Backdoor.Agent.B C:\WINDOWS\SYSTEM32\LOG.DLL
12 Beiträge • Seite 1 von 1
Backdoor.Agent.B C:\WINDOWS\SYSTEM32\LOG.DLL
von xxxlbernd am 29.12.2004, 13:48
Hallo Leute, hallo nikita,
nachdem ihr mir bei meinem letzen problem so spitzenmäßig geholfen habt, danke nochmals, bitte ich heute erneut um eure hilfe bei einem seit vorgestern aufgetauchten problem:
mein norton zeigte mir ab und zu mal an, daß ich mir den virus:
Backdoor.Agent.B in der Datei C:\windows\system32\log.dll
eingefangen habe. norton kann ihn nicht reparieren, nicht löschen, weil der zugriff verweigert wird. hab es manuell versucht, aber neeeeeein.
-seit heute zeigt er ständig die virusmeldung an- heeeeeeeeeuuuuuull.
habe schon alle programme wie adware, spybot, cws shredder... aktualisiert und laufen lassen, gefundenes dabei gleich mal wieder rausgeschmissen.
hier erstmal mei log vom hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 11:28:40, on 29.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\DOKUME~1\Bernd\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F3 - REG:win.ini: load=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: World Class Solitaire by pogo - http://game4.pogo.com/applet-5.9.1.28/w ... assets.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90 ... scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklu ... fender.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all01.kundenserver.de/app/sta ... msxml4.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylom.lycos.de/activex/zylomloader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{078300DC-830A-4728-9B37-93B89CE14C8D}: NameServer = 192.168.0.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{078300DC-830A-4728-9B37-93B89CE14C8D}: NameServer = 192.168.0.110
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: McAfee.com Personal Firewall Service - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
( hier kann doch bestimmt ein haufen müll raus, oder? )
habe schon viel versucht, auch alles nochmal im abgesicherten modus. habe auch das remove-tool von symantec laufen lassen.
das tool hat den backdoor nicht erkannt, wenn ich norton laufen lasse, findet er ihn auch nicht, kein programm hat ihn bisher erkannt, auch im abges. modus nicht.
nur wenn ich den ordner system 32 öffne, dann kommt die virusmeldung. seit heute wie gesagt aber ständig.
brauche dringend hilfe, bin euch schon jetzt für jeden rat dankbar!
xxxlbernd ( der pc-amateur, lol )
nachdem ihr mir bei meinem letzen problem so spitzenmäßig geholfen habt, danke nochmals, bitte ich heute erneut um eure hilfe bei einem seit vorgestern aufgetauchten problem:
mein norton zeigte mir ab und zu mal an, daß ich mir den virus:
Backdoor.Agent.B in der Datei C:\windows\system32\log.dll
eingefangen habe. norton kann ihn nicht reparieren, nicht löschen, weil der zugriff verweigert wird. hab es manuell versucht, aber neeeeeein.
-seit heute zeigt er ständig die virusmeldung an- heeeeeeeeeuuuuuull.
habe schon alle programme wie adware, spybot, cws shredder... aktualisiert und laufen lassen, gefundenes dabei gleich mal wieder rausgeschmissen.
hier erstmal mei log vom hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 11:28:40, on 29.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\DOKUME~1\Bernd\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F3 - REG:win.ini: load=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: World Class Solitaire by pogo - http://game4.pogo.com/applet-5.9.1.28/w ... assets.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90 ... scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklu ... fender.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all01.kundenserver.de/app/sta ... msxml4.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylom.lycos.de/activex/zylomloader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{078300DC-830A-4728-9B37-93B89CE14C8D}: NameServer = 192.168.0.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{078300DC-830A-4728-9B37-93B89CE14C8D}: NameServer = 192.168.0.110
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: McAfee.com Personal Firewall Service - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
( hier kann doch bestimmt ein haufen müll raus, oder? )
habe schon viel versucht, auch alles nochmal im abgesicherten modus. habe auch das remove-tool von symantec laufen lassen.
das tool hat den backdoor nicht erkannt, wenn ich norton laufen lasse, findet er ihn auch nicht, kein programm hat ihn bisher erkannt, auch im abges. modus nicht.
nur wenn ich den ordner system 32 öffne, dann kommt die virusmeldung. seit heute wie gesagt aber ständig.
brauche dringend hilfe, bin euch schon jetzt für jeden rat dankbar!
xxxlbernd ( der pc-amateur, lol )
- xxxlbernd
- Beiträge: 13
- Registriert: 26.05.2004, 00:45
von Nikita am 29.12.2004, 18:39
Hallo@xxxlbernd
Start<Ausfuehren schreibe rein : cmd
DOS oeffnet sich
kopiere rein:
regsvr32 /u [systemroot]\log.dll
klicke "enter"
regsvr32 /u c:\system32\log.dll
klicke "enter"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O16 - DPF: World Class Solitaire by pogo - http://game4.pogo.com/applet-5.9.1.28/w ... assets.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylom.lycos.de/activex/zylomloader.cab
PC neustarten
#C:\Windows\Downloaded Programm Files\ -->löschen
(alles, was nichts mit den Virenscannern und ebay zu tun hat, loeschen)
Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/
Click "Add File"
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "yes"
C:\windows\system32\log.dll
PC neustarten
Poste mir das Scan-Log:
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
FINDnFIX her:
http://downloads.subratam.org/FINDnFIX.exe
-->!LOG!.bat -->doppelklick und scannen lassen
-->Log.txt -->abkopieren und posten
Start<Ausfuehren schreibe rein : cmd
DOS oeffnet sich
kopiere rein:
regsvr32 /u [systemroot]\log.dll
klicke "enter"
regsvr32 /u c:\system32\log.dll
klicke "enter"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O16 - DPF: World Class Solitaire by pogo - http://game4.pogo.com/applet-5.9.1.28/w ... assets.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylom.lycos.de/activex/zylomloader.cab
PC neustarten
#C:\Windows\Downloaded Programm Files\ -->löschen
(alles, was nichts mit den Virenscannern und ebay zu tun hat, loeschen)
Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/
Click "Add File"
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "yes"
C:\windows\system32\log.dll
PC neustarten
Poste mir das Scan-Log:
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
FINDnFIX her:
http://downloads.subratam.org/FINDnFIX.exe
-->!LOG!.bat -->doppelklick und scannen lassen
-->Log.txt -->abkopieren und posten
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xxxlbernd am 30.12.2004, 09:05
hallo nikita,
ich danke dir erstmal vorab für deine schnelle hilfe.
