security center "fake" balloon tip ..."your computer might be at risk"

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.11.2005, 22:36
Member

Beiträge: 11
#46 Hallo Sabina,
die umbenannten Dateien konnte ich euch nicht schicken, ähem ich konnte sie nicht mehr finden. Der Rest ist mir, glaube ich, gelungen.
Spyware Scan Details
Start Date: 01.11.2005 21:41:28
End Date: 01.11.2005 21:48:46
Total Time: 7 mins 18 secs

Detected spyware

WareOut Potentially Unwanted Software more information...
Details: WareOut is a potentially unwanted software program that is masquerading as a spyware and dialer remover.
Status: Deleted


Adw.CWS.Hotoffers Browser Hijacker more information...
Details: Adw.CWS.Hotoffers is a CoolWebSearch hijacker which changes the IE start page to hotoffers.com.
Status: Deleted

Infected files detected
c:\winnt\system32\popup_bl.dll
C:\WINNT\system32\Online Betting.ico

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Connection Update and HomeP KB234087
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Connection Update and HomeP KB234087 DisplayName Internet Connection Update and HomeP KB234087
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Connection Update and HomeP KB234087 UninstallString C:\WINNT\System32\guninst.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler {D56A1203-1452-EBA1-7294-EE3377770000} Interlinking Memory Support


Search ToolBar Adware more information...
Status: Deleted

Infected files detected
C:\WINNT\system32\XKZZL.DLL.ren


Worm:Win32/Gaobot.dr Worm more information...
Details: This worm also appears to create a file called bleh.exe - its purpose is currently unknown.
Status: Deleted

Infected files detected
C:\WINNT\system32\HCLEAN32.EXE.ren


PWS-Pinch Password Stealer more information...
Status: Deleted

Infected files detected
C:\WINNT\system32\rdsndin.exe.ren


Weatherbug Low Risk Adware more information...
Details: Minibug is an adware that displays ads on to your computer.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} MiniBugTransporterX Class
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} MiniBugTransporterX Class


FreshBar Toolbar more information...
Details: FreshBar is an Internet Explorer toolbar and homepage changer associated with the CoolWebSearch group of Thread.
Status: Quarantined

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}
HKEY_CLASSES_ROOT\clsid\{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{06ABAA2D-34AB-4902-A326-409BD9B9A7A5} FreshBar


ATDMT.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\casper\cookies\casper@atdmt[2].txt


Mediaplex.com Cookie more information...
Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\casper\cookies\casper@mediaplex[1].txt


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, November 01, 2005 22:31:10
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 1/11/2005
Kaspersky Anti-Virus database records: 148135
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 40124
Number of viruses found: 4
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 1466 sec

Infected Object Name - Virus Name
C:\WINNT\system32\DMVHV.EXE.ren Infected: Trojan.Win32.Small.fb
C:\WINNT\system32\MSSOSXRT.EXE.ren Infected: Trojan.Win32.Small.fb
C:\WINNT\system32\DRV2CLTR.DLL.ren Infected: Trojan-PSW.Win32.Agent.am
C:\WINNT\system32\CSWZQ.EXE.ren Infected: Trojan-Dropper.Win32.Agent.nj
C:\WINNT\system32\cisvvc.exe.ren Infected: Trojan-Clicker.Win32.Agent.db

Scan process completed.

und jetzt bin ich mal gespannt....

Gruss Eddy72
Seitenanfang Seitenende
01.11.2005, 23:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 loesche : --> mit der Killbox

C:\WINNT\system32\DMVHV.EXE.ren
C:\WINNT\system32\MSSOSXRT.EXE.ren
C:\WINNT\system32\DRV2CLTR.DLL.ren
C:\WINNT\system32\CSWZQ.EXE.ren
C:\WINNT\system32\XKZZL.DLL.ren
C:\WINNT\system32\cisvvc.exe.ren
C:\WINNT\system32\rdsndin.exe.ren

dann scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.11.2005, 13:55
Member

Beiträge: 11
#48 Hallo Sabina,
hier ist der Scan von Panda. Und wie sieht es aus;)

Incident Status Location

Adware:adware/cws No disinfected C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\Play Adult-Poker.url
Adware:adware/hotoffers No disinfected C:\WINNT\SYSTEM32\Air Tickets.ico
Spyware:spyware/wareout No disinfected C:\Dokumente und Einstellungen\Casper\Anwendungsdaten\wo.tmp
Dialer:dialer.bny No disinfected C:\WINNT\pcconfig.dat
Adware:adware program No disinfected C:\WINNT\stsheets.dat
Adware:adware/ist.istbar No disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
Dialer:dialer.bqw No disinfected HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\CONC
Spyware:spyware/fastsearchweb No disinfected Windows Registry
Adware:Adware/QuickWeb No disinfected C:\WINNT\system32\ntfsnlpa.exe.ren
Virus:Trj/Vidro.B Disinfected C:\!KillBox\DMVHV.EXE
Virus:Trj/Vidro.B Disinfected C:\!KillBox\MSSOSXRT.EXE
Virus:Trj/Agent.WG Disinfected C:\!KillBox\CSWZQ.EXE
Virus:Trj/Clicker.GM Disinfected C:\!KillBox\cisvvc.exe
Mit freundlichen Grüssen Eddy
Seitenanfang Seitenende
02.11.2005, 14:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 C:\WINNT\stsheets.dat
C:\WINNT\pcconfig.dat

(hier solltest du mal mit rechtsklick draufklicken--> mit dem Notepad oeffnen und mir den Inhalt posten.....

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

loesche:

C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\Play Adult-Poker.url
C:\WINNT\SYSTEM32\Air Tickets.ico
C:\Dokumente und Einstellungen\Casper\Anwendungsdaten\wo.tmp
C:\WINNT\pcconfig.dat
C:\WINNT\stsheets.dat
C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
C:\WINNT\system32\ntfsnlpa.exe.ren

Gehe in die Registry

Start-->ausfuehren--> regedit

loeschen:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\CONC

PC neustarten

dann scanne noch mal mit panda
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.11.2005, 17:49
Member

Beiträge: 11
#50 Hallo Sabina,
erstmal muss ich ein riesiges Dankeschön loswerden. Nicht schlecht. Diese komischen Fenster sind bisher nicht mehr aufgetaucht;). Aber irgendwas scheint trotzdem noch drauf zu sein...

Denn "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\CONC" konnte ich nicht löschen. Existiert bei mir nicht, laut Panda aber doch.Hm

[HotXXX]
Address_9/20/2004-12:24:16=213.7.174.147

und hier noch der Panda

Incident Status Location

Adware:adware/cws No disinfected C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\Online Sex Poker Rooms.url
Adware:adware/hotoffers No disinfected C:\WINNT\SYSTEM32\BlackJack.ico
Adware:adware program No disinfected C:\WINNT\stsheets.dat
Adware:adware/ist.istbar No disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
Dialer:dialer.bqw No disinfected HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\CONC
Spyware:spyware/wareout No disinfected Windows Registry
Adware:Adware/QuickWeb No disinfected C:\Recycled\Dc17.ren

Gruss Eddy72
Seitenanfang Seitenende
05.11.2005, 16:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51

Zitat

genau das stand in der

C:\WINNT\stsheets.dat
C:\WINNT\pcconfig.dat

?????????????????????????
poste es noch mal, ob es uebereinstimmt, dann loesche

C:\WINNT\stsheets.dat
C:\WINNT\pcconfig.dat
C:\Dokumente und Einstellungen\Casper\Anwendungsdaten\wo.tmp
C:\WINNT\SYSTEM32\BlackJack.ico
C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

dann scanne :mit Spybot und poste den scanreport
http://www.safer-networking.org/en/download/index.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2005, 11:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 gut, wenn du nun alles geloescht hast, was der Panda angezeigt hatte, scanne bitte noch mal mit Panda ---> zur Ueberpruefunng ;)
Ich hoffe, dass nun alles sauber bleibt.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2005, 20:26
Member

Beiträge: 11
#53 Hallo Sabina,
erst noch mal ein Dankeschön an dich;). Ich bin wieder Happy...obwohl der Panda wieder zwei alte Bekannte gefunden hat.
....

Incident Status Location

Adware:adware/hotoffers No disinfected C:\WINNT\SYSTEM32\MP3.ico
Adware:adware program No disinfected C:\WINNT\stsheets.dat
Adware:adware/ist.istbar No disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
Spyware:spyware/wareout No disinfected Windows Registry

MfG Eddy
Seitenanfang Seitenende
09.11.2005, 20:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 rechtsklick auf den Link--> Ziel speichern unter--> waehle Desktop
es wird eine wareout.reg erscheinen

http://virus-protect.org/reg/wareout.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "wareout.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

wenn du im abgesicherten Modus bist, loesche mit der Killbox:
http://virus-protect.org/killbox.html

C:\WINNT\SYSTEM32\MP3.ico
C:\WINNT\stsheets.dat
C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared

und boote wieder in den Normalmodus und scanne noch mal mit panda,.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: