINDOWS\Downloaded Program Files
11.12.2006 16:44 367 LegitCheckControl.inf
09.11.2006 14:36 5.019 swflash.inf
26.05.2005 04:19 291 wuweb.inf
07.08.2004 06:12 65 desktop.ini
27.07.2004 15:48 323.584 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
7 Datei(en) 550.510 Bytes
0 Verzeichnis(se), 55.950.589.952 Bytes frei
Verzeichnis von C:\
24.11.2007 01:18 0 sys.txt
24.11.2007 01:17 600 down.txt
24.11.2007 01:17 1.188 tmp.txt
24.11.2007 01:17 12.045 system.txt
24.11.2007 01:16 674 systemtemp.txt
24.11.2007 01:15 103.217 system32.txt
24.11.2007 00:44 527.880.192 hiberfil.sys
24.11.2007 00:44 792.723.456 pagefile.sys
24.11.2007 00:29 321.370 avenger.txt
21.11.2007 22:20 268 sqmdata13.sqm
21.11.2007 22:20 244 sqmnoopt13.sqm
14.11.2007 14:47 232 sqmdata12.sqm
14.11.2007 14:47 244 sqmnoopt12.sqm
06.11.2007 18:45 232 sqmdata11.sqm
06.11.2007 18:45 244 sqmnoopt11.sqm
06.11.2007 18:43 232 sqmdata10.sqm
06.11.2007 18:43 244 sqmnoopt10.sqm
06.11.2007 18:42 232 sqmdata09.sqm
06.11.2007 18:42 244 sqmnoopt09.sqm
29.10.2007 20:41 244 sqmnoopt08.sqm
29.10.2007 20:41 268 sqmdata08.sqm
24.10.2007 18:00 244 sqmnoopt07.sqm
24.10.2007 18:00 232 sqmdata07.sqm
22.10.2007 20:10 232 sqmdata06.sqm
22.10.2007 20:10 244 sqmnoopt06.sqm
14.09.2007 22:34 232 sqmdata05.sqm
14.09.2007 22:34 244 sqmnoopt05.sqm
14.09.2007 22:16 232 sqmdata04.sqm
14.09.2007 22:16 244 sqmnoopt04.sqm
24.08.2007 13:52 232 sqmdata03.sqm
24.08.2007 13:52 244 sqmnoopt03.sqm
23.08.2007 14:39 232 sqmdata02.sqm
23.08.2007 14:39 244 sqmnoopt02.sqm
19.08.2007 12:46 232 sqmdata01.sqm
19.08.2007 12:46 244 sqmnoopt01.sqm
20.07.2007 20:21 268 sqmdata00.sqm
20.07.2007 20:21 244 sqmnoopt00.sqm
11.03.2007 15:36 0 conmgr.log
03.02.2007 23:01 0 MSDOS.SYS
03.02.2007 23:01 0 IO.SYS
02.02.2007 19:18 211 boot.ini
04.08.2004 09:00 4.952 bootfont.bin
04.08.2004 09:00 251.184 NTLDR
04.08.2004 09:00 47.564 NTDETECT.COM
44 Datei(en) 1.321.353.425 Bytes
0 Verzeichnis(se), 55.950.589.952 Bytes frei