habe alles versucht und getan, was ging, hier das ergebnis:
1. Start<Ausfuehren schreibe rein : cmd
DOS oeffnet sich
kopiere rein:
regsvr32 /u [systemroot]\log.dll
klicke "enter"
regsvr32 /u c:\system32\log.dll
klicke "enter"
------> zweimal versucht, nach "enter" kam die meldung: LoadLibrary ("-beide zu kopierenden einträge-") fehlgeschlagen-Das angegebene Modul wurde nicht gefunden.[/b]
2. im hijackthis die beiden O16 - einträge gefixt + neustart
3. #C:\Windows\Downloaded Programm Files\ -->löschen
(alles, was nichts mit den Virenscannern und ebay zu tun hat, loeschen)
habe hier zwei dateien rausgelöscht, die nix mit scannern zu tun hatten ( denke ich zumindest, waren dateien mit vielen zahlen, 1 x irgendwas mit windows-update -beschädigt- und 1 x was mit microsoft.com.. ).
die datei XML DOM Document 4.0 habe ich erstmal dringelassen, oder soll die auch raus?
4. killbox geladen, zweimal log.dll delete + neustart
die ist hartnäckig, weil die log.dll immer noch da ist
http://download.broadbandmedic.com/ ging nicht ( Seite funktioniert nicht )
5. wollte deine version von ad-aware laden, hat aber mehrfach wahnsinnig lange gedauert, hier das log von meinem aktualisierten ad-aware:
Lavasoft Ad-aware Personal Build 6.181
Logdatei erzeugt am
onnerstag, 30. Dezember 2004 06:48:07
Created with Ad-aware Personal, free for private use.
Benutze Referenzdatei :01R347 26.10.2004
______________________________________________________
Ad-aware Settings
=========================
Aktiviert : Intensive Dateiprüfung aktivieren
Aktiviert : Sicherheitsmodus (immer nachfragen)
Aktiviert : Prüfe laufende Prozesse
Aktiviert : Prüfe Registrierung
Aktiviert : Erweiterte Registrierungsprüfung
30.12.2004 06:48:07 - Scan started. (Smart mode)
Liste der geladenen Prozesse
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:22 [ati2evxx.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 30.12.2004 05:32:59
BasePriority : Normal
FileSize : 128 KB
Created on : 25.07.2002 11:00:18
Last accessed : 30.12.2004 05:45:16
Last modified : 25.07.2002 11:00:18
#:23 [ibguard.exe]
FilePath : C:\PROGRA~1\Borland\INTERB~1\Bin\
ThreadCreationTime : 30.12.2004 05:32:59
BasePriority : Normal
FileSize : 21 KB
FileVersion : WI-V6.0.1.0
ProductVersion : 6.0.1.0
Copyright : Copyright (c) 1999 Inprise Corporation
User: [NOTEBOOKBK\Bernd], is a member of:
VORDEFINIERT\Administratoren
\Everyone
Running in WORKSTATION MODE.
SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is NOTEBOOKBK
Administrator's Name is Bernd
Computer Name is NOTEBOOKBK
LOGON SERVER is \\NOTEBOOKBK
»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!
The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________
......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Read access error(s)...
C:\WINDOWS\SYSTEM32\LOG.DLL +++ File read error
\\?\C:\WINDOWS\System32\LOG.DLL +++ File read error
»»»»» (*2*) »»»»»........
LOG.DLL Can't Open!
»»»»» (*3*) »»»»»........
No matches found.
unknown/hidden files...
No matches found.
»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»»»(*5*)»»»»»
¯ Access denied ® ..................... LOG.DLL .....57344 28.04.2004
»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\LOG.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL
579. Log Dll 57,344 . . R . A 4-28-04 9:05 am
668. Msasn1 Dll 57,344 . . . . A 8-03-04 11:57 pm
697. Mshtmler Dll 57,344 . . . . A 8-03-04 11:55 pm
204. Dmloader Dll 35,840 . . . . A 8-03-04 11:57 pm
372. Imgutil Dll 35,840 . . . . A 8-03-04 11:57 pm
228. Dpvacm Dll 21,504 . . . . A 8-03-04 11:57 pm
277. Feclient Dll 21,504 . . . . A 8-03-04 11:57 pm
324. Hidserv Dll 21,504 . . . . A 8-03-04 11:57 pm
____________________________________________________________________________
*By size and date...
C:\WINDOWS\SYSTEM32\
msasn1.dll Tue 3 Aug 2004 23:57:26 A.... 57.344 56,00 K
mshtmler.dll Tue 3 Aug 2004 23:55:32 A.... 57.344 56,00 K
2 items found: 2 files, 0 directories.
Total of file sizes: 114.688 bytes 112,00 K
C:\WINDOWS\SYSTEM32\
dmloader.dll Tue 3 Aug 2004 23:57:18 A.... 35.840 35,00 K
imgutil.dll Tue 3 Aug 2004 23:57:22 A.... 35.840 35,00 K
2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K
C:\WINDOWS\SYSTEM32\
dpvacm.dll Tue 3 Aug 2004 23:57:18 A.... 21.504 21,00 K
feclient.dll Tue 3 Aug 2004 23:57:20 A.... 21.504 21,00 K
hidserv.dll Tue 3 Aug 2004 23:57:22 A.... 21.504 21,00 K
3 items found: 3 files, 0 directories.
Total of file sizes: 64.512 bytes 63,00 K
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics
Matching files : 2 Amount in bytes : 114688
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics
Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\HIDSERV.DLL
SNiF 1.34 statistics
Matching files : 3 Amount in bytes : 64512
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
BHO search and other files...
fgrep: can't open input C:\WINDOWS\SYSTEM32\LOG.DLL
No matches found.
No matches found.
--*sp.html in temp folder was NOT FOUND!--
*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)
--(*text/html Subkey was NOT FOUND!)--
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)
--(*text/plain Subkey was NOT FOUND!)--
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448
»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!
Value Matches
________________________________
»»Comparing *saved* key with *original*...
REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)
Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).
Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 0)
»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710
»»Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM
»»Performing string scan....
00001150: vk f AppInit_
00001190:DLLs G p vk UDeviceNotSelectedTimeout
000011D0: 1 5 _ 9 0 ( vk ' zGDIProce
00001210:ssHandleQuota" vk @ Spooler2 y e s
00001250: p h vk =pswapdisk vk
00001290: R TransmissionRetryTimeout p h
000012D0: vk ' " USERProcessHandleQuota
00001310:
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:
---------- WIN.TXT
fùAppInit_DLLsÖ
ich danke dir erstmal vorab für deine schnelle hilfe.
habe alles versucht und getan, was ging, hier das ergebnis:
1. Start<Ausfuehren schreibe rein : cmd
DOS oeffnet sich
kopiere rein:
regsvr32 /u [systemroot]\log.dll
klicke "enter"
regsvr32 /u c:\system32\log.dll
klicke "enter"
------> zweimal versucht, nach "enter" kam die meldung: LoadLibrary ("-beide zu kopierenden einträge-") fehlgeschlagen-Das angegebene Modul wurde nicht gefunden.[/b]
2. im hijackthis die beiden O16 - einträge gefixt + neustart
3. #C:\Windows\Downloaded Programm Files\ -->löschen
(alles, was nichts mit den Virenscannern und ebay zu tun hat, loeschen)
habe hier zwei dateien rausgelöscht, die nix mit scannern zu tun hatten ( denke ich zumindest, waren dateien mit vielen zahlen, 1 x irgendwas mit windows-update -beschädigt- und 1 x was mit microsoft.com.. ).
die datei XML DOM Document 4.0 habe ich erstmal dringelassen, oder soll die auch raus?
4. killbox geladen, zweimal log.dll delete + neustart
die ist hartnäckig, weil die log.dll immer noch da ist
http://download.broadbandmedic.com/ ging nicht ( Seite funktioniert nicht )
5. wollte deine version von ad-aware laden, hat aber mehrfach wahnsinnig lange gedauert, hier das log von meinem aktualisierten ad-aware:
Lavasoft Ad-aware Personal Build 6.181
Logdatei erzeugt am
onnerstag, 30. Dezember 2004 06:48:07
Created with Ad-aware Personal, free for private use.
Benutze Referenzdatei :01R347 26.10.2004
______________________________________________________
Ad-aware Settings
=========================
Aktiviert : Intensive Dateiprüfung aktivieren
Aktiviert : Sicherheitsmodus (immer nachfragen)
Aktiviert : Prüfe laufende Prozesse
Aktiviert : Prüfe Registrierung
Aktiviert : Erweiterte Registrierungsprüfung
30.12.2004 06:48:07 - Scan started. (Smart mode)
Liste der geladenen Prozesse
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
#:22 [ati2evxx.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 30.12.2004 05:32:59
BasePriority : Normal
FileSize : 128 KB
Created on : 25.07.2002 11:00:18
Last accessed : 30.12.2004 05:45:16
Last modified : 25.07.2002 11:00:18
#:23 [ibguard.exe]
FilePath : C:\PROGRA~1\Borland\INTERB~1\Bin\
ThreadCreationTime : 30.12.2004 05:32:59
BasePriority : Normal
FileSize : 21 KB
FileVersion : WI-V6.0.1.0
ProductVersion : 6.0.1.0
Copyright : Copyright (c) 1999 Inprise Corporation
User: [NOTEBOOKBK\Bernd], is a member of:
VORDEFINIERT\Administratoren
\Everyone
Running in WORKSTATION MODE.
SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is NOTEBOOKBK
Administrator's Name is Bernd
Computer Name is NOTEBOOKBK
LOGON SERVER is \\NOTEBOOKBK
»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!
The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________
......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Read access error(s)...
C:\WINDOWS\SYSTEM32\LOG.DLL +++ File read error
\\?\C:\WINDOWS\System32\LOG.DLL +++ File read error
»»»»» (*2*) »»»»»........
LOG.DLL Can't Open!
»»»»» (*3*) »»»»»........
No matches found.
unknown/hidden files...
No matches found.
»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»»»(*5*)»»»»»
¯ Access denied ® ..................... LOG.DLL .....57344 28.04.2004
»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\LOG.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL
579. Log Dll 57,344 . . R . A 4-28-04 9:05 am
668. Msasn1 Dll 57,344 . . . . A 8-03-04 11:57 pm
697. Mshtmler Dll 57,344 . . . . A 8-03-04 11:55 pm
204. Dmloader Dll 35,840 . . . . A 8-03-04 11:57 pm
372. Imgutil Dll 35,840 . . . . A 8-03-04 11:57 pm
228. Dpvacm Dll 21,504 . . . . A 8-03-04 11:57 pm
277. Feclient Dll 21,504 . . . . A 8-03-04 11:57 pm
324. Hidserv Dll 21,504 . . . . A 8-03-04 11:57 pm
____________________________________________________________________________
*By size and date...
C:\WINDOWS\SYSTEM32\
msasn1.dll Tue 3 Aug 2004 23:57:26 A.... 57.344 56,00 K
mshtmler.dll Tue 3 Aug 2004 23:55:32 A.... 57.344 56,00 K
2 items found: 2 files, 0 directories.
Total of file sizes: 114.688 bytes 112,00 K
C:\WINDOWS\SYSTEM32\
dmloader.dll Tue 3 Aug 2004 23:57:18 A.... 35.840 35,00 K
imgutil.dll Tue 3 Aug 2004 23:57:22 A.... 35.840 35,00 K
2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K
C:\WINDOWS\SYSTEM32\
dpvacm.dll Tue 3 Aug 2004 23:57:18 A.... 21.504 21,00 K
feclient.dll Tue 3 Aug 2004 23:57:20 A.... 21.504 21,00 K
hidserv.dll Tue 3 Aug 2004 23:57:22 A.... 21.504 21,00 K
3 items found: 3 files, 0 directories.
Total of file sizes: 64.512 bytes 63,00 K
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics
Matching files : 2 Amount in bytes : 114688
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics
Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\HIDSERV.DLL
SNiF 1.34 statistics
Matching files : 3 Amount in bytes : 64512
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
BHO search and other files...
fgrep: can't open input C:\WINDOWS\SYSTEM32\LOG.DLL
No matches found.
No matches found.
--*sp.html in temp folder was NOT FOUND!--
*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)
--(*text/html Subkey was NOT FOUND!)--
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)
--(*text/plain Subkey was NOT FOUND!)--
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448
»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!
Value Matches
________________________________
»»Comparing *saved* key with *original*...
REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)
Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).
Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 0)
»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710
»»Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM
»»Performing string scan....
00001150: vk f AppInit_
00001190:DLLs G p vk UDeviceNotSelectedTimeout
000011D0: 1 5 _ 9 0 ( vk ' zGDIProce
00001210:ssHandleQuota" vk @ Spooler2 y e s
00001250: p h vk =pswapdisk vk
00001290: R TransmissionRetryTimeout p h
000012D0: vk ' " USERProcessHandleQuota
00001310:
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:
---------- WIN.TXT
fùAppInit_DLLsÖ
- xxxlbernd
- Beiträge: 13
- Registriert: 26.05.2004, 00:45
von xxxlbernd am 30.12.2004, 09:33
hallo nikita,
ich nochmal. zu meinem eintrag eben nochmal kurz:
[color=blue]nur mal nebenbei noch ein mgl. problem. seit heutigem start des pc's hab ich nach dem paßwort-eingeben, so einen kurzen windows-ton -ich denke mal, ein programm oder ein dienst läd sich nicht ordentlich oder spinnt. kann das sein und wie kann ich das wieder lösen??
ich hab es gefunden und gelöst <bin manchmal richtig stolz auf mich, lach>
trotzdem danke.
bis hoffentlich später
xxxlbernd
ich nochmal. zu meinem eintrag eben nochmal kurz:
[color=blue]nur mal nebenbei noch ein mgl. problem. seit heutigem start des pc's hab ich nach dem paßwort-eingeben, so einen kurzen windows-ton -ich denke mal, ein programm oder ein dienst läd sich nicht ordentlich oder spinnt. kann das sein und wie kann ich das wieder lösen??
ich hab es gefunden und gelöst <bin manchmal richtig stolz auf mich, lach>
trotzdem danke.
bis hoffentlich später
xxxlbernd
- xxxlbernd
- Beiträge: 13
- Registriert: 26.05.2004, 00:45
von Nikita am 30.12.2004, 21:00
Hallo@xxxlbernd
#AboutBuster-->updaten-->im abgesicherten Modus scannen
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen,
Gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Suche:
C:\WINDOWS\SYSTEM32\LOG.DLL
benenne die dll um in dl und loesche sie. (rechtsklick: umbenennen)
Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
klick: Locate.com button.
wenn der Scan beendet ist
klick:Compare button
klick: und erstelle das Log--->bitte posten
FINDnFIX her: (das ist keine Seite-->warte ein bisschen, dann erscheint der Download)
http://downloads.subratam.org/FINDnFIX.exe
-->!LOG!.bat -->doppelklick und scannen lassen
-->Log.txt -->abkopieren und posten
Lade: diese zip.pv
http://downloads.subratam.org/pv.zip
Oeffne--> pv folder -->Doppelklick: runme.bat
dos window oeffnet sich
waehle: option 1 fuer explorer dll's -->enter
Notepad oeffnet sich -->poste den Text
http://forums.subratam.org/index.php?showtopic=569
#AboutBuster-->updaten-->im abgesicherten Modus scannen
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen,
Gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Suche:
C:\WINDOWS\SYSTEM32\LOG.DLL
benenne die dll um in dl und loesche sie. (rechtsklick: umbenennen)
Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
klick: Locate.com button.
wenn der Scan beendet ist
klick:Compare button
klick: und erstelle das Log--->bitte posten
FINDnFIX her: (das ist keine Seite-->warte ein bisschen, dann erscheint der Download)
http://downloads.subratam.org/FINDnFIX.exe
-->!LOG!.bat -->doppelklick und scannen lassen
-->Log.txt -->abkopieren und posten
Lade: diese zip.pv
http://downloads.subratam.org/pv.zip
Oeffne--> pv folder -->Doppelklick: runme.bat
dos window oeffnet sich
waehle: option 1 fuer explorer dll's -->enter
Notepad oeffnet sich -->poste den Text
http://forums.subratam.org/index.php?showtopic=569
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xxxlbernd am 02.01.2005, 13:57
hallo nikita,
vorab möchte ich dir, deiner familie und allen hier + familien ein gesundes neues und vor allem erfolgreiches neues jahr 2005 wünschen.
konnte leider nicht eher antworten, war noch im koma, lach, nein waren unterwegs. trotzdem danke für deine antwort.
habe alles der reihe nach gemacht, hier das resultat:
abgesicherter modus, alle dateien und ordner anzeigen, ok
1. AboutBuster:
-bei log.dll-
beim ersten teil scan alles ok, nach ok beim zweiten teil scan ( explorer.exe ) kommt er dann bei 43% zur datei log.dll und hängt sich auf. immer wieder Error Removing:C:\WINDOWS\System32\log.dll. + alle desktop-zeichen weg ( habe dann abgebrochen )
-bei in log.dl umbenannt-
beide teile scan ok
_____________________________________________________
2. löschen von log.dll:
habe log.dll in log.dl und log.d umbenannt, immer wieder versucht zu löschen, geht nicht!
kommt immer das fenster
- log.d... kann nicht gelöscht werden: der zugriff wurde verweigert. stellen sie sicher, daß der datenträger weder voll noch schreibgeschützt ist und die datei gerade nicht verwendet wird.-
wenn ich an der datei was ändern will ( schreibgeschützt weg etc. ) kommt immer, daß ich keine benutzerrechte dazu habe.
_____________________________________________________
3. DLLCompare:
gescannt, hier das log:
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________
O^E says: "There were no files found"
________________________________________________
1.346 items found: 1.346 files, 0 directories.
Total of file sizes: 286.468.007 bytes 273,20 M
Administrator Account = True
--------------------End log---------------------
_____________________________________________________
4. FINDnFIX:
gescannt, hier das log:
Thu 30 Dec 04 22:58:37
»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»
*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 2 (Build 2600)
*IE version:
6.0.2900.2180 SP2
MS-DOS Version 5.00.500
*command.com test passed!
__________________________________
!!*Creating backups...!!
(*Backup already exist!)
22:58:36,58 30.12.2004
__________________________________
*Local time:
Donnerstag, 30. Dezember 2004 (30.12.2004)
22:58, Westeuropäische Normalzeit
*Uptime:
22:58:38 up 0 days, 0:14:49
*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)
User is a member of group NOTEBOOKBK\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.
User is a member of group \LOKAL.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
User: [NOTEBOOKBK\Administrator], is a member of:
VORDEFINIERT\Administratoren
\Everyone
Running in WORKSTATION MODE.
SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is NOTEBOOKBK
Administrator's Name is Administrator
Computer Name is NOTEBOOKBK
LOGON SERVER is \\NOTEBOOKBK
»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!
The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________
......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Read access error(s)...
C:\WINDOWS\SYSTEM32\LOG.DLL +++ File read error
\\?\C:\WINDOWS\System32\LOG.DLL +++ File read error
»»»»» (*2*) »»»»»........
LOG.DLL Can't Open!
»»»»» (*3*) »»»»»........
No matches found.
unknown/hidden files...
No matches found.
»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»»»(*5*)»»»»»
¯ Access denied ® ..................... LOG.DLL .....57344 28.04.2004
»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\LOG.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL
579. Log Dll 57,344 . . R . A 4-28-04 9:05 am
668. Msasn1 Dll 57,344 . . . . A 8-03-04 11:57 pm
697. Mshtmler Dll 57,344 . . . . A 8-03-04 11:55 pm
204. Dmloader Dll 35,840 . . . . A 8-03-04 11:57 pm
372. Imgutil Dll 35,840 . . . . A 8-03-04 11:57 pm
228. Dpvacm Dll 21,504 . . . . A 8-03-04 11:57 pm
277. Feclient Dll 21,504 . . . . A 8-03-04 11:57 pm
324. Hidserv Dll 21,504 . . . . A 8-03-04 11:57 pm
____________________________________________________________________________
*By size and date...
C:\WINDOWS\SYSTEM32\
msasn1.dll Tue 3 Aug 2004 23:57:26 A.... 57.344 56,00 K
mshtmler.dll Tue 3 Aug 2004 23:55:32 A.... 57.344 56,00 K
2 items found: 2 files, 0 directories.
Total of file sizes: 114.688 bytes 112,00 K
C:\WINDOWS\SYSTEM32\
dmloader.dll Tue 3 Aug 2004 23:57:18 A.... 35.840 35,00 K
imgutil.dll Tue 3 Aug 2004 23:57:22 A.... 35.840 35,00 K
2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K
C:\WINDOWS\SYSTEM32\
dpvacm.dll Tue 3 Aug 2004 23:57:18 A.... 21.504 21,00 K
feclient.dll Tue 3 Aug 2004 23:57:20 A.... 21.504 21,00 K
hidserv.dll Tue 3 Aug 2004 23:57:22 A.... 21.504 21,00 K
3 items found: 3 files, 0 directories.
Total of file sizes: 64.512 bytes 63,00 K
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics
Matching files : 2 Amount in bytes : 114688
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics
Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\HIDSERV.DLL
SNiF 1.34 statistics
Matching files : 3 Amount in bytes : 64512
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
BHO search and other files...
fgrep: can't open input C:\WINDOWS\SYSTEM32\LOG.DLL
No matches found.
No matches found.
--*sp.html in temp folder was NOT FOUND!--
*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)
--(*text/html Subkey was NOT FOUND!)--
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)
--(*text/plain Subkey was NOT FOUND!)--
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448
»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!
Value Matches
________________________________
»»Comparing *saved* key with *original*...
REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)
Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).
Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 0)
»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710
»»Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM
»»Performing string scan....
00001150: vk f AppInit_
00001190:DLLs G p vk UDeviceNotSelectedTimeout
000011D0: 1 5 _ 9 0 ( vk ' zGDIProce
00001210:ssHandleQuota" vk @ Spooler2 y e s
00001250: p h vk =pswapdisk vk
00001290: R TransmissionRetryTimeout p h
000012D0: vk ' " USERProcessHandleQuota
00001310:
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:
---------- WIN.TXT
fùAppInit_DLLsÖ
vorab möchte ich dir, deiner familie und allen hier + familien ein gesundes neues und vor allem erfolgreiches neues jahr 2005 wünschen.
konnte leider nicht eher antworten, war noch im koma, lach, nein waren unterwegs. trotzdem danke für deine antwort.
habe alles der reihe nach gemacht, hier das resultat:
abgesicherter modus, alle dateien und ordner anzeigen, ok
1. AboutBuster:
-bei log.dll-
beim ersten teil scan alles ok, nach ok beim zweiten teil scan ( explorer.exe ) kommt er dann bei 43% zur datei log.dll und hängt sich auf. immer wieder Error Removing:C:\WINDOWS\System32\log.dll. + alle desktop-zeichen weg ( habe dann abgebrochen )
-bei in log.dl umbenannt-
beide teile scan ok
_____________________________________________________
2. löschen von log.dll:
habe log.dll in log.dl und log.d umbenannt, immer wieder versucht zu löschen, geht nicht!
kommt immer das fenster
- log.d... kann nicht gelöscht werden: der zugriff wurde verweigert. stellen sie sicher, daß der datenträger weder voll noch schreibgeschützt ist und die datei gerade nicht verwendet wird.-
wenn ich an der datei was ändern will ( schreibgeschützt weg etc. ) kommt immer, daß ich keine benutzerrechte dazu habe.
_____________________________________________________
3. DLLCompare:
gescannt, hier das log:
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________
O^E says: "There were no files found
"
________________________________________________
1.346 items found: 1.346 files, 0 directories.
Total of file sizes: 286.468.007 bytes 273,20 M
Administrator Account = True
--------------------End log---------------------
_____________________________________________________
4. FINDnFIX:
gescannt, hier das log:
Thu 30 Dec 04 22:58:37
»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»
*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 2 (Build 2600)
*IE version:
6.0.2900.2180 SP2
MS-DOS Version 5.00.500
*command.com test passed!
__________________________________
!!*Creating backups...!!
(*Backup already exist!)
22:58:36,58 30.12.2004
__________________________________
*Local time:
Donnerstag, 30. Dezember 2004 (30.12.2004)
22:58, Westeuropäische Normalzeit
*Uptime:
22:58:38 up 0 days, 0:14:49
*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)
User is a member of group NOTEBOOKBK\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.
User is a member of group \LOKAL.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
User: [NOTEBOOKBK\Administrator], is a member of:
VORDEFINIERT\Administratoren
\Everyone
Running in WORKSTATION MODE.
SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is NOTEBOOKBK
Administrator's Name is Administrator
Computer Name is NOTEBOOKBK
LOGON SERVER is \\NOTEBOOKBK
»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!
The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________
......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Read access error(s)...
C:\WINDOWS\SYSTEM32\LOG.DLL +++ File read error
\\?\C:\WINDOWS\System32\LOG.DLL +++ File read error
»»»»» (*2*) »»»»»........
LOG.DLL Can't Open!
»»»»» (*3*) »»»»»........
No matches found.
unknown/hidden files...
