AdWare.Lop -Verseuchung wegen: MessengerPlus3Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
26.10.2005, 02:03
Ehrenmitglied
Beiträge: 29434 |
||
|
||
29.10.2005, 21:47
Member
Beiträge: 47 |
#32
Hi!
War ein paar Tage weg, habe deshalb nichts geschrieben! Die Datei C:\WINDOWS\Downloaded Program Files\WinAdServX.dll ist bei mir nicht zu finden, da es den Ordner Downloaded Program Files bei mir garnet gibt... die andern beiden sind entfernt! Die Datei zum ändern der Internetstartseite existiert allerdings immernoch und wird jedesmal aktiv, wenn ich sie löschen will. Beim löschen der Cache-sachen is mir was aufgefalln was irgendwie nich richtig sein kann. Ich hab die Einträge einfach mal kopiert: C:\DOKUME~1\razor\LOKALE~1\Temp\WER13ad.dir00\firefox.exe.hdmp 102,8MB C:\DOKUME~1\razor\LOKALE~1\Temp\WER13ad.dir00\firefox.exe.mdmp 0,46MB C:\DOKUME~1\razor\LOKALE~1\Temp\WER13dd.dir00\firefox.exe.hdmp 102,8MB C:\DOKUME~1\razor\LOKALE~1\Temp\WER13dd.dir00\firefox.exe.mdmp 0,46MB C:\DOKUME~1\razor\LOKALE~1\Temp\WER2a5a.dir00\firefox.exe.hdmp 102,8MB C:\DOKUME~1\razor\LOKALE~1\Temp\WER2a5a.dir00\firefox.exe.mdmp 0,46MB Das CCleaner hatte ich allerdings vor ca 5 Tagen oder so schonmal durchlaufen es kann also irgendwie nich sein das sich da so schnell wieder 300Mb gesammelt haben, oder? Zu dem Scan von Spy Sweeper schonmal soviel: Adware found: blazefind Adware found: winad Adware found: ist yoursitebar Trojan Horse found: dp trojan Adware found: lopdotcom Adware found: powerscan Spy Cookie found: atlas dmt cookie Spy Cookie found: atwola cookie Spy Cookie found: tradedoubler cookie läuft aber noch, ich poste den Bericht wenns durch is! Gruß Razor [edit] Log: ******** 21:34: | Start of Session, Samstag, 29. Oktober 2005 | 21:34: Spy Sweeper started 21:34: Sweep initiated using definitions version 564 21:34: Starting Memory Sweep 21:36: Memory Sweep Complete, Elapsed Time: 00:02:04 21:36: Starting Registry Sweep 21:36: Found Adware: blazefind 21:36: HKLM\software\classes\winservadx.installer\ (3 subtraces) (ID = 104512) 21:36: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\downloaded program files\winservadx.dll (ID = 104542) 21:36: HKLM\software\windows servead\ (1 subtraces) (ID = 104558) 21:36: HKCR\winservadx.installer\ (3 subtraces) (ID = 104577) 21:36: Found Adware: winad 21:36: HKLM\software\classes\winadservx.installer\ (3 subtraces) (ID = 147178) 21:36: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\downloaded program files\winadservx.dll (ID = 147224) 21:36: HKCR\winadservx.installer\ (3 subtraces) (ID = 147246) 21:36: Found Adware: ist yoursitebar 21:36: HKCR\clsid\{771a1334-6b08-4a6b-aedc-cf994ba2cebe}\ (11 subtraces) (ID = 147830) 21:36: HKCR\interface\{bf06da8e-2beb-4816-9bbd-f7625246e245}\ (8 subtraces) (ID = 147834) 21:36: HKLM\software\classes\clsid\{771a1334-6b08-4a6b-aedc-cf994ba2cebe}\ (11 subtraces) (ID = 147836) 21:36: HKLM\software\classes\interface\{bf06da8e-2beb-4816-9bbd-f7625246e245}\ (8 subtraces) (ID = 147840) 21:36: HKLM\software\classes\typelib\{db447818-96b4-40df-8a55-720da496f514}\ (9 subtraces) (ID = 147844) 21:36: HKLM\software\classes\ysbactivex.installer.1\ (3 subtraces) (ID = 147848) 21:36: HKCR\typelib\{db447818-96b4-40df-8a55-720da496f514}\ (9 subtraces) (ID = 147863) 21:36: HKCR\ysbactivex.installer.1\ (3 subtraces) (ID = 147867) 21:36: HKCR\ysbactivex.installer.1\clsid\ (1 subtraces) (ID = 147868) 21:36: Found Trojan Horse: dp trojan 21:36: HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\freeverse\viagra\ (ID = 125365) 21:36: Found Adware: lopdotcom 21:36: HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\microsoft\internet explorer\new windows\allow\ || lop.com (ID = 130287) 21:36: HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\microsoft\internet explorer\new windows\allow\ || www.lop.com (ID = 130289) 21:36: Found Adware: powerscan 21:36: HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\powerscan\ (ID = 136823) 21:36: Registry Sweep Complete, Elapsed Time:00:00:14 21:36: Starting Cookie Sweep 21:36: Found Spy Cookie: atlas dmt cookie 21:36: razor@atdmt[2].txt (ID = 2253) 21:36: Found Spy Cookie: atwola cookie 21:36: razor@atwola[1].txt (ID = 2255) 21:36: Found Spy Cookie: tradedoubler cookie 21:36: razor@tradedoubler[1].txt (ID = 3575) 21:36: Cookie Sweep Complete, Elapsed Time: 00:00:02 21:36: Starting File Sweep 21:37: winservadx.dll (ID = 90478) 21:42: winadservx.dll (ID = 90459) 21:55: Found Adware: sexfiles dialers 21:55: dating.lnk (ID = 75396) 21:55: viagra.exe (ID = 59318) 22:00: File Sweep Complete, Elapsed Time: 00:24:07 22:00: Full Sweep has completed. Elapsed time 00:26:29 22:00: Traces Found: 103 ******** 21:31: | Start of Session, Samstag, 29. Oktober 2005 | 21:31: Spy Sweeper started 21:32: There is a problem reaching the server. The cause may be in your connection, or on the server. Please try again later. 21:33: Updating spyware definitions 21:33: Your spyware definitions have been updated. 21:34: | End of Session, Samstag, 29. Oktober 2005 | [/edit] Dieser Beitrag wurde am 29.10.2005 um 22:06 Uhr von razor_89 editiert.
|
|
|
||
29.10.2005, 22:55
Ehrenmitglied
Beiträge: 29434 |
#33
loesche:
Gehe in die Registry Start-->ausfuehren--> regedit bearbeiten--> suchen -->freeverse HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\freeverse<--loeschen bearbeiten--> suchen -->powerscan HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\powerscan<--loeschen loeschen: firefox.exe viagra.exe dating.lnk C:\WINDOWS\Downloaded Program Files\WinAdServX.dll C:\WINDOWS\Downloaded Program Files\winservadx.dl CCleaner (loesche alle temporaeren Dateien) http://virus-protect.org/temp.html scanne mit Counterspy http://virus-protect.org/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum) scanne online mit Kaspersky und poste hier den Scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2005, 01:13
Member
Beiträge: 47 |
#34
Spyware Scan Details
Start Date: 29.10.2005 23:17:02 End Date: 30.10.2005 00:20:02 Total Time: 1 hrs 3 mins Detected spyware No spyware were found during this scan. Counterspy findet nichts den habich allerdings auch vor n paa Tagen schon durchlaufen lassen. Mit Kaspersky das klappt noch nich so ganz habe zwar die Interneteinstellungen auf medium und habe Adminrechte bekomme aber trotzdem die Meldung: Failed to load Kaspersky On-line Scanner ActiveX control! You must have administrative rights on this computer; you also must have the IE security settings to the Medium level. was nu? ... |
|
|
||
30.10.2005, 12:19
Ehrenmitglied
Beiträge: 29434 |
#35
dann scanne mit Panda, wenn der Kaspersky nicht funktioniert und berichte
Ich hoffe, das der Scanner funktioniert. falls alles versagt: http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2005, 15:16
Member
Beiträge: 47 |
#36
Incident Status Location
Adware:adware/cws No disinfected C:\Dokumente und Einstellungen\razor\Favoriten\LIVING\Find a Degree.lnk Spyware:spyware/dyfuca No disinfected C:\Dokumente und Einstellungen\razor\Internet Optimizer Adware:adware/savenow No disinfected Windows Registry Im HijackThis finde ich übrigens immernoch den Eintrag "R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nldeagsbsrnggzluzhpkej.org/yYFbZRqvKiMjmYMWcw5n9zeV/aHtWmTlTVSe05jux0wV_j7gI/hDS/Vztko78Il2.html" und beim löschen von dem Teil erstellt es sich neu. Als Spy Sweeper durchgelaufen ist, hat der auch was davon entdeckt, was ich natürlich durch das Programm löschen wollte. Das Ergebnis war, dass ich pausenlos Meldungen von Counterspy bekomme in denen steht dass meine Startseite verändert werden soll... ich habe die Meldungen nun einfach mit jedesmal blocken markiert und nun habe ich Ruhe. Dieser Beitrag wurde am 30.10.2005 um 15:22 Uhr von razor_89 editiert.
|
|
|
||
30.10.2005, 15:40
Ehrenmitglied
Beiträge: 29434 |
#37
loesche:
C::\Dokumente und Einstellungen\razor\Favoriten\LIVING\Find a Degree.lnk C:\Dokumente und Einstellungen\razor\Internet Optimizer __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2005, 16:01
Member
Beiträge: 47 |
#38
beide Ordner samt Inhalten gelöscht!
Ich starte jetzt mal neu und schau obs den Eintrag im Logfile von Hijackthis noch gibt. [edit] Der Eintrag ist nach erneutem fixen verschwunden und scheint behoben! Das neue Logfile von HijackThis sieht folgendermaßen aus: Logfile of HijackThis v1.99.1 Scan saved at 16:05:51, on 30.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\PC-Zeit\trap.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\ICQLite\ICQLite.exe D:\Programme\Hijackthis\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe" O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098139004937 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe Ist der PC jetzt sauber? Gruß Kai Dieser Beitrag wurde am 30.10.2005 um 16:06 Uhr von razor_89 editiert.
|
|
|
||
30.10.2005, 16:17
Ehrenmitglied
Beiträge: 29434 |
||
|
||
30.10.2005, 16:37
Member
Beiträge: 47 |
||
|
||
C:\WINDOWS\Downloaded Program Files\WinAdServX.dll
C:\WINDOWS\system32\vp.dat
C:\Dokumente und Einstellungen\razor\Favoriten\fun & games\games.lnk
die temporaeren Dateien ebenfalls:
ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat
vom LOP ist nichts mehr zu sehen, schau also, ob sich das Problem mit der verstellten Spyware duch loeschen der genannten Eintraege behebt.
dann:
spysweeper (trial-Version) --> scanne und poste den scanbericht
http://www.webroot.com/consumer/products/spysweeper/index.html
__________
MfG Sabina
rund um die PC-Sicherheit