ADClickervirus, Hijackerlog schon gemacht. |
||
---|---|---|
#0
| ||
14.12.2007, 15:05
...neu hier
Beiträge: 10 |
||
|
||
14.12.2007, 15:51
Ehrenmitglied
Beiträge: 6028 |
#2
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti c:\windows\system32\dmscriptw.dll C:\WINDOWS\System32\dmconfigb.dll Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
16.12.2007, 18:02
...neu hier
Themenstarter Beiträge: 10 |
#3
"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"
kommt bei beiden datein... sagt euch das was, oder muss ich dir firewall vom router irgendwie umgehen? |
|
|
||
16.12.2007, 18:15
Ehrenmitglied
Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll O2 - BHO: (no name) - {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} - C:\WINDOWS\System32\dmconfigb.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing) O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing) O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.h O20 - Winlogon Notify: djxsjqbh - C:\WINDOWS\SYSTEM32\dmscriptw.dll klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Poste mal die daten von http://board.protecus.de/t23188.htm __________ MfG Argus |
|
|
||
16.12.2007, 19:22
...neu hier
Themenstarter Beiträge: 10 |
#5
Combofix
Zitat ComboFix 07-12-16.3 - Tomke 2007-12-16 18:44:52.1 - NTFSx86HijackThis Zitat Logfile of Trend Micro HijackThis v2.0.2Datfind.dat Zitat Volume in Laufwerk C: hat keine Bezeichnung. |
|
|
||
16.12.2007, 19:42
Ehrenmitglied
Beiträge: 6028 |
#6
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal C:\WINDOWS\System32\drivers\xogubdno.dat C:\WINDOWS\system32\drivers\oreans32.sys Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
26.12.2007, 16:32
...neu hier
Themenstarter Beiträge: 10 |
#7
bei "C:\WINDOWS\System32\drivers\xogubdno.dat "
kommt "0 bytes size received / Se ha recibido un archivo vacio" bei "C:\WINDOWS\system32\drivers\oreans32.sys" kommt Die Datei wurde bereits analysiert: MD5: aad837bf3b475092fd515cd0842334e9 Datum 2007.12.25 10:00:03 (CET) [+1D] Ergebnisse 1/32 Permalink: resultado.html?51a158343471a25ee75b184e622bcd84 und bei der permalinkseite: Ergebnis: 1/32 (3.13%) CAT-QuickHeal - - Rootkit.Agent.ad hilft das weiter? |
|
|
||
03.01.2008, 15:34
...neu hier
Themenstarter Beiträge: 10 |
#8
das hier wurde wohl ne zeit lang übersehen.
wie siehts aus, hat noch wer hilfe für mich, oder muss ich den rechner einschmelzen? mfg Tomke Reibisch |
|
|
||
03.01.2008, 18:50
Ehrenmitglied
Beiträge: 1441 |
#9
Ekmot
wende Avenger an: http://www.virus-protect.org/artikel/tools/avenger.html kopiere rein (siehe Anleitung) Zitat drivers to unload:Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten » dann poste neue logs von: HijackTHis Combofix datfindbat __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
06.01.2008, 20:05
...neu hier
Themenstarter Beiträge: 10 |
#10
Avanger zeigt nach reboot folgende meldung:
"Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately. Could not open script file! Status: 0xc0000034 Abort!" trotzdem erstma combofix und datfind und hijack this? |
|
|
||
06.01.2008, 20:14
Ehrenmitglied
Beiträge: 1441 |
#11
Ekmot
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. -------------- Zitat Driver::und mit der rechten Maustaste auf das Symbol von Combofix ziehen dann wende die Combofix noch mal an - tippe: 1 und poste den Report von Combofix -- dann poste neue logs von: HijackTHis datfindbat __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
18.02.2008, 13:58
...neu hier
Themenstarter Beiträge: 10 |
#12
Hallo
Vielen Dank für eure Hilfe bis jetzt! Ich glaub eine böse Datei is erfolgreich gelöscht worden, aber Viren sind immer noch da. ComboFix: Zitat [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]HijackThis: Zitat Logfile of Trend Micro HijackThis v2.0.2Datfindbat: Zitat Verzeichnis von C:\WINDOWS\system32 |
|
|
||
19.02.2008, 00:17
Ehrenmitglied
Beiträge: 1441 |
#13
Ekmot
HijackThis Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. Zitat O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll1. http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) yustfluh in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. gleiches mit: oreans32 djxsjqbh {85B50F06-845B-4CD8-B8C9-15F77846BE1E} {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} dmscriptw.dll dmconfigb.dll --------------------------------------------------------- 2. Lade otmoveIt http://virus-protect.org/artikel/tools/otmoveIt.html 3. boote in den abgesicherten Modus - dort kopiere IN otmoveItfolgendes rein + klicken: CleanUp! button Zitat C:\WINDOWS\system32\drivers\oreans32.sysnach neustart poste den Report -------------- 4. falls es nicht klappt, versuche es mit gvkiller (auch im abgesicherten Modus) http://virus-protect.org/artikel/tools/gvkiller.html 5. dann poste das neue Log von HijackThis + die Dateien von datfindbat __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
04.03.2008, 15:09
...neu hier
Themenstarter Beiträge: 10 |
#14
Ich hatte Probleme mit dem abgesicherten Modus. Funktionierte mit F8 nicht so richtig... musste also die etwas unkonventionelle methode benutzen und während des Hochfahrens Reset drücken....
Außerdem hat OTMoveIt sich immer aufgehängt, hab daher GVKiller benutzt. Hier die Logs: RegSearch: Zitat Yustfluh:GV-Killer: Zitat Logfile GV_Killer_01.txt v7.0.7 - Copyright © GV_Soft Guido VaesenHiJackThis: Zitat Running processes:DatFind: Zitat 03.03.2008 20:17 2.206 wpa.dbl |
|
|
||
04.03.2008, 16:42
Ehrenmitglied
Beiträge: 1441 |
#15
hab jetzt keine Zeit ein neues Log zu erstellen. Inzwischen (bis heute abend
scanne mit Avenger, hake beides an: "Automatically disable any rootkits found" "Scan for Rootkits" http://www.virus-protect.org/artikel/tools/avenger.html und poste den report hier __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
Ich hab dieses Forum entdeckt und hoffe ihr könnt helfen. hab das Avanger Programm runtergeladen und ein Hijackerlog gemacht:
Logfile of HijackThis v1.99.1
Scan saved at 14:56:43, on 14.12.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Dokumente und Einstellungen\Tomke\Desktop\hijackthis\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll
O2 - BHO: (no name) - {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} - C:\WINDOWS\System32\dmconfigb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - Global Startup: Einstellungen (2).lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O20 - Winlogon Notify: djxsjqbh - C:\WINDOWS\SYSTEM32\dmscriptw.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
könnt ihr mir sagen wie ich weiter vorgehen kann?
danke schonma
mfg
Ekmot