No matches found.
»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»»»(*5*)»»»»»
¯ Access denied ® ..................... LOG.DLL .....57344 28.04.2004
»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\LOG.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL
579. Log Dll 57,344 . . R . A 4-28-04 9:05 am
668. Msasn1 Dll 57,344 . . . . A 8-03-04 11:57 pm
697. Mshtmler Dll 57,344 . . . . A 8-03-04 11:55 pm
204. Dmloader Dll 35,840 . . . . A 8-03-04 11:57 pm
372. Imgutil Dll 35,840 . . . . A 8-03-04 11:57 pm
228. Dpvacm Dll 21,504 . . . . A 8-03-04 11:57 pm
277. Feclient Dll 21,504 . . . . A 8-03-04 11:57 pm
324. Hidserv Dll 21,504 . . . . A 8-03-04 11:57 pm
____________________________________________________________________________
*By size and date...
C:\WINDOWS\SYSTEM32\
msasn1.dll Tue 3 Aug 2004 23:57:26 A.... 57.344 56,00 K
mshtmler.dll Tue 3 Aug 2004 23:55:32 A.... 57.344 56,00 K
2 items found: 2 files, 0 directories.
Total of file sizes: 114.688 bytes 112,00 K
C:\WINDOWS\SYSTEM32\
dmloader.dll Tue 3 Aug 2004 23:57:18 A.... 35.840 35,00 K
imgutil.dll Tue 3 Aug 2004 23:57:22 A.... 35.840 35,00 K
2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K
C:\WINDOWS\SYSTEM32\
dpvacm.dll Tue 3 Aug 2004 23:57:18 A.... 21.504 21,00 K
feclient.dll Tue 3 Aug 2004 23:57:20 A.... 21.504 21,00 K
hidserv.dll Tue 3 Aug 2004 23:57:22 A.... 21.504 21,00 K
3 items found: 3 files, 0 directories.
Total of file sizes: 64.512 bytes 63,00 K
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics
Matching files : 2 Amount in bytes : 114688
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics
Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\HIDSERV.DLL
SNiF 1.34 statistics
Matching files : 3 Amount in bytes : 64512
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
BHO search and other files...
fgrep: can't open input C:\WINDOWS\SYSTEM32\LOG.DLL
No matches found.
No matches found.
--*sp.html in temp folder was NOT FOUND!--
*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)
--(*text/html Subkey was NOT FOUND!)--
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)
--(*text/plain Subkey was NOT FOUND!)--
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448
»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!
Value Matches
________________________________
»»Comparing *saved* key with *original*...
REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)
Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).
Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 0)
»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710
»»Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM
»»Performing string scan....
00001150: vk f AppInit_
00001190:DLLs G p vk UDeviceNotSelectedTimeout
000011D0: 1 5 _ 9 0 ( vk ' zGDIProce
00001210:ssHandleQuota" vk @ Spooler2 y e s
00001250: p h vk =pswapdisk vk
00001290: R TransmissionRetryTimeout p h
000012D0: vk ' " USERProcessHandleQuota
00001310:
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:
---------- WIN.TXT
fùAppInit_DLLsÖ
- xxxlbernd
- Beiträge: 13
- Registriert: 26.05.2004, 00:45
von Nikita am 02.01.2005, 14:52
gehe in den abgesicherten Modus, denn nur dort hast du Administratorenrechte:
Start<Ausfuehren< reinschreiben : cmd
DOS oeffnet sich
DIR
dir Laufwerk: PfadDateiname
"dir C:\WINDOWS\SYSTEM32\LOG.DLL"
Verwenden Sie diesen Befehl, um eine Liste der Unterordner und Dateien in einem Ordner anzuzeigen. In der Befehlssyntax gibt Laufwerk: PfadDateiname das Laufwerk, den Ordner und die Dateien an, die aufgelistet werden sollen. Mit dem Befehl dir werden alle Dateien aufgelistet, einschließlich versteckte Dateien und Systemdateien. Dateien können die folgenden Attribute aufweisen:
D: Verzeichnis
H: Versteckte Datei
S: Systemdatei
E: Verschlüsselt
R: Schreibgeschützte Datei
A: Zur Archivierung bereite Dateien
C: Komprimiert
P: Analysepunkt
Der Befehl dir funktioniert nur in den Systemordnern der aktuellen Windows-Installation, in Wechselmedien, im Stammordner einer Festplattenpartition oder in den lokalen Installationsquellen.
poste mir bitte, wie die log.dll erscheint. (mit welchen Attributen)
-----------------------------------------------------------------
TYPE
type Dateiname
Verwenden Sie den Befehl type, um eine Textdatei anzuzeigen.
------------------------------------------------------------------------------------------------
was passiert bei folgendem DOS-Kommando ??
Start<Ausfuehren< reinschreiben : cmd
DOS oeffnet sich
Gebe "cd %systemroot%\system32" ein und drücke auf die Eingabetaste.
< Nächstes Kommando: "LOG.DLL -remove"
klicke"enter"
Rechner neu starten, und im abgesicherten Modus die log.dll loeschen
oder:
Tippe ein: "CD %systemroot%\system32"
Nächstes Kommando: "del LOG.DLL"
klicke"enter"
Rechner neu starten, und im abgesicherten Modus die log.dll loeschen
-----------------------------------------------------------------------------------------------------------------
andere Moeglichkeiten...probiere alles durch:
1.Kommando
"cd %SystemRoot%\System32"
dann:
"ren LOG.DLL ~LOG.DL"
klicke "enter"
2.Kommando:
"cd %SystemRoot%\System32"
dann:
"del LOG.DL"
klicke "enter"
PC neustarten (wieder in den abgsicherten Modus)
--------------------------------------------------------------------------------------------
Schreibschutz aufheben
1 Klicke im Explorer mit der rechten Maustaste auf die entsprechende Datei. (Du kannst dabei auch mehrere Dateien markiert haben.)
2 Es erscheint ein Fenster. Dort wählst Du den Menüpunkt "Eigenschaften"
3 Ein Klick mit der linken Maustaste öffnet ein weiteres Fenster. Dort siehst Du im Kästchen vor dem Vermerk "Schreibgeschützt" einen kleinen Haken. Also ist der "Nur-Lese-Status" aktiviert.
4 Mit einem Mausklick auf das Häkchen kannst Du den Schreibschutz wieder aufheben. Das Häkchen verschwindet. Jetzt läßt sich die Datei auch wieder von der Festplatte löschen.
benenne die C:\WINDOWS\SYSTEM32\LOG.DLL
dann wieder um in DL und loesche sie definitiv.
-------------------------------------------------------------------------------------------
Lade: FindIt.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.
Start<Ausfuehren< reinschreiben : cmd
DOS oeffnet sich
DIR
dir Laufwerk: PfadDateiname
"dir C:\WINDOWS\SYSTEM32\LOG.DLL"
Verwenden Sie diesen Befehl, um eine Liste der Unterordner und Dateien in einem Ordner anzuzeigen. In der Befehlssyntax gibt Laufwerk: PfadDateiname das Laufwerk, den Ordner und die Dateien an, die aufgelistet werden sollen. Mit dem Befehl dir werden alle Dateien aufgelistet, einschließlich versteckte Dateien und Systemdateien. Dateien können die folgenden Attribute aufweisen:
D: Verzeichnis
H: Versteckte Datei
S: Systemdatei
E: Verschlüsselt
R: Schreibgeschützte Datei
A: Zur Archivierung bereite Dateien
C: Komprimiert
P: Analysepunkt
Der Befehl dir funktioniert nur in den Systemordnern der aktuellen Windows-Installation, in Wechselmedien, im Stammordner einer Festplattenpartition oder in den lokalen Installationsquellen.
poste mir bitte, wie die log.dll erscheint. (mit welchen Attributen)
-----------------------------------------------------------------
TYPE
type Dateiname
Verwenden Sie den Befehl type, um eine Textdatei anzuzeigen.
------------------------------------------------------------------------------------------------
was passiert bei folgendem DOS-Kommando ??
Start<Ausfuehren< reinschreiben : cmd
DOS oeffnet sich
Gebe "cd %systemroot%\system32" ein und drücke auf die Eingabetaste.
< Nächstes Kommando: "LOG.DLL -remove"
klicke"enter"
Rechner neu starten, und im abgesicherten Modus die log.dll loeschen
oder:
Tippe ein: "CD %systemroot%\system32"
Nächstes Kommando: "del LOG.DLL"
klicke"enter"
Rechner neu starten, und im abgesicherten Modus die log.dll loeschen
-----------------------------------------------------------------------------------------------------------------
andere Moeglichkeiten...probiere alles durch:
1.Kommando
"cd %SystemRoot%\System32"
dann:
"ren LOG.DLL ~LOG.DL"
klicke "enter"
2.Kommando:
"cd %SystemRoot%\System32"
dann:
"del LOG.DL"
klicke "enter"
PC neustarten (wieder in den abgsicherten Modus)
--------------------------------------------------------------------------------------------
Schreibschutz aufheben
1 Klicke im Explorer mit der rechten Maustaste auf die entsprechende Datei. (Du kannst dabei auch mehrere Dateien markiert haben.)
2 Es erscheint ein Fenster. Dort wählst Du den Menüpunkt "Eigenschaften"
3 Ein Klick mit der linken Maustaste öffnet ein weiteres Fenster. Dort siehst Du im Kästchen vor dem Vermerk "Schreibgeschützt" einen kleinen Haken. Also ist der "Nur-Lese-Status" aktiviert.
4 Mit einem Mausklick auf das Häkchen kannst Du den Schreibschutz wieder aufheben. Das Häkchen verschwindet. Jetzt läßt sich die Datei auch wieder von der Festplatte löschen.
benenne die C:\WINDOWS\SYSTEM32\LOG.DLL
dann wieder um in DL und loesche sie definitiv.
-------------------------------------------------------------------------------------------
Lade: FindIt.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xxxlbernd am 02.01.2005, 21:13
huhu nikita,
ich kanns irgendwie noch nicht richtig fassen, aber die log.dll ist jetzt auf den weg ins nirvana. wech isse, winkeeeee, lol.
habe deine instruktionen brav befolgt und ausgeführt. immer wieder wollte er mich die datei log.dll nicht öffnen lassen, auch nicht löschen.
dann hab ich die dateieigenschaften mal inkl. allen verzeichnissen öffnen können, hab die besitz- und benutzerrechte auf mich + vollzugriff umgebastelt und siehe da, er hat mich die datei auch so löschen lassen!!! feeeeein gemacht.
hatte zwischendurch im ordner "system volume information\restore...... eine datei A0002482.dll, die mir mein virusprogramm als mit backdoor verseucht angezeigt hat. habe diese datei isoliert und gelöscht, wech warse auch. supi.
das symantec removal tool hat auch noch einen eintrag gefunden und entfernt.
sicherheitshalber habe ich die systemwiederherstellung deaktiviert und dann wieder aktiviert, um alle alten herstellungspunkte raus zu bekommen.
hab nochmal alle programme laufen lassen, findet nichts mehr, scheint also endlich ein positives "terminate" gegeben zu haben.
muß also meinen pc doch nicht in die ecke schmeißen und mit rauchzeichen weiter machen, lol.
danke dir wieder mal unendlich, hast was gut bei mir, vielleicht kann ich dir ja auch mal irgendwie helfen, dann sehr gern.
eine frage bitte noch:
könnte jetzt noch irgendwo etwas versteckt sein oder ist jetzt alles oki??
mfg + danke nochmal
xxxlbernd
ich kanns irgendwie noch nicht richtig fassen, aber die log.dll ist jetzt auf den weg ins nirvana. wech isse, winkeeeee, lol.
habe deine instruktionen brav befolgt und ausgeführt. immer wieder wollte er mich die datei log.dll nicht öffnen lassen, auch nicht löschen.
dann hab ich die dateieigenschaften mal inkl. allen verzeichnissen öffnen können, hab die besitz- und benutzerrechte auf mich + vollzugriff umgebastelt und siehe da, er hat mich die datei auch so löschen lassen!!! feeeeein gemacht.
hatte zwischendurch im ordner "system volume information\restore...... eine datei A0002482.dll, die mir mein virusprogramm als mit backdoor verseucht angezeigt hat. habe diese datei isoliert und gelöscht, wech warse auch. supi.
das symantec removal tool hat auch noch einen eintrag gefunden und entfernt.
sicherheitshalber habe ich die systemwiederherstellung deaktiviert und dann wieder aktiviert, um alle alten herstellungspunkte raus zu bekommen.
hab nochmal alle programme laufen lassen, findet nichts mehr, scheint also endlich ein positives "terminate" gegeben zu haben.
muß also meinen pc doch nicht in die ecke schmeißen und mit rauchzeichen weiter machen, lol.
danke dir wieder mal unendlich, hast was gut bei mir, vielleicht kann ich dir ja auch mal irgendwie helfen, dann sehr gern.
eine frage bitte noch:
könnte jetzt noch irgendwo etwas versteckt sein oder ist jetzt alles oki??
mfg + danke nochmal
xxxlbernd
- xxxlbernd
- Beiträge: 13
- Registriert: 26.05.2004, 00:45
von Nikita am 02.01.2005, 21:18
Hallo@xxxlbernd
du hast es also manuell gemacht ... Gut
Wenn der Virenscanner nicht mehr rummeckert, ist alles o.k.
mich wuerde noch interessieren, ob du die DOS-Kommandos auch ausgefuehrt hast und ob das "enter" akzeptiert wurde.
du hast es also manuell gemacht ... Gut
Wenn der Virenscanner nicht mehr rummeckert, ist alles o.k.
mich wuerde noch interessieren, ob du die DOS-Kommandos auch ausgefuehrt hast und ob das "enter" akzeptiert wurde.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xxxlbernd am 03.01.2005, 11:12
hallo nikita,
ja, es ging dann irgendwie mal mittendrin doch manuell umzustellen und zu löschen! toll.
bin mit den DOS - komandos nur bis dahin gekommen bzw. hab bis dahin erledigt:
----> gehe in den abgesicherten Modus, denn nur dort hast du Administratorenrechte:
Start<Ausfuehren< reinschreiben : cmd
DOS oeffnet sich
DIR
dir Laufwerk: PfadDateiname
"dir C:\WINDOWS\SYSTEM32\LOG.DLL"
- hier wurde nur datum und größe angezeigt, keine weiteren attribute -
----> Start<Ausfuehren< reinschreiben : cmd
DOS oeffnet sich
Gebe "cd %systemroot%\system32" ein und drücke auf die Eingabetaste.
< Nächstes Kommando: "LOG.DLL -remove"
klicke"enter"
- nach enter kam das fenster: " sie versuchen, eine datei des programmbibliothek (.dd ) zu öffnen. diese dateien werden vom betriebssystem und verschiedenen programmen verwendet. bearbeiten oder verändern kann möglicherweise das system beschädigen. klicken sie auf "öffnen mit" um die datei trotzdem zu öffnen oder auf "abbrechen".
ich glaube jetzt ( evtl. auch vorher ) kam das fenster: "log.dll kann nicht geöffnet werden. das programm, von dem diese datei erstellt wurde, muß bekannt sein."
dann hab ich wie gesagt in den eigenschaften einfach mal drin rumgebastelt und als ich den vollzugriff auf mich übertragen hatte, ging sie einfach zu löschen!
habe also nur den -remove - befehl ausgeführt!!! ist das schlimm oder hätte ich erst alle befehle eingeben müssen?
die datei ging mir so sehr auf die nerven, daß ich sie nur so schnell wie möglich "killen" wollte.
dank dir habe ichs ja auch geschafft, danke.
bitte nochmal um antwort, ob das so ok war, oder noch was zu erledigen wäre.
mfg
xxxlbernd
ja, es ging dann irgendwie mal mittendrin doch manuell umzustellen und zu löschen! toll.
bin mit den DOS - komandos nur bis dahin gekommen bzw. hab bis dahin erledigt:
----> gehe in den abgesicherten Modus, denn nur dort hast du Administratorenrechte:
Start<Ausfuehren< reinschreiben : cmd
DOS oeffnet sich
DIR
dir Laufwerk: PfadDateiname
"dir C:\WINDOWS\SYSTEM32\LOG.DLL"
- hier wurde nur datum und größe angezeigt, keine weiteren attribute -
----> Start<Ausfuehren< reinschreiben : cmd
DOS oeffnet sich
Gebe "cd %systemroot%\system32" ein und drücke auf die Eingabetaste.
< Nächstes Kommando: "LOG.DLL -remove"
klicke"enter"
- nach enter kam das fenster: " sie versuchen, eine datei des programmbibliothek (.dd ) zu öffnen. diese dateien werden vom betriebssystem und verschiedenen programmen verwendet. bearbeiten oder verändern kann möglicherweise das system beschädigen. klicken sie auf "öffnen mit" um die datei trotzdem zu öffnen oder auf "abbrechen".
ich glaube jetzt ( evtl. auch vorher ) kam das fenster: "log.dll kann nicht geöffnet werden. das programm, von dem diese datei erstellt wurde, muß bekannt sein."
dann hab ich wie gesagt in den eigenschaften einfach mal drin rumgebastelt und als ich den vollzugriff auf mich übertragen hatte, ging sie einfach zu löschen!
habe also nur den -remove - befehl ausgeführt!!! ist das schlimm oder hätte ich erst alle befehle eingeben müssen?
die datei ging mir so sehr auf die nerven, daß ich sie nur so schnell wie möglich "killen" wollte.
dank dir habe ichs ja auch geschafft, danke.
bitte nochmal um antwort, ob das so ok war, oder noch was zu erledigen wäre.
mfg
xxxlbernd
- xxxlbernd
- Beiträge: 13
- Registriert: 26.05.2004, 00:45
von xxxlbernd am 03.01.2005, 11:17
hi,
ich nochmal kurz. hab mich hier verschrieben:
sie versuchen, eine datei des programmbibliothek (.dd ) zu öffnen.
muß natürlich heißen: sie versuchen, eine datei des typs programmbibliothek (.dll ) zu öffnen.
ich nochmal kurz. hab mich hier verschrieben:
sie versuchen, eine datei des programmbibliothek (.dd ) zu öffnen.
muß natürlich heißen: sie versuchen, eine datei des typs programmbibliothek (.dll ) zu öffnen.
- xxxlbernd
- Beiträge: 13
- Registriert: 26.05.2004, 00:45
von Nikita am 03.01.2005, 12:08
Hallo@xxxlbernd
Dank fuer die genaue Beschreibung...ich hatte ja die dll nicht drauf und konnte also nur Anregungen geben.
Deshalb war es wichtig fuer mich zu wissen, mit welchen (der vielen ) Moeglichkeiten die dll geloescht wurde.
Dank fuer die genaue Beschreibung...ich hatte ja die dll nicht drauf und konnte also nur Anregungen geben.
Deshalb war es wichtig fuer mich zu wissen, mit welchen (der vielen ) Moeglichkeiten die dll geloescht wurde.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
12 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste