Trojaner Bagle.Gen- Jemand einen Rat? |
||
---|---|---|
#0
| ||
22.06.2008, 13:16
...neu hier
Beiträge: 8 |
||
|
||
22.06.2008, 18:42
Ehrenmitglied
Beiträge: 6028 |
#2
EliBaglA
Scrolle auf http://www.zonavirus.com/datos/descargas/95/elibagla.asp ganz nach unten zu " Descargar Elibagla 11.50 " und klicke Download EliBaglA.exe zum Desktop Doppelklick EliBaglA.exe um das Program zu starten Neben Unidad muss stehen C:\ wenn nicht,ändere es nach C:\ “Eliminar Ficheros Automaticamente” muss angehaackt sein Klicke " Explorar " Klicke nachher "Salir" um das Program zu schliessen Starte dein Rechner neu und lasse " EliBaglA " nochmal scannen Am Ende stet auf C:\ infoStat.txt Kopiere den Inhalt des Berichts ”infoStat.txt” in diesen Thread CombiFix entfernen Start > Ausführen>Kopiere rein ComboFix /U OK Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" . Waehle alle Laufwerke>Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Nehme als Update Spiegel >>It-mate.co.uk Malwarebytes Anti-Malware kann man nachher behalten ! Download ComboFix nochmal Download ComboFix und speichert es auf den Desktop! Benenne ComboFix in Combo-fix um Alle Fenster schliessen und combo-fix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! __________ MfG Argus |
|
|
||
22.06.2008, 19:17
...neu hier
Themenstarter Beiträge: 8 |
#3
´Es hat nun doch geklappt.. und hier die Ergebnisse vom EliBaglA
Sun Jun 22 19:07:34 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle Reinicie para Completar la Limpieza. Sun Jun 22 19:08:06 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:08:47 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:09:39 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:09:57 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:10:19 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:11:10 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:11:36 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:11:45 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Sun Jun 22 19:13:39 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:13:43 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Sun Jun 22 19:14:06 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:14:10 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Sun Jun 22 19:16:47 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado. Reinicie para Completar la Limpieza. Sun Jun 22 19:17:18 2008 EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ C:\Program Files\OO Software\DiskRecovery\O&O DISKRECOVERY 4.1.1334 KEYGEN.EXE --> Eliminado Bagle.dldr C:\Program Files\Rainlendar2\RAINLENDAR2.EXE --> Eliminado Bagle.dldr Nº Total de Directorios: 15734 Nº Total de Ficheros: 100177 Nº de Ficheros Analizados: 16521 Nº de Ficheros Infectados: 2 Nº de Ficheros Limpiados: 2 Und hier von dem Malwarebytes Programm.. Malwarebytes' Anti-Malware 1.18 Datenbank Version: 870 20:56:46 22.06.2008 mbam-log-6-22-2008 (20-56-46).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 134689 Scan Dauer: 44 minute(s), 57 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 6 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> Delete on reboot. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: C:\Users\Ines\AppData\Roaming\m (Trojan.Agent) -> Delete on reboot. Infizierte Dateien: C:\Program Files\WinRAR\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully. C:\Windows\System32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully. C:\Windows\System32\mdelk.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Windows\System32\wintems.exe (Trojan.Agent) -> Delete on reboot. C:\Windows\System32\drivers\hldrrr.exe (Rootkit.Agent) -> Quarantined and deleted successfully. C:\Users\Ines\AppData\Roaming\m\flec006.exe (Trojan.Agent) -> Delete on reboot. Nur der Combo-Fix streikt immer noch.. Lg Felipo Dieser Beitrag wurde am 22.06.2008 um 21:17 Uhr von Felipo editiert.
|
|
|
||
23.06.2008, 11:55
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo, Felipo
«« lade: Virus Removal Tool - AVPTool (noch nicht anwenden) http://virus-protect.org/artikel/tools/kaspersky.html «« Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren. http://www.virus-protect.org/zip/SafeBoot.zip «« im abges.Modus wende combofix an (umbnennen combofix.exe in comb.exe oder anderen namen) «« dann scanne mit dem Virus Removal Tool - AVPTool ------- poste dann nach neustart in den normalmodus ein neues log von Combofix + den scanreport vom Kaspersky AVPTool __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.06.2008, 23:17
...neu hier
Themenstarter Beiträge: 8 |
||
|
||
24.06.2008, 00:03
Ehrenmitglied
Beiträge: 29434 |
#6
die Fehlermeldung kommt vom Bagle-Wurm.
boote also in den abgesicherten Modus und versuche combofix anzuwenden. vorher umbenennen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.06.2008, 20:12
...neu hier
Themenstarter Beiträge: 8 |
#7
Yippie.. endlich hat Combo-Fix geklappt
hier die Daten dazu: ComboFix 08-06-20.4 - SYSTEM 2008-06-24 19:51:17.1 - NTFSx86 MINIMAL Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.1733 [GMT 2:00] ausgeführt von:: C:\Windows\system32\config\systemprofile\Desktop\Comb.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Windows\system32\drivers\downld C:\Windows\system32\drivers\downld\1016970.exe C:\Windows\system32\drivers\downld\1040885.exe C:\Windows\system32\drivers\downld\1058388.exe C:\Windows\system32\drivers\downld\1068123.exe C:\Windows\system32\drivers\downld\1345071.exe C:\Windows\system32\drivers\downld\1378222.exe C:\Windows\system32\drivers\downld\1403790.exe C:\Windows\system32\drivers\downld\1456628.exe C:\Windows\system32\drivers\downld\1468328.exe C:\Windows\system32\drivers\downld\1481432.exe C:\Windows\system32\drivers\downld\1488233.exe C:\Windows\system32\drivers\downld\193893.exe C:\Windows\system32\drivers\downld\204408.exe C:\Windows\system32\drivers\downld\2061163.exe C:\Windows\system32\drivers\downld\2069119.exe C:\Windows\system32\drivers\downld\2083767.exe C:\Windows\system32\drivers\downld\2091333.exe C:\Windows\system32\drivers\downld\2150910.exe C:\Windows\system32\drivers\downld\2165028.exe C:\Windows\system32\drivers\downld\2175995.exe C:\Windows\system32\drivers\downld\2185028.exe C:\Windows\system32\drivers\downld\735747.exe C:\Windows\system32\drivers\downld\737307.exe C:\Windows\system32\drivers\downld\745840.exe C:\Windows\system32\drivers\downld\765247.exe C:\Windows\system32\drivers\downld\835338.exe C:\Windows\system32\drivers\downld\851547.exe C:\Windows\system32\drivers\downld\890344.exe C:\Windows\system32\drivers\downld\957112.exe C:\Windows\system32\drivers\mdelk.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SROSA ((((((((((((((((((((((( Dateien erstellt von 2008-05-24 bis 2008-06-24 )))))))))))))))))))))))))))))) . 2008-06-24 19:48 . 2008-06-24 19:48 <DIR> d-------- C:\Temp 2008-06-24 19:47 . 2008-06-24 19:47 <DIR> d-------- C:\Users\All Users\Kaspersky Lab Tool 2008-06-24 19:47 . 2008-06-24 19:47 <DIR> d-------- C:\PROGRA~2\Kaspersky Lab Tool 2008-06-22 19:58 . 2008-06-22 19:58 <DIR> d-------- C:\Users\All Users\Malwarebytes 2008-06-22 19:58 . 2008-06-22 19:58 <DIR> d-------- C:\PROGRA~2\Malwarebytes 2008-06-22 19:58 . 2008-06-19 17:48 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys 2008-06-22 19:58 . 2008-06-19 17:47 17,144 --a------ C:\Windows\System32\drivers\mbam.sys 2008-06-22 13:01 . 2008-06-22 20:00 2,037,114 --a------ C:\ComboFix.exe 2008-06-22 12:48 . 2008-06-22 12:48 <DIR> d-------- C:\Users\All Users\Kaspersky Lab Setup Files 2008-06-22 12:48 . 2008-06-22 12:48 <DIR> d-------- C:\PROGRA~2\Kaspersky Lab Setup Files 2008-06-22 00:45 . 2008-06-22 00:45 <DIR> d-------- C:\Users\All Users\WindowsSearch 2008-06-22 00:45 . 2008-06-22 00:45 <DIR> d-------- C:\PROGRA~2\WindowsSearch 2008-06-22 00:36 . 2008-06-22 00:36 <DIR> d-------- C:\Program Files\CleanUp! 2008-06-20 18:05 . 2008-06-20 18:05 <DIR> d-------- C:\Program Files\avmwlanstick 2008-06-20 18:05 . 2005-05-13 02:00 5,584 -ra------ C:\Windows\instwcli.inf 2008-06-20 18:04 . 2005-05-13 02:00 452,736 --a------ C:\Windows\System32\drivers\fwlanusb.sys 2008-06-20 18:04 . 2005-05-13 02:00 97,392 --a------ C:\Windows\System32\drivers\Fwusb1b.bin 2008-06-20 18:04 . 2005-05-13 02:00 32,768 --a------ C:\Windows\System32\avmcowlan.dll 2008-06-19 21:56 . 2008-06-19 22:11 49 --a------ C:\Windows\NeroDigital.ini 2008-06-19 20:36 . 2008-06-19 20:36 <DIR> d-------- C:\Program Files\OO Software 2008-06-19 08:47 . 2008-06-20 17:01 <DIR> d-------- C:\Program Files\PC Inspector File Recovery 2008-06-14 19:56 . 2008-04-23 06:42 428,544 --a------ C:\Windows\System32\EncDec.dll 2008-06-14 19:55 . 2008-04-23 06:42 293,376 --a------ C:\Windows\System32\psisdecd.dll 2008-06-14 19:55 . 2008-04-23 06:41 218,624 --a------ C:\Windows\System32\psisrndr.ax 2008-06-14 19:55 . 2008-04-23 06:41 57,856 --a------ C:\Windows\System32\MSDvbNP.ax 2008-06-11 14:49 . 2008-04-25 04:12 1,383,424 --a------ C:\Windows\System32\mshtml.tlb 2008-06-11 14:49 . 2008-04-26 10:08 1,314,816 --a------ C:\Windows\System32\quartz.dll 2008-06-11 14:49 . 2008-04-25 06:35 826,880 --a------ C:\Windows\System32\wininet.dll 2008-06-11 14:49 . 2008-05-10 03:33 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys 2008-06-04 18:50 . 2008-06-04 18:50 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf 2008-05-30 19:45 . 2008-05-30 19:45 <DIR> d-------- C:\Program Files\VideoLAN 2008-05-30 19:42 . 2008-05-30 19:42 <DIR> d-------- C:\Program Files\Common Files\xing shared 2008-05-30 19:41 . 2008-05-30 19:41 <DIR> d-------- C:\Program Files\Real 2008-05-30 19:12 . 2008-05-30 19:12 <DIR> dr------- C:\Users\Public\Downloads 2008-05-30 18:58 . 2008-05-30 18:58 <DIR> d-------- C:\PerfLogs 2008-05-30 16:36 . 2008-01-19 09:33 2,623,488 --a------ C:\Windows\System32\SLsvc.exe 2008-05-30 16:36 . 2008-01-19 09:36 1,541,120 --a------ C:\Windows\System32\onex.dll 2008-05-30 16:34 . 2008-01-19 05:12 3,662,296 --a------ C:\Windows\System32\locale.nls 2008-05-30 16:33 . 2008-01-19 09:35 9,847,296 --a------ C:\Windows\System32\NlsData000a.dll 2008-05-30 16:32 . 2008-01-19 09:33 8,139,264 --a------ C:\Windows\System32\ssBranded.scr 2008-05-30 16:31 . 2008-01-19 09:35 3,072,000 --a------ C:\Windows\System32\networkmap.dll 2008-05-30 16:30 . 2008-01-19 09:34 6,103,040 --a------ C:\Windows\System32\chtbrkr.dll 2008-05-30 16:29 . 2008-01-19 08:06 8,147,456 --a------ C:\Windows\System32\wmploc.DLL 2008-05-30 16:27 . 2008-01-19 09:36 704,512 --a------ C:\Windows\System32\SmiEngine.dll 2008-05-30 16:27 . 2008-01-19 09:36 357,888 --a------ C:\Windows\System32\wbemcomn.dll 2008-05-30 16:27 . 2008-01-19 09:36 218,624 --a------ C:\Windows\System32\wdscore.dll 2008-05-30 16:27 . 2008-01-19 09:36 139,264 --a------ C:\Windows\System32\SmiInstaller.dll 2008-05-30 16:27 . 2008-01-19 09:33 130,560 --a------ C:\Windows\System32\PkgMgr.exe 2008-05-30 16:26 . 2008-01-19 09:34 305,152 --a------ C:\Windows\System32\msdelta.dll 2008-05-30 16:26 . 2008-01-19 09:34 258,560 --a------ C:\Windows\System32\dpx.dll 2008-05-30 16:26 . 2008-01-19 09:34 246,784 --a------ C:\Windows\System32\drvstore.dll 2008-05-30 16:26 . 2008-01-19 09:35 35,328 --a------ C:\Windows\System32\mspatcha.dll 2008-05-27 20:01 . 2008-03-08 04:08 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll 2008-05-27 20:01 . 2008-03-08 06:21 1,695,744 --a------ C:\Windows\System32\gameux.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-22 17:18 --------- d-----w C:\Program Files\Rainlendar2 2008-06-22 10:51 --------- d-----w C:\PROGRA~2\Avira 2008-06-20 15:42 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-06-20 15:42 --------- d-----w C:\PROGRA~2\Ulead Systems 2008-06-20 15:42 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy 2008-06-19 06:49 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-06-12 07:27 --------- d-----w C:\Program Files\Windows Mail 2008-06-10 16:41 --------- d-----w C:\Program Files\Java 2008-05-30 17:42 --------- d-----w C:\Program Files\Common Files\Real 2008-05-30 17:12 174 --sha-w C:\Program Files\desktop.ini 2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Sidebar 2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Photo Gallery 2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Journal 2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Collaboration 2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Calendar 2008-05-30 17:01 --------- d-----w C:\Program Files\Windows Defender 2008-04-25 08:18 --------- d-----w C:\Program Files\Common Files\PX Storage Engine 2007-01-26 09:19 335 ----a-w C:\Users\Ines\registry.dat 2007-09-09 18:04 397,312 --sha-w C:\Windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6000.16480_none_ef1b6bb652cf8744\WinMail.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-19 09:33 125952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784] "Malwarebytes Anti-Malware Reboot"="C:\Users\Default\Desktop\Malwarebytes' Anti-Malware\mbam.exe" [2008-06-19 17:47 1166968] "is-P5R47"="C:\ProgramData\Kaspersky Lab Tool\is-P5R47\is-P5R47.exe" [2008-06-07 15:26 217088] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm "msacm.mpegacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm "msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService] @="Service" [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk] path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk backup=C:\Windows\pss\Adobe Gamma Loader.lnk.CommonStartup backupExtension=.CommonStartup [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk] path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk backup=C:\Windows\pss\Microsoft Office.lnk.CommonStartup backupExtension=.CommonStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service] --a------ 2005-11-16 17:05 118784 C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] -ra------ 2005-05-13 02:00 1800408 C:\Program Files\avmwlanstick\wlangui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2006-12-23 18:05 143360 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] --a------ 2008-04-01 12:40 172280 D:\Program Files\ICQ6\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2006-11-10 16:19 1051648 C:\Program Files\Nero\Nero 7\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 15:40 155648 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] D:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-01-28 12:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2008-05-30 19:41 185896 C:\Program Files\Common Files\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe] --a------ 2005-11-16 17:05 1009806 D:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2] e:\registrybooster 2\StartRegistryBooster.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2326822739-3173598295-4013631000-1000] "EnableNotificationsRef"=dword:00000003 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\AuthorizedApplications\List] "d:\\Program Files\\FlashFXP\\FlashFXP.exe"= d:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{869456E5-961E-470E-B4DD-A58062D1F50B}"= UDP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger "{F41DDF99-846C-4B92-9098-9EB4393218C7}"= TCP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger "{2CCACAE1-B403-42AB-BA5A-287E4DF4F6AF}"= UDP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server "{1EE8A675-F976-4196-8BE3-38456EDC76D7}"= TCP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server "TCP Query User{D2752CE4-561B-4A5C-9397-4BF6CBFE7AD3}C:\\program files\\msn messenger\\msnmsgr.exe"= UDP:C:\program files\msn messenger\msnmsgr.exe:MSN Messenger "UDP Query User{2B12B430-C1AF-4C27-A63A-AEB15CCFE8BA}C:\\program files\\msn messenger\\msnmsgr.exe"= TCP:C:\program files\msn messenger\msnmsgr.exe:MSN Messenger "TCP Query User{B3777210-039B-4062-A8FD-CC0214DD669C}D:\\program files\\icq6\\icq.exe"= UDP:\program files\icq6\icq.exe:ICQ Library "UDP Query User{2E4B77A6-A875-4DEC-920B-804ECA5F9E5B}D:\\program files\\icq6\\icq.exe"= TCP:\program files\icq6\icq.exe:ICQ Library "{D6F7DAE4-E520-46B7-8CFB-1CBA41C2F46B}"= UDP:\Program Files\Shtml8.exe:Shtml8.exe "{126F115A-10C0-4560-8FAC-D51D189BDA8A}"= TCP:\Program Files\Shtml8.exe:Shtml8.exe "TCP Query User{42540598-2A5B-49CC-B41C-6B8810138447}D:\\program files\\realplay.exe"= UDP:\program files\realplay.exe:RealPlayer "UDP Query User{5F5DED53-89CC-487F-969D-6334D3D05F98}D:\\program files\\realplay.exe"= TCP:\program files\realplay.exe:RealPlayer "{E9BEFF48-D547-417B-B458-BF0AA5E112D5}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype "{035323F4-E626-43F2-BE73-C67E78E61E88}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype "{1E9757B7-53DA-4F94-B66D-0592FF8B9BD7}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{7FE3AFF3-3433-4A37-8771-B9EC9097CFB1}C:\\users\\ines\\downloads\\messengr.exe"= UDP:C:\users\ines\downloads\messengr.exe:messengr.exe "UDP Query User{1FE34BC4-A753-4C71-96E8-A737116707B1}C:\\users\\ines\\downloads\\messengr.exe"= TCP:C:\users\ines\downloads\messengr.exe:messengr.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List] "d:\\Program Files\\FlashFXP\\FlashFXP.exe"= d:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3 R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\Windows\system32\DRIVERS\RTL8187B.sys [2007-03-22 22:23] S2 is-P5R47;is-P5R47;"C:\ProgramData\Kaspersky Lab Tool\is-P5R47\is-P5R47.exe" -r [] S3 FWLANUSB;AVM FRITZ!WLAN;C:\Windows\system32\DRIVERS\fwlanusb.sys [2005-05-13 02:00] S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\Windows\system32\DRIVERS\ss_bus.sys [2007-05-02 12:11] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\Windows\system32\DRIVERS\ss_mdfl.sys [2007-05-02 12:11] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\Windows\system32\DRIVERS\ss_mdm.sys [2007-05-02 12:11] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \shell\AutoRun\command - F:\setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4faac2d2-5e36-11dc-b979-806e6f6e6963}] \shell\AutoRun\command - F:\setup.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-24 20:04:42 Windows 6.0.6001 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Windows\System32\audiodg.exe C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe C:\Program Files\avmwlanstick\WLanNetService.exe C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\Windows\System32\WUDFHost.exe C:\Windows\System32\wermgr.exe C:\Windows\System32\conime.exe C:\Windows\System32\WerFault.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-24 20:09:06 - machine was rebooted [Ines] ComboFix-quarantined-files.txt 2008-06-24 18:08:50 Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden. 15 Verzeichnis(se), 12,438,593,536 Bytes frei 255 --- E O F --- 2008-06-19 18:22:39 Und nun??? Liebe GRüße und vielen Dank Felipo |
|
|
||
25.06.2008, 00:28
Ehrenmitglied
Beiträge: 29434 |
#8
jetzt mache einen Onlinescan mit bitdefender + poste den report
http://virus-protect.org/artikel/tools/bitdefender.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.06.2008, 14:27
...neu hier
Themenstarter Beiträge: 8 |
#9
ich komme doch nicht online! Der Zugang ist doch auch gesperrt vom Bagle.gen
nen anderen Vorschlag? Ich lade immer am seperaten Pc mit Internetanschluß alles runter und spiel es per Stick dann auf den verseuchten Pc.. Lg Felipo |
|
|
||
25.06.2008, 14:30
Ehrenmitglied
Beiträge: 29434 |
#10
1.
lade dr.web, scanne im abgesicherten modus und versuche es auch noch mal mit dem kaspersky-Tool poste dann hier die reporte http://virus-protect.org/cureit.html 2. dann lade avz, scanne + poste den report http://virus-protect.org/artikel/tools/avz.html 3. in avz Results of System Analysis poste den report der Systemanalyse __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.06.2008, 16:22
...neu hier
Themenstarter Beiträge: 8 |
#11
Hallo Sabina
Also bei Dr. Web kam nix raus.. Und hier die log datei für AVZ: Attention !!! Database was last updated 2008-04-06 it is necessary to update the bases using automatic updates (File/Database update) AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 2008-06-25 15:55:14 Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09 Heuristic microprograms loaded: 370 SPV microprograms loaded: 9 Digital signatures of system files loaded: 70476 Heuristic analyzer mode: Medium heuristics level Healing mode: enabled Windows version: 6.0.6001, Service Pack 1 ; AVZ is launched with administrator rights System Restore: enabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Error loading driver - checking interrupted [C0000061] 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Error loading driver - checking interrupted [C0000061] 2. Scanning memory Number of processes found: 5 Number of modules loaded: 161 Scanning memory - complete 3. Scanning disks C:\Windows\Installer\c014de.msi/{MS-OLE}/\67 >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) File quarantined succesfully (C:\Windows\Installer\c014de.msi) C:\Windows\Installer\c014de.msi/{MS-OLE}/\70 >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) C:\Windows\Installer\c014de.msi/{MS-OLE}/\71 >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) File quarantined succesfully (C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe) C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) File quarantined succesfully (C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe) C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ARPPRODUCTICON.exe >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) File quarantined succesfully (C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ARPPRODUCTICON.exe) 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled >> Security: sending Remote Assistant queries is enabled Checking - complete 9. Troubleshooting wizard Checking - complete Files scanned: 72259, extracted from archives: 47447, malicious software found 0, suspicions - 6 Scanning finished at 2008-06-25 16:07:22 Time of scanning: 00:12:10 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference die Systemanalyse hab ich auch gemacht und die Datei angehängt.. hoffe mal die richtige Lg Felipo.. PS: habe gerade festgestellt das einige Virenprogramme wieder gehen.. aber sie melden immer noch den befall.. aber jetzt irgendwas unter QuBox.. sind die dann irgendwo isoliert schon? vielleicht bin ich ja zu voreilig.. Und ich würde gern Vista runter schmeißen.. aber das will nicht.. hat da jemand evtl. auch noch ne Idee zu? Felipo Anhang: Results of system analysis.doc Dieser Beitrag wurde am 25.06.2008 um 21:06 Uhr von Felipo editiert.
|
|
|
||
26.06.2008, 01:22
Ehrenmitglied
Beiträge: 29434 |
#12
««
C:\QooBox - löschen « poste dieses log http://virus-protect.org/artikel/tools/reglooks.html «« ich verstehe nicht, wieso du nicht ins net kommst. es ist alles soweit o.k. LSP settings checked. No errors detected # Klicke auf Start. # Klicke auf die Einstellungen-Menüoption. # Klicke auf Systemsteuerung. # Wenn sich die Systemsteuerung öffnet, mache einen Doppelklick auf das Netzwerkverbindungen-Piktogramm. Wenn Dein Systemsteuerungsfenster auf Kategorieansicht eingestellt ist, dann klicke auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen in der unteren Kategorie: oder ein Systemsteuerungssymbol. # Du wirst nun eine Liste der zur Verfügung stehenden Netzwerkverbindungen sehen. Navigiere zu Deiner LAN- oder Wireless-Verbindung und mache einen Rechtsklick darauf. # Du wirst nun ein Menü sehen-Klicke einfach auf Reparieren. ----- Error loading driver - checking interrupted [C0000061] falls durch den bagelwurm die Modemtreiber hops gegangen sind,...lege die cd vom Modem ein und lade sie neu. -------------------------- dann mache den kasperskyscan + poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.06.2008, 09:30
...neu hier
Themenstarter Beiträge: 8 |
#13
hallo Sabina
Kaspersky hat alle DAtein der QooBox gelöscht.. Und Es funktioniert alles wieder!! Vielen tausend Dank!!! Mein Internet geht nur noch nicht, weil mein Schatz mich wohl bei der FritzBox gesperrt hat. Sollte heute Abend also auch wieder gehen!! :-) Der Report von Kaspersky ist zu groß.. auch alt datei braucht er zu lange.. Ich muß erstmal zur Arbeit.. Lg Felipo |
|
|
||
26.06.2008, 12:04
Ehrenmitglied
Beiträge: 29434 |
#14
poste dieses log
http://virus-protect.org/artikel/tools/reglooks.html dann kopiere von kasperskyscan nur die von ihm gelöschten Einträge raus, nicht den ganzen Scan abkopieren . __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.06.2008, 08:48
...neu hier
Themenstarter Beiträge: 8 |
#15
Hallo Sabina..
Mein Internet geht trotz freischaltens und alles wieder installieren immer noch nicht. Ist es möglich das meine Netzwerkkarte beschädigt ist?? hier den Log von reglooks REGLOOKS logfile version 0.977 2008-06-27 8:40:05.21 running from: "E:\" --- SSODL regkeys --- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad only standard or legit regkeys found --- STS regkeys --- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler only standard or legit regkeys found --- USERINIT regkey --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon --- SHELL regkey --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon --- SYSTEM regkey --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon --- APPINIT_DLLS regkey --- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows --- NOTIFY regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify only standard or legit regkeys found --- SHELLEXECUTEHOOKS regkey --- HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks --- HKLM\Run regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regkey does not exist --- HKLM\RunOnce regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce regkey does not exist --- HKLM\RunOnceEx regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx regkey does not exist --- HKLM\RunServices regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices regkey does not exist --- HKLM\RunServicesOnce regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce regkey does not exist --- HKCU\Run regkeys --- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regkey does not exist --- HKCU\RunOnce regkeys --- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce regkey does not exist --- HKCU\RunOnceEx regkeys --- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx regkey does not exist --- HKCU\RunServices regkeys --- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices regkey does not exist --- HKCU\RunServicesOnce regkeys --- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce regkey does not exist --- HKU\.DEFAULT\Run regkeys - Default user --- HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regkey does not exist --- HKU\S-1-5-18\Run regkeys - user SYSTEM --- HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regkey does not exist --- HKU\S-1-5-19\Run regkeys - User Lokale service --- HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regkey does not exist --- HKU\S-1-5-20\Run regkeys - User Netwerkservice --- HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regkey does not exist --- HKLM\Explorer\Run regkeys --- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run regkey does not exist --- HKCU\Explorer\Run regkeys --- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run regkey does not exist --- Image File Execution regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options regkey does not exist --- BROWSER HELPER OBJECTS regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects regkey does not exist --- TOOLBAR regkeys --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar regkey does not exist --- URLSEARCHHOOKS regkeys --- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks regkey does not exist --- CONTEXTMENUHANDLERS regkeys --- HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers --- SAFEBOOT MINIMAL SERVICES --- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal no unknown services found --- SAFEBOOT NETWORK SERVICES --- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network no unknown services found --- SERVICES --- no unknown services found no unknown services found! --- SECURITYPROVIDERS regkey --- HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders regkey does not exist --- SVCHOST regkey --- HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost LocalService: nsi\0lltdsvc\0SSDPSRV\0upnphost\0SCardSvr\0w32time\0EventSystem\ 0RemoteRegistry\0WinHttpAutoProxySvc\ 0lanmanworkstation\0TBS\0SLUINotify\0THREADORDER\0fdrespub\0netprofm\0fdphost\0wcncsvc\ 0QWAVE\0Mcx2Svc\0WebClient\0SstpSvc\0\0 LocalSystemNetworkRestricted: hidserv\0UxSms\0WdiSystemHost\0Netman\0trkwks\0AudioEndpointBuilder\0WUDFSvc\0irmon\ 0sysmain\0IPBusEnum\0dot3svc\0PcaSvc\0EMDMgmt\0TabletInputService\0wlansvc\0WPDBusEnum\0\0 NetworkServiceNetworkRestricted: PolicyAgent\0\0 LocalServiceNoNetwork: PLA\0DPS\0BFE\0mpssvc\0ehstart\0\0 NetworkService: CryptSvc\0DHCP\0TermService\0KtmRm\0DNSCache\0NapAgent\0nlasvc\0WinRM\0WECSVC\0Tapisrv\0\0 termsvcs: TermService\0\0 WerSvcGroup: wersvc\0\0 netsvcs: AeLookupSvc\0wercplsupport\0Themes\0CertPropSvc\0SCPolicySvc\ 0lanmanserver\0gpsvc\0IKEEXT\0AudioSrv\ 0FastUserSwitchingCompatibility\0Ias\0Irmon\0Nla\ 0Ntmssvc\0NWCWorkstation\0Nwsapagent\0Rasauto\ 0Rasman\0Remoteaccess\0SENS\0Sharedaccess\0SRService\0Tapisrv\0Wmi\0WmdmPmSp\0TermService \0wuauserv\0BITS\0ShellHWDetection\0LogonHours\0PCAudit\0helpsvc\0uploadmgr\ 0iphlpsvc\0seclogon\0AppInfo\0msiscsi\0MMCSS\ 0ProfSvc\0EapHost\0winmgmt\0schedule\0SessionEnv\0browser\0hkmsvc\0\0 swprv: swprv\0\0 LocalServiceNetworkRestricted: DHCP\0eventlog\0AudioSrv\0LmHosts\0wscsvc\0p2pimsvc\0PNRPSvc\0p2psvc\0WPCSvc\0PnrpAutoReg\0\0 rpcss: RpcSs\0\0 regsvc: RemoteRegistry\0\0 wcssvc: WcsPlugInService\0\0 DcomLaunch: PlugPlay\0DcomLaunch\0\0 wdisvc: WdiServiceHost\0\0 sdrsvc: sdrsvc\0\0 imgsvc: StiSvc\0\0 secsvcs: WinDefend\0\0 --- WOW-CMDLINE regkeys --- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW --- DNS SERVER regkeys --- no "NameServer" values found --- STARTUP FOLDERS --- C:\Users\Ines\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini --- TASK SCHEDULER JOBS --- no .job files found --- File associations --- .BAT files: ("%1" %*) .COM files: ("%1" %*) .EXE files: ("%1" %*) .HLP files: (%SystemRoot%\winhlp32.exe %1) .INF files: (%SystemRoot%\system32\NOTEPAD.EXE %1) .INI files: (%SystemRoot%\system32\NOTEPAD.EXE %1) .JS files: (%SystemRoot%\System32\WScript.exe "%1" %*) .PIF files: ("%1" %*) .REG files: (regedit.exe "%1") .SCR files: ("%1" /S) .TXT files: (%SystemRoot%\system32\NOTEPAD.EXE %1) .VBS files: ("%SystemRoot%\System32\WScript.exe" "%1" %*) FINISHED und von Kaspersky Detected -------- Status Object ------ ------ deleted: Trojan program Backdoor.Win32.Hupigon.cjai File: C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\2061163.exe.vir deleted: Trojan program Backdoor.Win32.Hupigon.cjai File: C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\737307.exe.vir deleted: Trojan program Trojan-Downloader.Win32.Bagle.hp File: C:\QooBox\Quarantine\Registry_backups\Legacy_SROSA.reg.dat Liebe Grüße Felipo |
|
|
||
Seit Donnerstag habe ich auf meinem Laptop (Vista :-( ) ein Trojaner namens Bagle.gen und der ist in der wintems.exe gefunden worden.
Er hat das Internet lahm gelegt, Viren Scanner und alles was man installieren will blockiert er auch..
Glücklicherweise hab ich dieses Forum hier gefunden, und hab mich ein bisschen belesen was man machen soll.. Leider läßt er ComboFix nicht zu.. da kommt: Dieses ist keine zulässige Win 32 Anwendung
Hat jemand ne Idee, oder ne Lösung was ich noch machen kann??
Würde ja gern einfach Format C: machen, aber selbst das läßt er nicht zu..
Liebe Grüsse
Felipo