kernel.exe <- wie werde ich sie los ? |
||
---|---|---|
#0
| ||
27.02.2004, 15:38
...neu hier
Beiträge: 3 |
||
|
||
27.02.2004, 15:59
Moderator
Beiträge: 7805 |
#2
Du kannst es hierher bekommen: http://www.spywareinfo.com/~merijn/files/HijackThis.exe
Anleitung: www.hjt.klaffke.de Was laesst dich vermuten, das kernel.exe "boese" ist? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.02.2004, 17:32
...neu hier
Themenstarter Beiträge: 3 |
#3
danke
sie wird eben als wurm angezeigt...und da ich bei online-games einen ueberdurchschnittlich hohen ping habe, wundert mich das nun auch nicht mehr. sie sitzt laut windows im t-online-ordner |
|
|
||
27.02.2004, 17:35
Moderator
Beiträge: 7805 |
#4
Ich habe hier leider kein TO 5.x, aber wer meldet denn wo genau den Wurm und poste bitte ein HJT log, danke.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.02.2004, 18:03
...neu hier
Themenstarter Beiträge: 3 |
#5
htj funzt bei mir net, haengt sich beim log save auf...antivir hat 7 virenwarnungen gemeldet. unter anderem auch den TR/stubby
ich glaub es beste is formatiern... trotzdem danke greetz ecko |
|
|
||
27.02.2004, 19:15
Moderator
Beiträge: 7805 |
#6
Das ist bei Virenbefall nie der schlechteste Weg, aber davon ausgehend, das die kernel.exe ein potetieller Fehlalarm und der Tr/Stubby adware ist, ein wenig zu panisch(IMO).
Man sollte zumindest soetwas nutzen, um mehr ueber sein System zu lernen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.03.2004, 00:32
Member
Beiträge: 19 |
#7
Hi ecko,
also ich habe auch T-Online 5. Die kernel.exe wurde mit der T-Online-Software installiert und befindet sich auch, wie von dir bereits genannt, im T-Online Ordner Basissoftware. Ich weiss zwar auch nicht wofür die Datei gut ist, aber gefährlich erscheint sie mir nicht. AntiVir spuckt bei mir auch nichts derartiges aus. Bevor du dir die Arbeit mit dem formatieren machst, frag doch erst mal bei T-Online an (falls es nicht schon zu spät ist ). Gruß Bulli |
|
|
||
03.03.2004, 03:02
...neu hier
Beiträge: 2 |
#8
Die Kernel.exe gehört zu T-online.
wahrscheinlich wird dein T-online nicht ohne der Kernel.exe funktionieren? Aber du brauchst ja die T-doof-software nicht,um mit T-online ins Internet zu kommen,geht ja auch per DFÜ-Verbindung Oder meinst du die Kernel32.exe? Info zur Kernel32.exe: kernel32 - kernel32.exe - Process Information Process File: kernel32 or kernel32.exe Process Name: kernel32 Description: Virus added to the system as a result of Floodnet virus that attempts to send a message to the alias"All Users" using Microsoft Outlook. If this address is not present in a local or global address book, or not an alias on the specified SMTP server, then the message is not sent. Company: N/A System Process: No Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): Yes Common Errors: N/A Ich hab mal ne Liste mit den "normalen" und den "gefährlichen" Systemtasks geposted,damit ihr sehn könnt,ob die tasks , die bei euch laufen, auf nen wurmbefall hindeuten. |
|
|
||
15.04.2008, 21:05
Member
Beiträge: 14 |
#9
so hab jetzt mal den system check gemacht mit hijack this und da kam das raus. kann mir vielleicht einer mehr dazu erzählen !? danke schon mal !!
