spybot und immer wieder kehrende problem |
||
---|---|---|
#0
| ||
06.07.2005, 20:32
Member
Beiträge: 1132 |
||
|
||
06.07.2005, 21:07
Member
Themenstarter Beiträge: 66 |
#17
so habe das nun fast zwanzig minuten probiert das ich die fehlermledung nicht mehr bekomme, ist aber leider nicht der fall (war wieder im abgesicherten modus und cleaner wurde auch erledigt) bekomme zum schluß halt immer nur noch folgende meldung angezeigt und da wirds ja wahrscheinlich auch dran liegen, weil immer wieder das gleiche steht
IE Temporären Internetdateien ( 2 Dateien ) 134 Bytes search completed in 22 seconds so zu deinem anderen "tool" war folgende meldung: no instances to "11Fßä.#·ºÄÖ`I" found __________ *cremo* Dieser Beitrag wurde am 06.07.2005 um 21:11 Uhr von Cremosa editiert.
|
|
|
||
06.07.2005, 22:16
Member
Beiträge: 1132 |
#18
Poste ein aktuelles HJT Log. Mal sehen ob Du was erreicht hast.
Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
07.07.2005, 17:28
Member
Themenstarter Beiträge: 66 |
#19
Logfile of HijackThis v1.99.1
Scan saved at 17:31:25, on 07.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\MANDYU~1\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/ O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26967d424b68a9bb1a23/netzip/RdxIE601_de.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe __________ *cremo* |
|
|
||
07.07.2005, 18:16
Member
Beiträge: 1132 |
#20
Das sieht schon erheblich besser aus! Das hast Du gut gemacht.
Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften) => Häkchen setzen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren Du kannst noch mit HJT fixen R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/ (Du benutzt ja, wie ich gesehen habe, den Firefox) Lade Dir herunter KillBox http://www.bleepingcomputer.com/files/killbox.php AdAware http://www.lavasoft.de/support/download/ CWShredder http://www.majorgeeks.com/download3019.html Programme updaten! Öffne die Killbox => Delete on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten c:\windows\ysyuc.dll C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll Starte den Rechner in den abgesicherten Modus und scanne mit Ad-Aware und CWShredder Gehe in den Normalmodus und scanne mit Ad-Aware, Spybot S&D und CWShredder noch einmal und fixe eventuelle erkannte Probleme. Systemwiederherstellung wieder aktivieren. Online Scan mit Panda http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm (Geht, glaube ich, nur mit dem IE). Berichte über das Ergebnis. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 07.07.2005 um 18:19 Uhr von Heron editiert.
|
|
|
||
07.07.2005, 19:11
Member
Themenstarter Beiträge: 66 |
#21
entschuldige, hat ein wenig gedauert, aber kam mit dem runterladen von cw-shredder erst nicht zurecht, weil ich es nicht gleich gefunden habe, hier nun mein bericht:
so im abgesicherten modus hatte ich bei ad-aware den smart-scan mode gewählt und folgende meldung kam 1 object recognized 1 new critical object 1 files identifie hab das anschließend "in quarantäne" gemacht --------------------------------------------------------------------------- cw shredder gab folgende meldung scan is complete! cool web search was not found on this system ---------------------------------------------------------------------------- rechner nun wieder im normal modus gestartet spybot hat media-plex angezeigt, anschließend problem gefixt ----------------------------------------------------------- ad-aware 0 critical object ---------------------------------------------------------- cw shredder hatte auch wieder keine funde so allerdings hab ich jetzt versucht über panda den scan zu machen, allerdings geht das auch nicht über den ie-explorer, soll ich dann einen normalen logfile nochmal posten? bei panda zeigt er mir an mir würde eine gewisse date ifehlen die ich darüber dann alden kann, bekomme dann aber von "anti-vir" eine fehlermeldung das diese datei den virus w95/bumble enthält und habe es dann sofort beendet und den zugriff der datei verweigert __________ *cremo* Dieser Beitrag wurde am 07.07.2005 um 19:18 Uhr von Cremosa editiert.
|
|
|
||
07.07.2005, 19:32
Member
Beiträge: 1132 |
#22
Du kannst den Panda-Scan ruhig machen. Ignoriere die Virenmeldung von Antivir (ist falscher Alarm)
Hast Du die angegebenen Dateien mit der Killbox gelöscht? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 07.07.2005 um 19:41 Uhr von Heron editiert.
|
|
|
||
07.07.2005, 19:39
Member
Themenstarter Beiträge: 66 |
#23
diesmal gings auch ohne fehlermeldung, komisch
*click on the item to scan* hab ich "all my computer" genommen und es kam folgendes ergebnis: scan finished no viruses have been found ! und jetzt? heißt das es scheint alles bereinigt zu sein? weil mediaplex wurde ja ganz vorhin nochmal angezeigt oder kann es sein das es jetzt komplett weg ist? __________ *cremo* |
|
|
||
07.07.2005, 19:45
Member
Beiträge: 1132 |
#24
Das ging aber flott! Wie lange hat der Scan denn gedauert? Bin skeptisch, ob das alles richtig gelaufen ist.
Ich würde Dir empfehlen zur Sicherheit Dein System noch mit eScan zu überprüfen Zitat eScan ErkennungstoolDas Updaten und Scannen dauert ein Weilchen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
07.07.2005, 19:49
Member
Themenstarter Beiträge: 66 |
#25
ich war auch sehr verwundert, das es sooo schnell ging das waren nur ganz wenige minuten noch nichteinmal, bei anderen sachen dauert das ja eigentlich auch länger, werd das was du noch gepostet hast, machen udn dann berichten, möchte an dieser stelle aber trotzdem schonmal vielen dank sagen für die ganze viele hilfe, zeit und mühe, die du mit mir investiert hast.....DANKE !!!!! aber meld mich sobald ich das gemacht habe
sooooooo das ganze hat jetzt circa ,5 stunden gedauert und total virus found 13 und total erros 26..... eine meldung kam ganz am anfang MicroWorld AntiVirus & Spyware Toolkit Utility Spyware/Adware Detected!!! you will need to buy eScan or this tool in order to eliminate this spyware/adware from your system. click on buy this product button to go to our web-store hab das einfach bestätig und dann durchlaufen lassen und hier die gewünschten posts : infected: ======= Thu Jul 07 20:10:52 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken. Thu Jul 07 20:10:52 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken. Thu Jul 07 20:11:03 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Thu Jul 07 20:26:38 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Thu Jul 07 21:06:36 2005 => File C:\WINDOWS\msagent\system\zipzip.zab infected by "Email-Worm.Win32.Sober.l" Virus! Action Taken: No Action Taken. Thu Jul 07 21:25:22 2005 => Total Disinfected Files: 0 tagged: ======= Thu Jul 07 20:23:49 2005 => File C:\MAGIX\mp3_maker_centurion_2005\uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Jul 07 20:28:17 2005 => File C:\Programme\ICQLite\Unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Jul 07 20:33:29 2005 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Jul 07 20:38:18 2005 => File C:\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Jul 07 20:49:15 2005 => File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virusownloader.Win32.ImLoader.b. No Action Taken. Thu Jul 07 21:18:42 2005 => File C:\WINDOWS\twain_32\ovt\usb\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Jul 07 21:23:00 2005 => File D:\Tools\AOL 9.0\AOLSetup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. __________ *cremo* Dieser Beitrag wurde am 07.07.2005 um 22:00 Uhr von Cremosa editiert.
|
|
|
||
07.07.2005, 21:40
Member
Beiträge: 1132 |
||
|
||
07.07.2005, 22:01
Member
Themenstarter Beiträge: 66 |
#27
ist in dem beitrag vorher bereits geschehen, hatte nur nen moment gedauert bis ich alles rausgesucht hatte, ich hoffe das ich alles richtig gemacht habe
__________ *cremo* |
|
|
||
08.07.2005, 09:13
Member
Beiträge: 1132 |
#28
Lösche mit der Killbox
C:\WINDOWS\msagent\system\zipzip.zab Hattest Du mal AOL installiert? Überprüfe waol.exe (wahrscheinlich in c:\windows\system32) hier Jotti's Malware Scan http://virusscan.jotti.org/ virustotal http://www.virustotal.com/flash/index_en.html und poste das Ergebnis Hast Du BearShare wissentlich installiert? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 08.07.2005 um 09:17 Uhr von Heron editiert.
|
|
|
||
08.07.2005, 17:28
Member
Themenstarter Beiträge: 66 |
#29
hallo heron,
habe die datei mit killbox gelöscht, konnte allerdings diese datei waol.exe in dem system-ordner nicht finden. habe den spyware doctor runtergeladen und er hat folgende meldungen angezeigt entdeckte infizierungen : 43 bevor ich den scan mache, wie lösche ich diese datein vom spydoctor, weil da steht ich muss mich registrieren stimmt das? oder soll ich die meldungen einfach mal posten oder bringt das nichts? hab das erstmal stehen lassen weil ich nicht weiß wie ich dieses nun bereinige ohne mich zu registrieren wenn es denn nicht notwendig ist. --------------------------------------------------------------------------- hatte nicht aol auf meinem pc, nicht einmal ansatzweise was damit zu tun gehabt, lag es daran das ich mal diesen dso-exploit auf dem pc hatte? auch bearshare hatte ich selbst gar nicht geladen aber dennoch wohl wissentlich muss ich sagen, aber wollt das löschen, da mir damals den pc jemand eingerichtet hat, ich dieses programm aber irgendwie nicht brauchte, habe es aber selbst nicht auf meinen pc geladen __________ *cremo* |
|
|
||
08.07.2005, 18:18
Member
Beiträge: 1132 |
#30
Zu Spyware Doctor kann ich Dir leider nichts sagen, da ich das Programm selbst nie benutzt habe. Aber, vielleicht weiss jemand anderer besser Bescheid und kann Dir einen Tipp geben.
Suche die waol.exe mit dem WinExplorer (Suchfunktion). Durchsuche das gesamte Laufwerk C:. Wenn Du sie gefunden hast, dann überprüfe sie bei den o.a. Links. Deinstalliere BearShare (versuche es zumindestens) über Start => Einstellungen => Systemsteuerung => Software. Gehe zu dem Programmeintrag (falls vorhanden) und drücke Ändern/Entfernen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
Und poste auch die Sache mit dem Registry Search Tool (s.o.). Hatte ich noch nachträglich eingefügt.
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch