kernel.exe <- wie werde ich sie los ?

#31 ComboFix 08-04-15.4 - BASTARD 2008-04-18 11:39:13.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\BASTARD\Eigene Dateien\Azureus Downloads\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.

2008-04-18 09:12 . 2008-04-18 09:12 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-04-18 09:11 . 2008-04-18 09:15 <DIR> d-------- C:\Programme\Norton AntiVirus
2008-04-18 09:10 . 2008-04-18 09:12 <DIR> d-------- C:\Programme\Symantec
2008-04-18 09:10 . 2008-04-18 09:12 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-04-18 09:10 . 2008-04-18 09:12 60,808 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-04-18 08:58 . 2008-04-18 08:58 <DIR> d-------- C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\Symantec
2008-04-17 20:06 . 2008-04-17 20:06 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-17 19:54 . 2008-04-17 20:32 <DIR> d-------- C:\SDFix
2008-04-17 17:45 . 2008-04-17 17:46 <DIR> d-------- C:\Programme\GV_Killer
2008-04-17 17:45 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb
2008-04-15 11:46 . 2008-04-15 11:46 <DIR> d-------- C:\Programme\Lavasoft
2008-04-15 11:46 . 2008-04-15 11:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-15 11:45 . 2008-04-15 11:59 <DIR> d-------- C:\Programme\Security Task Manager
2008-04-15 11:45 . 2008-04-16 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-04-15 09:51 . 2008-04-18 09:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-09 15:03 . 2008-04-09 15:03 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-09 08:30 . 2008-04-09 08:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallerA
2008-04-09 08:30 . 2008-04-09 08:30 <DIR> d-------- C:\Programme\CryptIt

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-18 09:45 136 ----a-w C:\WINDOWS\system32\drivers\ALCICH.DAT
2008-04-18 09:38 --------- d-----w C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\Azureus
2008-04-18 07:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-04-18 07:12 806 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-04-18 07:12 10,652 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-04-18 07:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-04-17 22:33 --------- d-----w C:\Programme\ICQ6
2008-04-17 09:12 --------- d-----w C:\Programme\Azureus
2008-04-15 09:48 --------- d-----w C:\Programme\ICQToolbar
2008-04-15 09:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-13 19:41 --------- d-----w C:\Programme\DivX
2008-04-09 05:53 --------- d-----w C:\Programme\FlashFXP
2008-04-08 18:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-04-07 09:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-18 13:15 --------- d-----w C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\OpenOffice.org2
2008-03-07 17:04 --------- d-----w C:\Programme\Java
2008-03-06 19:32 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-03-06 19:32 23,904 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-03-06 19:32 10,537 ----a-w C:\WINDOWS\system32\drivers\coh_mon.cat
2008-03-05 10:17 --------- d-----w C:\Programme\Ontrack
2008-03-04 19:45 --------- d-----w C:\Programme\File Scavenger 3.2
2008-02-20 09:51 --------- d-----w C:\Programme\ScummVM
2007-03-30 13:54 702,096 ----a-w C:\Programme\APR2007_d3dx10_33_x64.cab
2007-03-30 13:54 699,466 ----a-w C:\Programme\APR2007_d3dx10_33_x86.cab
2007-03-30 13:54 56,902 ----a-w C:\Programme\APR2007_xinput_x86.cab
2007-03-30 13:54 45,302 ----a-w C:\Programme\dxdllreg_x86.cab
2007-03-30 13:54 199,384 ----a-w C:\Programme\APR2007_XACT_x64.cab
2007-03-30 13:54 155,350 ----a-w C:\Programme\APR2007_XACT_x86.cab
2007-03-30 13:54 100,434 ----a-w C:\Programme\APR2007_xinput_x64.cab
2007-03-30 13:54 1,610,998 ----a-w C:\Programme\APR2007_d3dx9_33_x64.cab
2007-03-30 13:54 1,610,311 ----a-w C:\Programme\APR2007_d3dx9_33_x86.cab
2007-03-30 13:38 85,883 ----a-w C:\Programme\dxupdate.cab
2007-03-30 13:38 77,160 ----a-w C:\Programme\DSETUP.dll
2007-03-30 13:38 503,144 ----a-w C:\Programme\DXSETUP.exe
2007-03-30 13:38 1,673,576 ----a-w C:\Programme\dsetup32.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-04-18 09:36 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796]
"Ashampoo Magical Optimizer Taskplaner"="C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.exe" [2007-09-13 16:47 1268064]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-06-22 14:45 133576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-01-26 08:57 344064]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43 45056]
"SoundMan"="soundman.exe" [2001-05-29 19:02 124416 C:\WINDOWS\soundman.exe]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-05 00:28 185896]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2003-05-15 17:45 114688]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-08-24 23:07 51048]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 22:53 714608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
--a------ 2007-08-24 23:07 51048 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Conference\\Conference.dll"=

R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon []
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 16:16]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14]
S3 gsplittm;gsplittm;C:\DOKUME~1\BASTARD\LOKALE~1\Temp\gsplittm.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

*Newly Created Service* - CLTNETCNSERVICE
*Newly Created Service* - LIVEUPDATE_NOTICE
.
Inhalt des "geplante Tasks" Ordners
"2008-04-18 07:17:25 C:\WINDOWS\Tasks\Norton AntiVirus - Systemprüfung ausführen - BASTARD.job"

#32 ich finde nix mehr

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
otmoveIt
klicken: CleanUp! button

«
entferne auch den gvkiller samt Backup

«
scanne mit F-secure/Onlinescan + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Scanning Report
Friday, April 18, 2008 14:06:21 - 16:26:58
Computer name: TERROR_BASTARD
Scanning type: Scan system for malware, rootkits
Target: C:\


--------------------------------------------------------------------------------

Result: 2 malware found
AdTool.Win32.WhenU (spyware)
System
Tracking Cookie (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 66540
System: 5181
Not scanned: 11
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 2
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\ATAPI.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{E5DEEBA9-FD0F-4096-947F-B0848EF31C9C}.BIN
C:\DOKUMENTE UND EINSTELLUNGEN\BASTARD\LOKALE EINSTELLUNGEN\TEMP\~ROMFN_000004B0
C:\DOKUMENTE UND EINSTELLUNGEN\BASTARD\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_BASTARD\3512

#34 nun gut, lassen wir es dabei ..
wenn es noch Probleme geben sollte...
melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit

#35 wie kann man aus diesen daten erkennen das was nicht stimmt ?

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/Q_3_gZC1U2SUbdi70PPSDO6LnFAznfMJVuqg-cbcgk3hpVGIRnzcCg$$/http:/
/www.slidealama.com/index.php?section=order&lang=ger
O1 - Hosts: 92.63.97.167 postbank.de
O1 - Hosts: 92.63.97.167 banking.postbank.de

usw.

das ist wirklich sagenhaft was sie so draufen "hut ab"

#36 also kernel exe kann doch gar nicht schlimm sein mein pc meint die ganze zeit ich brauch das um stronghold legends instaliren zu können und wo ich jetz dieses tema gefunden hab naja ich wollte mir das grade runterladen und jetz bin ich mir nicht merh sicher

#37 Hallo Bergab

also, ich weiss auch nicht, warum der Thread kernel.exe heisst... die Viren, die letztendlich beseitigt wurden, hiessen anders...

Zitat

«
Die Kernel.exe gehört zu T-online.

«
Component Name: kernel.exe
Description of : StarOffice, from Sun Microsystems, is a suite of office programs including word processing, spreadsheet, and presentation applications

__________
MfG Sabina

rund um die PC-Sicherheit