Logfile of HijackThis v1.99.1 Scan saved at 20:50:36, on 15.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\soundman.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe C:\Programme\Winamp\winamp.exe C:\Programme\Opera\Opera.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\Azureus\Azureus.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Security Task Manager\TaskMan.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\BASTARD\Eigene Dateien\Azureus Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/Q_3_gZC1U2SUbdi70PPSDO6LnFAznfMJVuqg-cbcgk3hpVGIRnzcCg$$/http://www.slidealama.com/index.php?section=order&lang=ger O1 - Hosts: 92.63.97.167 www.postbank.de O1 - Hosts: 92.63.97.167 postbank.de O1 - Hosts: 92.63.97.167 banking.postbank.de O1 - Hosts: 92.63.97.167 direkt.postbank.de O1 - Hosts: 92.63.97.167 www.smile.co.uk O1 - Hosts: 92.63.97.167 smile.co.uk O1 - Hosts: 92.63.97.167 cahoot.com O1 - Hosts: 92.63.97.167 www.cahoot.com O1 - Hosts: 92.63.97.167 www.cahoot.co.uk O1 - Hosts: 92.63.97.167 cahoot.co.uk O1 - Hosts: 92.63.97.167 www.co-operativebank.co.uk O1 - Hosts: 92.63.97.167 co-operativebank.co.uk O1 - Hosts: 92.63.97.167 www.co-operativebank.com O1 - Hosts: 92.63.97.167 co-operativebank.com O1 - Hosts: 92.63.97.167 personal.barclays.co.uk O1 - Hosts: 92.63.97.167 barclays.co.uk O1 - Hosts: 92.63.97.167 ibank.barclays.co.uk O1 - Hosts: 92.63.97.167 www.barclays.co.uk O1 - Hosts: 92.63.97.167 barclays.touchclarity.com O1 - Hosts: 92.63.97.167 hsbc.co.uk O1 - Hosts: 92.63.97.167 www.hsbc.co.uk O1 - Hosts: 92.63.97.167 hsbc.touchclarity.com O1 - Hosts: 92.63.97.167 www1.member-hsbc-group.com O1 - Hosts: 92.63.97.167 lloydstsb.co.uk O1 - Hosts: 92.63.97.167 www.lloydstsb.co.uk O1 - Hosts: 92.63.97.167 lloydstsb.com O1 - Hosts: 92.63.97.167 www.lloydstsb.com O1 - Hosts: 92.63.97.167 mi.lloydstsb.com O1 - Hosts: 92.63.97.167 www.woolwich.co.uk O1 - Hosts: 92.63.97.167 woolwich.co.uk O1 - Hosts: 92.63.97.167 www.deutsche-bank.de O1 - Hosts: 92.63.97.167 deutsche-bank.de O1 - Hosts: 92.63.97.167 meine.deutsche-bank.de O1 - Hosts: 92.63.97.167 www.anbusiness.com O1 - Hosts: 92.63.97.167 anbusiness.com O1 - Hosts: 92.63.97.167 www.abbeyinternational.com O1 - Hosts: 92.63.97.167 www.barclays.com O1 - Hosts: 92.63.97.167 barclays.com O1 - Hosts: 92.63.97.167 ibank.internationalbanking.barclays.com O1 - Hosts: 92.63.97.167 offshore.hsbc.com O1 - Hosts: 92.63.97.167 www.lloydstsb-offshore.com O1 - Hosts: 92.63.97.167 lloydstsb-offshore.com O1 - Hosts: 92.63.97.167 citibank.de O1 - Hosts: 92.63.97.167 www.citibank.de O1 - Hosts: 92.63.97.167 www.natwest.com O1 - Hosts: 92.63.97.167 natwest.com O1 - Hosts: 92.63.97.167 www.nwolb.com O1 - Hosts: 92.63.97.167 nwolb.com O1 - Hosts: 92.63.97.167 rbs.co.uk O1 - Hosts: 92.63.97.167 www.rbs.co.uk O1 - Hosts: 92.63.97.167 www.rbsdigital.com O1 - Hosts: 92.63.97.167 rbsdigital.com O1 - Hosts: 92.63.97.167 www.ybonline.co.uk O1 - Hosts: 92.63.97.167 ybonline.co.uk O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: testCPV6 - {15421b84-3488-49a7-ad18-cbf84a3efaf6} - C:\Programme\CPV\CPV8.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\mapi default.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [Ashampoo Magical Optimizer Taskplaner] "C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE" -TRAY O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe" O4 - HKCU\..\Run: [WinTouch] C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\WinTouch\WinTouch.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Outpost Security Suite Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {44990301-3c9d-426d-81df-aab636fa4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{374C303B-E2FB-439D-A43D-D51038CD8061}: NameServer = 85.255.115.38,85.255.112.63 O17 - HKLM\System\CCS\Services\Tcpip\..\{D9A0E174-9E7D-4447-847C-2179293CAC5F}: NameServer = 217.237.149.205 217.237.151.51 O17 - HKLM\System\CCS\Services\Tcpip\..\{EE8DE758-B6BD-4E00-A946-BE76808472A6}: NameServer = 85.255.115.38,85.255.112.63 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: mljdcdww - mlJdcDww.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe |
|
|
||
16.04.2008, 07:16
Moderator
Beiträge: 5694 |
#10
@T_Bastard
Hmm.. deine Internetverbindung wird auf einen ukrainischen Server umgeleitet. Zitat IP Information for 85.255.112.63Falls die Möglichkeit besteht ist es sicherlich nicht falsch, das ganze System zu formatieren. Aber ein Admin soll das Log anschauen und entscheiden ob eine Reinigung sinnvoll und möglich ist. Lad einmal die Dateien: Zitat C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\WinTouch\WinTouch.exebie www.virustotal.com/de hoch und poste das ergebnis. Dürfte mit einem trojaner in Verbindung stehen. Gruss Swiss Dieser Beitrag wurde am 16.04.2008 um 07:30 Uhr von Tonstudio editiert.
|
|
|
||
16.04.2008, 08:42
Ehrenmitglied
Beiträge: 6028 |
#11
««
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/Q_3_gZC1U2SUbdi70PPSDO6LnFAznfMJVuqg-cbcgk3hpVGIRnzcCg$$/http://www.sklicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Wichtig:Rechner neu Starten «« FixWareout http://virus-protect.org/artikel/tools/fixwareout.html Fixwareout zum Desktop Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit" klicke dann auf "Finish". Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu zustarten (reboot), mach das bitte. Dein System wird länger dazu brauchen als sonst, das ist normal. Wenn dein Rechner wieder aufgestartet ist, folge den Hinweisen. Dann wird HijackThis starten. Ein logfile wird sich oeffnen(report.txt) Kopiere den Inhalt des Berichts report.txt in diesen Thread Note* Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden). -> Start->Ausführen->schreib rein: ipconfig /flushdns (beachte das Leerzeichen hinter 'ipconfig'!) «« Malwarebytes Anti-Malware http://virus-protect.org/artikel/tools/malwarebytes.html MBAM zum Desktop Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren". Waehle alle Laufwerke>Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu «« ComboFix http://virus-protect.org/artikel/tools/combofix.html ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! zusammen mit ein neuen log von HijackThis __________ MfG Argus |
|
|
||
16.04.2008, 09:14
Member
Beiträge: 14 |
#12
axo, was ich ganz vergessen habe, hab das norton antivirus 2008, und die hauptprobleme sind ccSvcHst.exe die mit den speicherverbrauch so ansteigt das die einfach mal größen von 400.000k - 500.000k an nimmt. wollte die schon entfernen mit security task manager (dort heißt die ccComun oder so) und eine Kernel.exe die auch nicht zu entfernen geht. das problem kommt ja nur mit dem norton. aber ohne anti vir programm möcht ich auch nicht. und mein system versteht sich mit antivir (roter regenschirm) nicht. wenn ich das drauf hab muss ich im abgesicherten modus starten und das wieder runter haun.
C:\Programme\CPV\CPV8.dll AhnLab-V3 2008.4.15.0 2008.04.14 - AntiVir 7.6.0.85 2008.04.14 - Authentium 4.93.8 2008.04.14 - Avast 4.8.1169.0 2008.04.14 - AVG 7.5.0.516 2008.04.14 - BitDefender 7.2 2008.04.15 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.15 - DrWeb 4.44.0.09170 2008.04.14 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5699 2008.04.14 - Ewido 4.0 2008.04.14 - F-Prot 4.4.2.54 2008.04.14 - F-Secure 6.70.13260.0 2008.04.15 - FileAdvisor 1 2008.04.15 - Fortinet 3.14.0.0 2008.04.14 - Ikarus T3.1.1.26 2008.04.15 AdWare.Win32.Bestrevenue Kaspersky 7.0.0.125 2008.04.15 - McAfee 5273 2008.04.14 - Microsoft 1.3408 2008.04.14 Adware:Win32/Bestrevenue NOD32v2 3026 2008.04.14 - Norman 5.80.02 2008.04.14 - Panda 9.0.0.4 2008.04.14 - Prevx1 V2 2008.04.15 - Rising 20.40.02.00 2008.04.14 - Sophos 4.28.0 2008.04.15 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.15 - TheHacker 6.2.92.277 2008.04.14 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.14 - Webwasher-Gateway 6.6.2 2008.04.14 - weitere Informationen File size: 54784 bytes MD5...: 557192e3bd0d10d89adeed80d47c996b SHA1..: 03d0dc58f56f821ddfe58b81c63f0ed6cb68da2f SHA256: 2bbef8be29cd14cc1dfb618cc2be3e097c264bb72d178c8aeddae9c4d6fc4be6 SHA512: 48ab525d5479500cca45c222be0ea00bf002c3f3461f2ee7602220ebdff6773c 8fe6219bf22061acb4dc2c3b0647f197d30912a98f7e77d5bca0fb25ae744ddf PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10008288 timedatestamp.....: 0x47fa35ec (Mon Apr 07 14:55:40 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7baa 0x7c00 6.36 3c36f66dbeebb7bf01b090c21796f3c6 .rdata 0x9000 0x2b95 0x2c00 4.52 e1a4ce2544fbe6489fc73e1e74299e9a .data 0xc000 0xb54 0x800 4.29 498c8c216de93e5946a1fdc3ca60616b .rsrc 0xd000 0x1178 0x1200 4.78 59898f8d4b2d8d5d688cd95222411190 .reloc 0xf000 0xe2c 0x1000 5.33 1985cd69b13a49105f5982ae2bbe2c38 ( 8 imports ) > DNSAPI.dll: DnsQuery_W, DnsRecordListFree > KERNEL32.dll: CreateFileW, lstrcatW, CreateThread, EnterCriticalSection, LeaveCriticalSection, GetModuleFileNameW, FreeLibrary, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, SetThreadLocale, GetThreadLocale, lstrlenA, CreateFileMappingW, LocalFree, HeapAlloc, GetProcessHeap, HeapFree, GetLocaleInfoA, GetSystemDefaultLCID, lstrcpyA, GetVolumeInformationA, GetWindowsDirectoryA, lstrcatA, GlobalFree, GlobalAlloc, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, GetVersionExA, MapViewOfFile, InterlockedDecrement, InterlockedIncrement, CreateMutexW, WaitForSingleObject, Sleep, ReleaseMutex, CloseHandle, MultiByteToWideChar, lstrcmpiW, FlushViewOfFile, GetLastError, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, GetACP, UnhandledExceptionFilter, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, InterlockedExchange, GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter > USER32.dll: wsprintfA, CharUpperA, CharNextW, UnregisterClassA > ADVAPI32.dll: RegDeleteValueW, RegCloseKey, RegQueryValueExA, RegOpenKeyA, RegCreateKeyA, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegDeleteKeyW > SHELL32.dll: SHGetSpecialFolderPathW > ole32.dll: StringFromGUID2, OleInitialize, CoCreateInstance, CoTaskMemFree, CoTaskMemRealloc, CoTaskMemAlloc, OleUninitialize > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > MSVCR80.dll: strncmp, _crt_debugger_hook, __type_info_dtor_internal_method@type_info@@QAEXXZ, __CppXcptFilter, _adjust_fdiv, _amsg_exit, _initterm_e, _initterm, _encoded_null, _malloc_crt, _decode_pointer, _onexit, _lock, __dllonexit, _encode_pointer, _unlock, _terminate@@YAXXZ, _except_handler4_common, strstr, malloc, free, memcpy_s, _CxxThrowException, wcsncpy_s, _itoa_s, __CxxFrameHandler3, _purecall, _recalloc, wcstombs, atoi, memset, _time64, strncpy_s, wcscpy_s, wcscat_s, __clean_type_info_names_internal ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer bei den beiden kommt kein ergebnis ich versuch es später noch einmal. C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\WinTouch\WinTouch.exel C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\mapi default.exe |
|
|
||
16.04.2008, 09:45
Ehrenmitglied
Beiträge: 6028 |
||
|
||
16.04.2008, 11:55
Ehrenmitglied
Beiträge: 29434 |
#14
T_BASTARD
poste zuerst einmal das log von Combofix (nach Anwendung von fixwareout + Fixen mit hijackThis) Der Rechner ist schwer verseucht, da muss man systematisch vorgehen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2008, 12:28
Member
Beiträge: 14 |
#15
««
Zitat Schliesse alle Fenster und starte Hijack Thisso bis hier her bin ich jetzt gekommen. das problem wenn ich neu start mache fährt der rechner zwar hoch aber der monitor bleibt schwarz. also müsste das problem beseitigt werden (ich weiß aleider nicht wie ) |
|
|
||
ich hab in meinen laufenden prozessen die "kernel.exe" und werde sie nicht mehr los. ich habe mir mehrere beschreibungen angesehn, die mich alle durch die regedit gefuehrt haben auf: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ da steht aber nichts, was dem nahe kommt.
was kann ich da machen ?
by the way: wo bekomme ich diesen hijackthis her ?
greetz
ecko