Welcher Prozess erstellt diese Datei? |
||
---|---|---|
#0
| ||
25.03.2008, 17:54
...neu hier
Beiträge: 9 |
||
|
||
25.03.2008, 18:05
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,
« wende bitte Combofix an + poste den report http://virus-protect.org/artikel/tools/combofix.html « wende datfindbat nach Anleitung an + poste die logs (3 Monate von jedem Log reichen aus) ...sind nach Datum geordnet.. http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.03.2008, 20:59
...neu hier
Themenstarter Beiträge: 9 |
#3
Ich habe beide Tools angewand.
Zitat ComboFix 08-03-25.1 - Peter 2008-03-25 20:24:49.1 - NTFSx86ZU ComboFix muss ich hinzusagen, das ich nach dem geforderten Neustart den PC abstürtzen ließ als der Vorgang des Herrunterfahrens bei "Einstellungen speichern..." angekommen war, da der PC 15min in diesem Zustang hängte. Ich glaube dies liegt daran, das es seit dem Virus das Problem gibt, das ich eine Fehlermeldung des Prozesses "services.exe" bekomme (immer bei Systemstart) in welchem auf ein Problem hingewiesen wird. Wenn ich dieses Fenster mit dem Button "Nicht senden" schließe startet sich "shutdown.exe" und fohrt den PC nach einer Minute herrunter. Wenn ich das Problemberichtfenster nicht schließe kann ich normal arbeiten. Ich habe dies getan, den Prozessexplorer gestartet und beobachtet was passiert, wenn ich auf "Nicht senden" klicke. Der Prozess "Services.exe" wird beenden. Dies erklärt auch warum sich dann keine Applicationen mehr starten lassen, da dies ohne "services.exe" ja nicht möglich ist. Das Windows-Herrunterfahrenfenster, das von einer min herrunterzählt, bevor der PC neugestartet wird, lässt sich mit "shutdown.exe -a" beenden. Hoffe auf Hilfe, Vinschni Zitat Datentr„ger in Laufwerk C: ist System(WINDOWS) Anhang: dirdat.txt
|
|
|
||
25.03.2008, 23:56
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo,
auf dem Rechner sind Rootkits und Viren, bitte nicht etwa bei ebay einloggen Nach der Reinigung, wenn sie denn erfolgreich ist..alle Passworte ändern ! 1. gehe in die Registry Start - Ausführen - regedit [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"= 1 - in 0 ändern "NoResolveSearch"= 1 - in 0 ändern "AllowLegacyWebView"= 1 - in 0 ändern "AllowUnhashedWebView"= 1 - in 0 ändern [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 - in 0 ändern "FirewallOverride"=dword:00000001 - in 0 ändern ------------------------------------------------------------------------ 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten « poste das neue Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 10:22
...neu hier
Themenstarter Beiträge: 9 |
#5
Hi,
Ich habe wie beschrieben Combofix ausgeführt. 4x Hat sich der PC beim Löschen der "yeyquase.msi" aufgehängt, beim 5. Mal hat es funktioniert. Hier ist das neue Log: Zitat ComboFix 08-03-25.4 - Peter 2008-03-26 10:04:08.5 - NTFSx86Das Problem mit der "service.exe" scheint behoben zu sein. Von den im Temp Ordner erstellten ausführbaren Dateien hat Avast bis jetzt noch nichts berichtet. Grüße, Vinschni |
|
|
||
26.03.2008, 10:29
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo
wende bitte comboscan an + poste die 2 logs, die erscheinen http://www.virus-protect.org/artikel/tools/comboscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 13:36
...neu hier
Themenstarter Beiträge: 9 |
#7
Hier die 2 Logs
main.txt: Zitat Deckard's System Scanner v20071014.68extra.txt Zitat Deckard's System Scanner v20071014.68Vinschni |
|
|
||
26.03.2008, 13:53
Ehrenmitglied
Beiträge: 29434 |
#8
«««
http://www.virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Brq66 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. gleiches mit: vds vaxscsi uscbs109 uscsc109 vax347b vax347s __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 14:12
Ehrenmitglied
Beiträge: 29434 |
#9
daas sieht ja wild aus
nun denn ..kommt noch mehr ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 14:16
...neu hier
Themenstarter Beiträge: 9 |
#10
Ich habe alle Zeichenketten, die du gepostet hast, durchgejagt, mit dem Ergebnis.
Was meinst du mit: "kommt noch mehr"? Mit freundlichem Gruß, Vinschni |
|
|
||
26.03.2008, 14:23
Ehrenmitglied
Beiträge: 29434 |
#11
so finde ich mich nicht zurecht, also bitte einzeln:
««« http://www.virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Brq66 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 14:45
...neu hier
Themenstarter Beiträge: 9 |
#12
Ok, sorry
Bei der einzelnen Suche war der Text zu lang um ihn zu posten Ich habs im Anhang Vinschni PS: Es würde die Übersichtlichkeit drastisch erhöhen, wenn ich Spoiler verwenden könnte; dann würde der Text auch nicht zu lang sein. Anhang: RegSearch.txt
|
|
|
||
26.03.2008, 14:52
Ehrenmitglied
Beiträge: 29434 |
#13
««
Combofix erstelle eine neue cfscript.txt , dann wie gehabt anwenden Zitat KILLALL::poste das neue Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 15:39
...neu hier
Themenstarter Beiträge: 9 |
#14
Hier das Log:
Zitat aComboFix 08-03-25.4 - Peter 2008-03-26 15:23:46.6 - NTFSx86Vinschni |
|
|
||
26.03.2008, 16:14
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo
Sophos Anti-Rootkit + berichte vom scan http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html scanne mit Bitdefender + poste den Report http://board.protecus.de/t8642.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Seit jetzt schon 2 Tagen findet mein Anti-Virus Programm Avast (nach dem Entfernen eines Virus) immer wieder einen 16kb große Exe mit einem langen, sich variirenden Zahlennamen. Diese Datei wird im Tem-Verzeichnis des angemeldeten Benutzers erstellt. Und das in inregelmäßigen Abständen von ca jeweils 45min. Nun wollt ich wissen, welcher Prozess diesen Virus erstellt, da mein PC laut Boottime-Prüfung von Avast virenfrei scheint. Dazu habe ich den Filemonitor der Microsoft SysinternalSuit verwendet, konnte jedoch hiermit den Prozess nicht ausmachen. Gibt es eine andere Möglichkeit, durch Verzeichnissüberwachung den Urheber dieser Datei ausfindig zu machen?
Mit freundlichem Gruß,
Vinschni