Bekomme Warnung beim öffnen von Ordnern: "Attention, Microsoft!" |
||
---|---|---|
#0
| ||
11.11.2008, 11:21
...neu hier
Beiträge: 10 |
||
|
||
11.11.2008, 14:22
Moderator
Beiträge: 5694 |
#2
>>
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Unknown owner - C:\Windows\System32\appdrvrem01.exe (file missing)und wähle fix checked. Starte den Rechner neu. >> Windows Taste + R drücken Kopiere rein: sc stop Application Driver Auto Removal Service Klicke OK Windows Taste + R drücken Kopiere rein: sc delete Application Driver Auto Removal Service Klicke OK >> http://www.virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) appdrvrem01 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. >> wende bitte RSIT an + poste die zwei Logs http://virus-protect.org/artikel/tools/random.html (sollte unter 64 Vista funktionieren) Gruss Swiss Dieser Beitrag wurde am 11.11.2008 um 14:26 Uhr von Tonstudio editiert.
|
|
|
||
11.11.2008, 17:38
...neu hier
Themenstarter Beiträge: 10 |
#3
Zitat http://www.virus-protect.org/artikel/tools/regsearch.htmlBis dahin klappt es ja, aber ab regsearch geht nicht s mehr. Wenn ich in: "Enter search Strings", dies eingebe/kopiere: appdrvrem01 friert das Programm ein. Manchmal sucht er auch ewig. Dier längste Zeit wo er gesucht hat waren 2,5 std., wenn es ein ähnliches Programm wie Combofix ist, dann ist das zu lange, oder? Ich kann das Programm auch nur über den Taskmanager stoppen, egal ob Regsearch nun einfriert oder endlos sucht. Zitat appdrvrem01Vllt habe ich dich falsch verstanden. was meinst Du genau damit? |
|
|
||
11.11.2008, 18:46
Moderator
Beiträge: 5694 |
#4
Versuche es einmal hiermit:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung: bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: appdrvrem01 Press 'OK' warten, bis die Suche beendet ist. Gruss Swiss |
|
|
||
11.11.2008, 19:31
...neu hier
Themenstarter Beiträge: 10 |
#5
Danke, jetzt hat es geklappt. habe einen Log bekommen, zwar nur kurz aber ein LOG. Woran liegt es das die anderen Programme nicht gehen? An Vista? an Vista x64? oder an dem wahrscheinlichen Virus?
Ich habe OTMoveIt3.exe runtergeladen das geht zumindest bis zum Start Screen aber ab da bräuchte ich eine Anleitung, bitte. LOG Code REGEDIT4 Dieser Beitrag wurde am 11.11.2008 um 19:40 Uhr von planethulk editiert.
|
|
|
||
11.11.2008, 19:42
Moderator
Beiträge: 5694 |
#6
Ich denke es liegt an der 64 Version
>> Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat drivers to unload:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> wende bitte RSIT an + poste die zwei Logs http://virus-protect.org/artikel/tools/random.html (sollte unter 64 Vista funktionieren) Gruss Swiss Dieser Beitrag wurde am 12.11.2008 um 00:07 Uhr von Tonstudio editiert.
|
|
|
||
11.11.2008, 20:35
...neu hier
Themenstarter Beiträge: 10 |
#7
Ich habe grade Avenger angewendet, aber ich glaube der hat kein Erfolg gehabt, wenn ich die letzte Zeile richtig deute.
Code //////////////////////////////////////////Rsit.exe Logs Code info.txt logfile of random's system information tool 1.04 2008-11-11 20:41:53Rsit.exe 2.Log Code Logfile of random's system information tool 1.04 (written by random/random) Dieser Beitrag wurde am 11.11.2008 um 20:45 Uhr von planethulk editiert.
|
|
|
||
12.11.2008, 00:15
Moderator
Beiträge: 5694 |
#8
Hat das funktioniert:
>> Windows Taste + R drücken Kopiere rein: sc stop "Application Driver Auto Removal Service" Klicke OK Windows Taste + R drücken Kopiere rein: sc delete "Application Driver Auto Removal Service" Klicke OK >> Schau unter den Dienste ob du diesen findest: Application Driver Auto Removal Service Deaktivier ihn >> Wende das Avenger Script erneut an Gruss Swiss |
|
|
||
12.11.2008, 16:36
...neu hier
Themenstarter Beiträge: 10 |
#9
Also unter Dienste ist es nachdem ich das gemacht habe deaktiviert
Windows Taste + R drücken Kopiere rein: sc stop "Application Driver Auto Removal Service" Klicke OK Windows Taste + R drücken Kopiere rein: sc delete "Application Driver Auto Removal Service" Klicke OK Der Avenger Log zeigt aber mmer noch folgendes: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows NT 6.0 (build 6001, Service Pack 1) Tue Nov 11 20:21:03 2008 20:20:58: Warning: Skipping potentially dangerous line: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\appdrvrem01" (Registry key deletion mode) 20:21:03: Error: Execution aborted by user! ////////////////////////////////////////// |
|
|
||
12.11.2008, 17:38
Moderator
Beiträge: 5694 |
#10
Kannst du es unter den Diensten löschen? Kenne mich mit Vista nicht aus
Bricht Avenger selbständig ab? Oder hast du nicht das ganze Log gepostet? So sollte es aussehen: Zitat //////////////////////////////////////////Poste ein neues HJT Log. Gruss Swiss Dieser Beitrag wurde am 12.11.2008 um 17:42 Uhr von Tonstudio editiert.
|
|
|
||
12.11.2008, 18:31
...neu hier
Themenstarter Beiträge: 10 |
#11
Nee, das ist der gesamte Avenger Log. Es erscheint ja gleich nach dem Reboot. Habs abkopiert und gepostet.
Bei Vista unter Start>>msconfig>>Dienste>>Kann man nur de-/aktivieren. Nichts löschen. HJT LOG folgt: Code Logfile of Trend Micro HijackThis v2.0.2Was ich noch sagen wollte ist, das seit gestern Abend keine einzige Virenmeldung beim öffnen eines Ordners mehr auftrat. Dieser Beitrag wurde am 12.11.2008 um 18:50 Uhr von planethulk editiert.
|
|
|
||
12.11.2008, 18:51
Moderator
Beiträge: 5694 |
#12
Du solltest eigentlich den Dienst so löschen können:
Windows Taste + R drücken Kopiere rein: sc delete "Application Driver Auto Removal Service" Klicke OK Ok mal schauen was HJT sagt. Gruss Swiss |
|
|
||
12.11.2008, 18:54
Moderator
Beiträge: 5694 |
#13
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> OTMoveIt2.exe http://oldtimer.geekstogo.com/OTMoveIt3.exe ->OTMoveIt2.exe auf dem Desktop speichern OTMoveIt.exe klicken 1. klicken: CleanUp! button 2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!) 3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden. Also im HJT Log ist auch nichts mehr zu erkennen. Belassen wir es so. Falls du noch Probleme hast, melde Dich. Gruss Swiss |
|
|
||
12.11.2008, 22:20
...neu hier
Themenstarter Beiträge: 10 |
#14
Also, vielen Dank für die Mühe und das Du dir die Zeit genommen hast mir zu helfen. Sieht so aus als ob das problem nicht mehr da ist. Danke.
Edit: Was genau war das denn? Virus, Trojaner, Spyware? |
|
|
||
12.11.2008, 22:39
Moderator
Beiträge: 5694 |
#15
Es dürfte ein Backdoor gewesen sein, aber genau kann ich Dir das nicht sagen. Auch im Google gehen die Meinungen bezgl appdrvrem01 auseinander.
Gruss Swiss |
|
|
||
seit gestern bekomme ich beim öffnen meines Download Ordners immer wieder diese Meldung. Dann öffnet sich eine Internet Seite, egal ob ich auf ja oder nein klicke.
Ich habe mit Malwarebytes, Kaspersky und Spybot gescannt. Die haben allerdings nichts gefunden. Ich werde mal die Protecus Prozedur zum Log erstellen durchführen.
Vielleicht weiss ja aber jetzt schon jemand was das Problem ist.
Combofix läuft nicht auf Vista 64x, auch nicht catchme. Habe beide auch im safe mode versucht.
Catchme.LOG:catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
detected NTDLL code modification:
ZwEnumerateKey, ZwQueryKey, ZwOpenKey, ZwClose, ZwEnumerateValueKey, ZwQueryValueKey, ZwOpenFile, ZwQueryDirectoryFile, ZwQuerySystemInformation
scanning hidden processes ...
Ich habe OTMoveIt3.exe runtergeladen das geht zumindest bis zum Start Screen
aber ab da bräuchte ich eine Anleitung, bitte.
EDIT: Habe Malwarybytes nochmal gestartet und der hat das gefunden und gelöscht:
Code
Hier ist mal der HJT LogCode