Hilfe mein PC ist zugebombt!
17 Beiträge • Seite 1 von 2 • 1, 2
Hilfe mein PC ist zugebombt!
von keen am 06.01.2005, 01:16
Hallo!
Nachdem ich dauernd Packetloss bei HL2 hatte dachte ich mir das liegt an der Firewall
. Nujo darum hab ich sie kurz ausgemacht und geschaut obs besser wird jedoch war ich dann schon überfallen worden 
Da mich diese *lol* Adware immer so aufregt habe ich den Pc formatiert. Nun läuft mein PC wieder so kackeirig und lässt einige Programme gar nicht mehr öffenen und so ein Gedöns. Hab die Firewall nun auch von Zonealarm auf Kerio Personal Firewall umgestellt da damit ein Clan Kollege gut fährt.
hier mal das hijackthis log:
Logfile of HijackThis v1.99.0
Scan saved at 00:10:44, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\SystemReg16.exe
C:\WINDOWS\System32\iwps.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\smsss.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\Run: [RSPC Driver] iwps.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\RunServices: [RSPC Driver] iwps.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKCU\..\Run: [RSPC Driver] iwps.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B8CA490-C7D1-4EA2-BC4E-48C745DA7346}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
ausserdem hab ich einige fragen von der firewall bekommen was ich zulassen soll und was nicht und da mir folgende sachen unbekannt waren habe ich sie erst einmal nicht zugelassen:
iwps
systemreg16
smsss
Trival File Transfer Protocol App
Wäre lieb wenn sich das einer mal anschauen würde
Keen
Nachdem ich dauernd Packetloss bei HL2 hatte dachte ich mir das liegt an der Firewall
. Nujo darum hab ich sie kurz ausgemacht und geschaut obs besser wird jedoch war ich dann schon überfallen worden Da mich diese *lol* Adware immer so aufregt habe ich den Pc formatiert. Nun läuft mein PC wieder so kackeirig und lässt einige Programme gar nicht mehr öffenen und so ein Gedöns. Hab die Firewall nun auch von Zonealarm auf Kerio Personal Firewall umgestellt da damit ein Clan Kollege gut fährt.
hier mal das hijackthis log:
Logfile of HijackThis v1.99.0
Scan saved at 00:10:44, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\SystemReg16.exe
C:\WINDOWS\System32\iwps.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\smsss.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\Run: [RSPC Driver] iwps.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\RunServices: [RSPC Driver] iwps.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKCU\..\Run: [RSPC Driver] iwps.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B8CA490-C7D1-4EA2-BC4E-48C745DA7346}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
ausserdem hab ich einige fragen von der firewall bekommen was ich zulassen soll und was nicht und da mir folgende sachen unbekannt waren habe ich sie erst einmal nicht zugelassen:
iwps
systemreg16
smsss
Trival File Transfer Protocol App
Wäre lieb wenn sich das einer mal anschauen würde
Keen
- keen
- Beiträge: 13
- Registriert: 04.01.2005, 16:19
von Nikita am 06.01.2005, 01:23
Olomide hat geschrieben:Deine Logfile ist sauber!!!!!!!!!!!!!!!!
Nun reicht es aber..lasse bitte diese Kommentare, wenn sie nicht korrekt sind
Zuletzt geändert von Nikita am 06.01.2005, 01:33, insgesamt 1-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 06.01.2005, 01:26
Hallo@keen
Win32.Rbot is an IRC controlled backdoor (or "bot") that can be used to gain unauthorized access to a victim's machine. It can also exhibit worm-like functionality by exploiting weak passwords on administrative shares and by exploiting many different software vulnerabilities, as well as backdoors created by other malware. There are many variants of Rbot, and more are discovered regularly. Rbot is highly configurable, and is being very actively developed, however the core functionality is quite consistent between variants. Most instances of Rbot are compressed and/or encrypted with one or more run-time executable packers. Examples include Morphine, UPX, ASPack, PESpin, EZIP, PEShield, PECompact, FSG, EXEStealth, PEX, MoleBox and PEtite.
http://www3.ca.com/securityadvisor/viru ... x?id=39437
---------------------------------------------------------------------------------------
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe -->Win32.Rbot
O4 - HKLM\..\Run: [RSPC Driver] iwps.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe -->W32/Gaobot.FN
O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\RunServices: [RSPC Driver] iwps.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKCU\..\Run: [RSPC Driver] iwps.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
PC neustarten--->in den abgesicherten Modus
loesche:
C:\WINDOWS\System32\SystemReg16.exe
C:\WINDOWS\System32\smsss.exe
C:\WINDOWS\System32\iwps.exe
gehe wieder in den Normalmodus
#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pests ... pscanca%20
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
Berichte, was noch geloescht wurde und poste das neue Log vom HijackThis
Win32.Rbot is an IRC controlled backdoor (or "bot") that can be used to gain unauthorized access to a victim's machine. It can also exhibit worm-like functionality by exploiting weak passwords on administrative shares and by exploiting many different software vulnerabilities, as well as backdoors created by other malware. There are many variants of Rbot, and more are discovered regularly. Rbot is highly configurable, and is being very actively developed, however the core functionality is quite consistent between variants. Most instances of Rbot are compressed and/or encrypted with one or more run-time executable packers. Examples include Morphine, UPX, ASPack, PESpin, EZIP, PEShield, PECompact, FSG, EXEStealth, PEX, MoleBox and PEtite.
http://www3.ca.com/securityadvisor/viru ... x?id=39437
---------------------------------------------------------------------------------------
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe -->Win32.Rbot
O4 - HKLM\..\Run: [RSPC Driver] iwps.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe -->W32/Gaobot.FN
O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\RunServices: [RSPC Driver] iwps.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKCU\..\Run: [RSPC Driver] iwps.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
PC neustarten--->in den abgesicherten Modus
loesche:
C:\WINDOWS\System32\SystemReg16.exe
C:\WINDOWS\System32\smsss.exe
C:\WINDOWS\System32\iwps.exe
gehe wieder in den Normalmodus
#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pests ... pscanca%20
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
Berichte, was noch geloescht wurde und poste das neue Log vom HijackThis
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von keen am 06.01.2005, 02:25
Liebe Nikita 
danke erstmal für deine Hilfe
Ich bin nach deiner anleitung gegangen und habe sachen in Hijack gefixt nur leider als ich in den abgesicherten modus wechselte waren diese datein nicht im windows 32 ordner aufzufinden. also habe ich wieder normal gestartet und kerio zeigte mir schon an das smsss versucht ins internet zu gelangen. weiter ging es dann nach trend micro dieser zeigte mir folgendes an :
worm_rbot.agd
worm_rbot.aew
worm_rbot.aft(1-3)
gesäubert werden konnte davon leider nichts
Pest Patrol zeigte mir keinen fund an
und McAffee zeigte mir dafür an :
C:\WINDOWS\system32\geym.exe W32/Sdbot.worm.gen.h
C:\WINDOWS\system32\iwps.exe W32/Sdbot.worm.gen.h
C:\WINDOWS\system32\rspc.exe W32/Sdbot.worm.gen.h
C:\WINDOWS\system32\TFTP2776 W32/Sdbot.worm.gen
C:\WINDOWS\system32\TFTP972 W32/Sdbot.worm.gen
neues hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 01:25:16, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\smsss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B8CA490-C7D1-4EA2-BC4E-48C745DA7346}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
lieben Gruß
Keen
danke erstmal für deine Hilfe
Ich bin nach deiner anleitung gegangen und habe sachen in Hijack gefixt nur leider als ich in den abgesicherten modus wechselte waren diese datein nicht im windows 32 ordner aufzufinden. also habe ich wieder normal gestartet und kerio zeigte mir schon an das smsss versucht ins internet zu gelangen. weiter ging es dann nach trend micro dieser zeigte mir folgendes an :
worm_rbot.agd
worm_rbot.aew
worm_rbot.aft(1-3)
gesäubert werden konnte davon leider nichts
Pest Patrol zeigte mir keinen fund an
und McAffee zeigte mir dafür an :
C:\WINDOWS\system32\geym.exe W32/Sdbot.worm.gen.h
C:\WINDOWS\system32\iwps.exe W32/Sdbot.worm.gen.h
C:\WINDOWS\system32\rspc.exe W32/Sdbot.worm.gen.h
C:\WINDOWS\system32\TFTP2776 W32/Sdbot.worm.gen
C:\WINDOWS\system32\TFTP972 W32/Sdbot.worm.gen
neues hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 01:25:16, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\smsss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B8CA490-C7D1-4EA2-BC4E-48C745DA7346}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
lieben Gruß
Keen
- keen
- Beiträge: 13
- Registriert: 04.01.2005, 16:19
von Nikita am 06.01.2005, 02:34
Hallo@keen
Lade die Killbox.
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\system32\geym.exe
C:\WINDOWS\system32\iwps.exe
C:\WINDOWS\system32\rspc.exe
C:\WINDOWS\system32\TFTP2776
C:\WINDOWS\system32\TFTP972
C:\WINDOWS\System32\smsss.exe
erst beim letzten auf "yes"
PC neustarten
<Sygate (Deutsch)Firewall-->lade die Freeversion
http://www.sygate.de/
dann mache noch mal die Onlinescanns und berichte.
#Symantec Online Scan [nur mit IE moeglich]
http://security.symantec.com/SSC/GetBro ... navbrk.asp
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
..........................................................................................
Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken --> öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
http://computercops.biz/postp237756.html
Lade die Killbox.
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\system32\geym.exe
C:\WINDOWS\system32\iwps.exe
C:\WINDOWS\system32\rspc.exe
C:\WINDOWS\system32\TFTP2776
C:\WINDOWS\system32\TFTP972
C:\WINDOWS\System32\smsss.exe
erst beim letzten auf "yes"
PC neustarten
<Sygate (Deutsch)Firewall-->lade die Freeversion
http://www.sygate.de/
dann mache noch mal die Onlinescanns und berichte.
#Symantec Online Scan [nur mit IE moeglich]
http://security.symantec.com/SSC/GetBro ... navbrk.asp
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
..........................................................................................
Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken --> öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
http://computercops.biz/postp237756.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
soooo
von keen am 06.01.2005, 03:36
Symantec fing erstmal sparsam an und warf mir folgenden fehler aus:
C:\!Submit\TFTP2776 is infected with W32.Spybot.Worm
Dann ging es aber weiter nach F-Secure
Während ich F-Secure liefen lies zeigte Antivir folgende Meldungen an :
C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\AVP15A.TMP
Enthält Signatur des Wurmes Worm/Zusha.A
C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\AVP15C.TMP
Enthält Signatur des Wurmes Worm/Zusha.A
C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\AVP15E.TMP
Enthält Signatur des Wurmes Worm/Zusha.A
ich habe diese dann löschen lassen.
F-Secure wurde dann trauriger weise auch noch fündig und listete mir folgende Probleme auf:
C:\!Submit\geym.exe Backdoor.Win32.Rbot.gen
C:\!Submit\geym.exe Backdoor.Win32.Rbot.gen
C:\!Submit\iwps.exe Backdoor.Win32.Rbot.gen
C:\!Submit\iwps.exe Backdoor.Win32.Rbot.gen
C:\!Submit\rspc.exe Backdoor.Win32.Rbot.gen
C:\!Submit\rspc.exe Backdoor.Win32.Rbot.gen
C:\!Submit\smsss.exe Backdoor.Win32.Rbot.gen
C:\!Submit\smsss.exe Backdoor.Win32.Rbot.gen
C:\!Submit\smsss.exe Backdoor.Win32.Rbot.gen
C:\!Submit\smsss.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
Scanned files: 10932 Warning: 5 file(s) still infected!
und nun noch von bitdefender:
nichts gefunden...
Dann noch hier der Bericht :
These are the Current Active Services:
ANTIVIR SERVICE: AntiVirService
C:\Programme\AVPersonal\AVGUARD.EXE
WINDOWS AUDIO: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
COMPUTERBROWSER: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs
KRYPTOGRAFIEDIENSTE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs
DHCP-CLIENT: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs
VERWALTUNG LOGISCHER DATENTRÄGER: dmserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
FEHLERBERICHTERSTATTUNGSDIENST: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
COM+-EREIGNISSYSTEM: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs
KOMPATIBILITÄT FÜR SCHNELLE BENUTZERUMSCHALTUNG: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs
HILFE UND SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
HID INPUT SERVICE: HidServ
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVER: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
ARBEITSSTATIONSDIENST: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs
NACHRICHTENDIENST: Messenger
C:\WINDOWS\System32\svchost.exe -k netsvcs
NETZWERKVERBINDUNGEN: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs
NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs
RAS-VERBINDUNGSVERWALTUNG: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs
TASKPLANER: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs
SEKUNDÄRE ANMELDUNG: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTEMEREIGNISBENACHRICHTIGUNG: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs
SHELLHARDWAREERKENNUNG: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTEMWIEDERHERSTELLUNGSDIENST: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs
TELEFONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
TERMINALDIENSTE: TermService
C:\WINDOWS\System32\svchost.exe -k netsvcs
DESIGNS: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
ÜBERWACHUNG VERTEILTER VERKNÜPFUNGEN (CLIENT): TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs
UPLOAD-MANAGER: uploadmgr
C:\WINDOWS\System32\svchost.exe -k netsvcs
WINDOWS-ZEITGEBER: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs
WINDOWS-VERWALTUNGSINSTRUMENTATION: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
SERIENNUMMER DER TRAGBAREN MEDIEN: WmdmPmSp
C:\WINDOWS\System32\svchost.exe -k netsvcs
AUTOMATISCHE UPDATES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs
KONFIGURATIONSFREIE DRAHTLOSE VERBINDUNG: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
ANTIVIR UPDATE: AVWUpSrv
"C:\Programme\AVPersonal\AVWUPSRV.EXE"
DNS-CLIENT: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
EREIGNISPROTOKOLL: Eventlog
C:\WINDOWS\system32\services.exe
PLUG & PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
TCP/IP-NETBIOS-HILFSPROGRAMM: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
REMOTE-REGISTRIERUNG: RemoteRegistry
C:\WINDOWS\system32\svchost.exe -k LocalService
SSDP-SUCHDIENST: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
IPSEC-DIENSTE: PolicyAgent
C:\WINDOWS\System32\lsass.exe
GESCHÜTZTER SPEICHER: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
SICHERHEITSKONTENVERWALTUNG: SamSs
C:\WINDOWS\system32\lsass.exe
REMOTEPROZEDURAUFRUF (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
SYGATE PERSONAL FIREWALL: SmcService
C:\Programme\Sygate\SPF\smc.exe
DRUCKWARTESCHLANGE: Spooler
C:\WINDOWS\system32\spoolsv.exe
allerliebsten gruß
keen
C:\!Submit\TFTP2776 is infected with W32.Spybot.Worm
Dann ging es aber weiter nach F-Secure
Während ich F-Secure liefen lies zeigte Antivir folgende Meldungen an :
C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\AVP15A.TMP
Enthält Signatur des Wurmes Worm/Zusha.A
C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\AVP15C.TMP
Enthält Signatur des Wurmes Worm/Zusha.A
C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\AVP15E.TMP
Enthält Signatur des Wurmes Worm/Zusha.A
ich habe diese dann löschen lassen.
F-Secure wurde dann trauriger weise auch noch fündig und listete mir folgende Probleme auf:
C:\!Submit\geym.exe Backdoor.Win32.Rbot.gen
C:\!Submit\geym.exe Backdoor.Win32.Rbot.gen
C:\!Submit\iwps.exe Backdoor.Win32.Rbot.gen
C:\!Submit\iwps.exe Backdoor.Win32.Rbot.gen
C:\!Submit\rspc.exe Backdoor.Win32.Rbot.gen
C:\!Submit\rspc.exe Backdoor.Win32.Rbot.gen
C:\!Submit\smsss.exe Backdoor.Win32.Rbot.gen
C:\!Submit\smsss.exe Backdoor.Win32.Rbot.gen
C:\!Submit\smsss.exe Backdoor.Win32.Rbot.gen
C:\!Submit\smsss.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
Scanned files: 10932 Warning: 5 file(s) still infected!
und nun noch von bitdefender:
nichts gefunden...
Dann noch hier der Bericht :
These are the Current Active Services:
ANTIVIR SERVICE: AntiVirService
C:\Programme\AVPersonal\AVGUARD.EXE
WINDOWS AUDIO: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
COMPUTERBROWSER: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs
KRYPTOGRAFIEDIENSTE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs
DHCP-CLIENT: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs
VERWALTUNG LOGISCHER DATENTRÄGER: dmserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
FEHLERBERICHTERSTATTUNGSDIENST: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
COM+-EREIGNISSYSTEM: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs
KOMPATIBILITÄT FÜR SCHNELLE BENUTZERUMSCHALTUNG: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs
HILFE UND SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
HID INPUT SERVICE: HidServ
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVER: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
ARBEITSSTATIONSDIENST: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs
NACHRICHTENDIENST: Messenger
C:\WINDOWS\System32\svchost.exe -k netsvcs
NETZWERKVERBINDUNGEN: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs
NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs
RAS-VERBINDUNGSVERWALTUNG: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs
TASKPLANER: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs
SEKUNDÄRE ANMELDUNG: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTEMEREIGNISBENACHRICHTIGUNG: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs
SHELLHARDWAREERKENNUNG: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTEMWIEDERHERSTELLUNGSDIENST: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs
TELEFONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
TERMINALDIENSTE: TermService
C:\WINDOWS\System32\svchost.exe -k netsvcs
DESIGNS: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
ÜBERWACHUNG VERTEILTER VERKNÜPFUNGEN (CLIENT): TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs
UPLOAD-MANAGER: uploadmgr
C:\WINDOWS\System32\svchost.exe -k netsvcs
WINDOWS-ZEITGEBER: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs
WINDOWS-VERWALTUNGSINSTRUMENTATION: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
SERIENNUMMER DER TRAGBAREN MEDIEN: WmdmPmSp
C:\WINDOWS\System32\svchost.exe -k netsvcs
AUTOMATISCHE UPDATES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs
KONFIGURATIONSFREIE DRAHTLOSE VERBINDUNG: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
ANTIVIR UPDATE: AVWUpSrv
"C:\Programme\AVPersonal\AVWUPSRV.EXE"
DNS-CLIENT: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
EREIGNISPROTOKOLL: Eventlog
C:\WINDOWS\system32\services.exe
PLUG & PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
TCP/IP-NETBIOS-HILFSPROGRAMM: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
REMOTE-REGISTRIERUNG: RemoteRegistry
C:\WINDOWS\system32\svchost.exe -k LocalService
SSDP-SUCHDIENST: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
IPSEC-DIENSTE: PolicyAgent
C:\WINDOWS\System32\lsass.exe
GESCHÜTZTER SPEICHER: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
SICHERHEITSKONTENVERWALTUNG: SamSs
C:\WINDOWS\system32\lsass.exe
REMOTEPROZEDURAUFRUF (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
SYGATE PERSONAL FIREWALL: SmcService
C:\Programme\Sygate\SPF\smc.exe
DRUCKWARTESCHLANGE: Spooler
C:\WINDOWS\system32\spoolsv.exe
allerliebsten gruß
keen
- keen
- Beiträge: 13
- Registriert: 04.01.2005, 16:19
von Nikita am 06.01.2005, 14:45
ja, loesche alle C:\!Submit\, dann scanne noch mal mit
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
+
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
#Removaltool: (Kaspersky)
<clrav-->klicke-->es beginnt ein Scan unter DOS
http://www.kaspersky.com/de/removaltool ... 10248#open
dann poste das neue Log vom HijackThis
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
+
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
#Removaltool: (Kaspersky)
<clrav-->klicke-->es beginnt ein Scan unter DOS
http://www.kaspersky.com/de/removaltool ... 10248#open
dann poste das neue Log vom HijackThis
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
re
von keen am 06.01.2005, 18:21
hallo nikita
aaaaaaalso erstmal wollte ich sagen das ich mir heute einen neuen pc gekauft habe und einen router damit ich mit beiden ins internet komme.
nun das noch von f-secure
Finished: 1 virus found
Scanned files: 11301 Warning: 1 file(s) still infected!
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
freescan zeigte nichts an und clrav hatte nichts zum entfernen
mein hijackthis log:
Logfile of HijackThis v1.99.0
Scan saved at 17:20:26, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
werde gleich auch mal hijackthis log von meinem anderen pc schicken nicht das der auch schon befallen ist
grüße
keen
aaaaaaalso erstmal wollte ich sagen das ich mir heute einen neuen pc gekauft habe und einen router damit ich mit beiden ins internet komme.
nun das noch von f-secure
Finished: 1 virus found
Scanned files: 11301 Warning: 1 file(s) still infected!
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\SystemReg16.exe Backdoor.Win32.Rbot.gen
freescan zeigte nichts an und clrav hatte nichts zum entfernen
mein hijackthis log:
Logfile of HijackThis v1.99.0
Scan saved at 17:20:26, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
werde gleich auch mal hijackthis log von meinem anderen pc schicken
nicht das der auch schon befallen ist
grüße
keen
- keen
- Beiträge: 13
- Registriert: 04.01.2005, 16:19
von Nikita am 06.01.2005, 18:33
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
ueberpruefe:
C:\WINDOWS\system32\smsss.exe (nicht verwechslen mit :C:\WINDOWS\System32\smss.exe. )
C:\WINDOWS\system32\SystemReg16.exe
und kopiere den Scan ab und poste ihn
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
------------------------------------------------------------------------------------------
Fixe mit dem HijackThis:
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
PC neustarten...in den abgesicherten Modus und loesche:
C:\WINDOWS\system32\smsss.exe
C:\WINDOWS\system32\SystemReg16.exe
-------------------------------------------------------------------------
Gehe im abgesicherten Modus in die Registry
Start<Ausfuehren<regedit
Bearbeiten ---Suchen--->start uploading
Bearbeiten-->suchen -->smsss.exe
was findest du ?????
Dann gehe zu folgendem Schluessel:
HKLM\System\CurrentControlSet\Enum\Root\
findest du ??
LEGACY_MPR
HKLM\System\CurrentControlSet\Services\
findest du ?
MpR
Poste, was du unter dem
HKLM\System\CurrentControlSet\Services\ alles findest.
-----------------------------------------------------------------------------------
Dann blocke alle Anfragen aus dem Net, (mit dem Sygate),
(ausser das Internet, natuerlich) und poste das neue Log noch einmal.
http://virusscan.jotti.dhs.org/
ueberpruefe:
C:\WINDOWS\system32\smsss.exe (nicht verwechslen mit :C:\WINDOWS\System32\smss.exe. )
C:\WINDOWS\system32\SystemReg16.exe
und kopiere den Scan ab und poste ihn
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
------------------------------------------------------------------------------------------
Fixe mit dem HijackThis:
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
PC neustarten...in den abgesicherten Modus und loesche:
C:\WINDOWS\system32\smsss.exe
C:\WINDOWS\system32\SystemReg16.exe
-------------------------------------------------------------------------
Gehe im abgesicherten Modus in die Registry
Start<Ausfuehren<regedit
Bearbeiten ---Suchen--->start uploading
Bearbeiten-->suchen -->smsss.exe
was findest du ?????
Dann gehe zu folgendem Schluessel:
HKLM\System\CurrentControlSet\Enum\Root\
findest du ??
LEGACY_MPR
HKLM\System\CurrentControlSet\Services\
findest du ?
MpR
Poste, was du unter dem
HKLM\System\CurrentControlSet\Services\ alles findest.
-----------------------------------------------------------------------------------
Dann blocke alle Anfragen aus dem Net, (mit dem Sygate),
(ausser das Internet, natuerlich) und poste das neue Log noch einmal.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
SystemReg16.exe -->File length: 99328 bytes
von keen am 06.01.2005, 19:06
Service load:
0% 100%
File: SystemReg16.exe
Status:
INFECTED/MALWARE
Packers detected:
PE_PATCH.MORPHINE, MORPHINE, UPX
AntiVir
No viruses found (0.52 seconds taken)
Avast
No viruses found (3.04 seconds taken)
BitDefender
No viruses found (1.66 seconds taken)
ClamAV
No viruses found (0.75 seconds taken)
Dr.Web
Win32.HLLW.MyBot.based (1.37 seconds taken)
F-Prot Antivirus
W32/Sdbot.BOE (0.06 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (4.14 seconds taken)
mks_vir
Trojan.Rbot.Gen (0.36 seconds taken)
NOD32
Win32/Rbot.BQV (0.67 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]
* File length: 99328 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\SystemReg16.exe.
* Deletes file 1.
[ Changes to registry ]
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
[ Network services ]
* Connects to "venom.anarchyonline.net" on port 3267 (TCP).
* Connects to IRC Server.
[ Process/window information ]
* Creates a mutex EvilBot-0.5a.
* Will automatically restart after boot (I'll be back...). (6.69 seconds taken)
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
und das kam bei smsss.exe...
in der regesty war in root\ nur standart und in
und das andere hatte auch nur standart aber dafür einige unterordner.
smsss.exe wurde ich zich sachen gefunden die ich dann alle gelöscht habe
hijack:
Logfile of HijackThis v1.99.0
Scan saved at 18:06:12, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
0% 100%
File: SystemReg16.exe
Status:
INFECTED/MALWARE
Packers detected:
PE_PATCH.MORPHINE, MORPHINE, UPX
AntiVir
No viruses found (0.52 seconds taken)
Avast
No viruses found (3.04 seconds taken)
BitDefender
No viruses found (1.66 seconds taken)
ClamAV
No viruses found (0.75 seconds taken)
Dr.Web
Win32.HLLW.MyBot.based (1.37 seconds taken)
F-Prot Antivirus
W32/Sdbot.BOE (0.06 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (4.14 seconds taken)
mks_vir
Trojan.Rbot.Gen (0.36 seconds taken)
NOD32
Win32/Rbot.BQV (0.67 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]
* File length: 99328 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\SystemReg16.exe.
* Deletes file 1.
[ Changes to registry ]
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
[ Network services ]
* Connects to "venom.anarchyonline.net" on port 3267 (TCP).
* Connects to IRC Server.
[ Process/window information ]
* Creates a mutex EvilBot-0.5a.
* Will automatically restart after boot (I'll be back...). (6.69 seconds taken)
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
und das kam bei smsss.exe...
in der regesty war in root\ nur standart und in
und das andere hatte auch nur standart aber dafür einige unterordner.
smsss.exe wurde ich zich sachen gefunden die ich dann alle gelöscht habe
hijack:
Logfile of HijackThis v1.99.0
Scan saved at 18:06:12, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
- keen
- Beiträge: 13
- Registriert: 04.01.2005, 16:19
von Nikita am 06.01.2005, 20:11
loesche alle Eintraege in der Registry-->SystemReg16.exe
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
-------------------------------------------------------------------------------------
loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (lasse nur die index.dat)
Beispiel HOSTFILE:
#öffne das HijackThis
http://www.downloads.subratam.org/hijackthis.zip
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->save Log
lösche alles , lasse nur stehen:
127.0.0.1 localhost
#Orginal Host Datei
#suche /loesche -->diesen Mutex:
EvilBot-0.5a
und loesche im abgesicherten Modus:
C:\WINDOWS\SYSTEM\SystemReg16.exe
ALLE: C:\!Submit\
#blocke mit dem Sygate:
Connects to "venom.anarchyonline.net" on port 3267 (TCP).
StartupList 1.20
http://bilder.informationsarchiv.net/Nikitas_Tools/
klicke : startuplist.exe und
kopiere die startuplist.txt ind Forum
Download: StartDreck
http://www.greyknight17.com/spy/StartDreck.zip
Unzip to its own folder and start the program:
Press 'Config'
Press 'mark all'
Uncheck the following boxes only:
System/Drivers -> NT Services
System/Drivers -> NT Kernel- and FS-drivers
Press 'OK'
Press 'Save' and select the location to save the log file (default is the same folder as the application)
http://www.techsupportforums.com/showth ... post135420
#dann scanne noch mal mit:F-Secure
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Registry System16 Checkup Monitor"="SystemReg16.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
-------------------------------------------------------------------------------------
loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (lasse nur die index.dat)
Beispiel HOSTFILE:
#öffne das HijackThis
http://www.downloads.subratam.org/hijackthis.zip
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->save Log
lösche alles , lasse nur stehen:
127.0.0.1 localhost
#Orginal Host Datei
#suche /loesche -->diesen Mutex:
EvilBot-0.5a
und loesche im abgesicherten Modus:
C:\WINDOWS\SYSTEM\SystemReg16.exe
ALLE: C:\!Submit\
#blocke mit dem Sygate:
Connects to "venom.anarchyonline.net" on port 3267 (TCP).
StartupList 1.20
http://bilder.informationsarchiv.net/Nikitas_Tools/
klicke : startuplist.exe und
kopiere die startuplist.txt ind Forum
Download: StartDreck
http://www.greyknight17.com/spy/StartDreck.zip
Unzip to its own folder and start the program:
Press 'Config'
Press 'mark all'
Uncheck the following boxes only:
System/Drivers -> NT Services
System/Drivers -> NT Kernel- and FS-drivers
Press 'OK'
Press 'Save' and select the location to save the log file (default is the same folder as the application)
http://www.techsupportforums.com/showth ... post135420
#dann scanne noch mal mit:F-Secure
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von keen am 06.01.2005, 21:08
StartupList report, 06.01.2005, 20:03:18
StartupList version: 1.34.0
Started from : C:\Dokumente und Einstellungen\stefAn\Desktop\StartupList.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\stefAn\Desktop\StartupList.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min
SunJavaUpdateSched = C:\Programme\Java\jre1.5.0\bin\jusched.exe
SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{306D6C21-C1B6-4629-986C-E59E1875B8AF}]
StubPath = "C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\WINDOWS\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Enumerating Download Program Files:
[ppctlcab]
CODEBASE = http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
OSD = C:\WINDOWS\Downloaded Program Files\OSD367.OSD
[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\avsniff.dll
CODEBASE = http://security.symantec.com/SSC/Shared ... vSniff.cab
[PPSDKActiveXScanner.MainScreen]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\PPSDKActiveXScanner.ocx
CODEBASE = http://ppupdates.ca.com/downloads/scanner/axscanner.cab
[Symantec RuFSI Utility Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\rufsi.dll
CODEBASE = http://security.symantec.com/sscv6/Shar ... /cabsa.cab
[AvxScanOnline Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\BITDEF~1.OCX
CODEBASE = http://www.bitdefender.com/scan/Msie/bitdefender.cab
[F-Secure Online Scanner]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\fscax.dll
CODEBASE = http://support.f-secure.com/ols/fscax.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab
[McFreeScan Class]
InProcServer32 = C:\WINDOWS\McAfee.com\FreeScan\mcfscan.dll
CODEBASE = http://download.mcafee.com/molbin/iss-l ... cfscan.cab
--------------------------------------------------
End of report, 5.738 bytes
Report generated in 0,125 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
StartupList version: 1.34.0
Started from : C:\Dokumente und Einstellungen\stefAn\Desktop\StartupList.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\stefAn\Desktop\StartupList.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min
SunJavaUpdateSched = C:\Programme\Java\jre1.5.0\bin\jusched.exe
SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{306D6C21-C1B6-4629-986C-E59E1875B8AF}]
StubPath = "C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\WINDOWS\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Enumerating Download Program Files:
[ppctlcab]
CODEBASE = http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
OSD = C:\WINDOWS\Downloaded Program Files\OSD367.OSD
[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\avsniff.dll
CODEBASE = http://security.symantec.com/SSC/Shared ... vSniff.cab
[PPSDKActiveXScanner.MainScreen]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\PPSDKActiveXScanner.ocx
CODEBASE = http://ppupdates.ca.com/downloads/scanner/axscanner.cab
[Symantec RuFSI Utility Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\rufsi.dll
CODEBASE = http://security.symantec.com/sscv6/Shar ... /cabsa.cab
[AvxScanOnline Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\BITDEF~1.OCX
CODEBASE = http://www.bitdefender.com/scan/Msie/bitdefender.cab
[F-Secure Online Scanner]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\fscax.dll
CODEBASE = http://support.f-secure.com/ols/fscax.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab
[McFreeScan Class]
InProcServer32 = C:\WINDOWS\McAfee.com\FreeScan\mcfscan.dll
CODEBASE = http://download.mcafee.com/molbin/iss-l ... cfscan.cab
--------------------------------------------------
End of report, 5.738 bytes
Report generated in 0,125 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
- keen
- Beiträge: 13
- Registriert: 04.01.2005, 16:19
17 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| Hilfe, hilfe mein Sound funktioniert nicht mehr Forum: Treiber-Hilfe Autor: Miri Antworten: 5 |
HILFE!!! Mein PC geht nicht mehr! HILFE!!! :?: Forum: Hardware-Hilfe Autor: biosproblemkind Antworten: 1 |
Hilfe will cs spielen aber mein steam!!!!Hilfe!!!! Forum: Spiele-Probleme Autor: Key Antworten: 7 |
Hilfe problemme mit mein pc hilfe hilfe Forum: Hardware-Hilfe Autor: snake-e Antworten: 1 |
!!! Hilfe, mein w- lan !!!! S.O.S. Forum: Hardware-Hilfe Autor: MiGael Antworten: 5 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast