Bekomme PopUp nicht weg

#46 --------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sun Aug 21 23:01:19 2005 => Offending file found: C:\WINDOWS\iun6002.exe
2: Sun Aug 21 23:01:19 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
3: Sun Aug 21 23:10:03 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\hide stop.exe infected by "Trojan-Downloader.Win32.Swizzor.ds" Virus! Action Taken: No Action Taken.
4: Sun Aug 21 23:10:04 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\readmecake.exe infected by "Trojan-Downloader.Win32.Swizzor.ds" Virus! Action Taken: No Action Taken.
5: Sun Aug 21 23:10:04 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\winface.exe infected by "Trojan-Downloader.Win32.Swizzor.de" Virus! Action Taken: No Action Taken.
6: Sun Aug 21 23:11:01 2005 => File C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\bhvqqdpw.exe infected by "Trojan-Downloader.Win32.Swizzor.ds" Virus! Action Taken: No Action Taken.
7: Sun Aug 21 23:11:02 2005 => File C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\dekehiuu.exe infected by "Trojan-Downloader.Win32.Swizzor.de" Virus! Action Taken: No Action Taken.
8: Sun Aug 21 23:11:02 2005 => File C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\eqxluvty.exe infected by "Trojan-Downloader.Win32.Swizzor.dr" Virus! Action Taken: No Action Taken.
9: Sun Aug 21 23:11:02 2005 => File C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\lheymkyk.exe infected by "Trojan-Downloader.Win32.Swizzor.ds" Virus! Action Taken: No Action Taken.
10: Sun Aug 21 23:11:03 2005 => File C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\mrbdrrpt.exe infected by "Trojan-Downloader.Win32.Swizzor.ds" Virus! Action Taken: No Action Taken.
11: Sun Aug 21 23:11:03 2005 => File C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\wwknxcpz.exe infected by "Trojan-Downloader.Win32.Swizzor.dh" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Sun Aug 21 23:10:03 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\File Lite.exe tagged as "not-a-virus:AdWare.Lop.z". Action Taken: No Action Taken.
2: Sun Aug 21 23:11:01 2005 => File C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\aaqspxew.exe tagged as "not-a-virus:AdWare.Lop.z". Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Sun Aug 21 22:59:57 2005 => ERROR!!! Invalid Entry = C:\DOKUME~1\Thorsten\ANWEND~1\AXISBE~1\ClockOption.exe (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{D981B03A-9E94-D676-C584-1E1F9EDAD0E0}). No Action Taken.
2: Sun Aug 21 23:00:24 2005 => ERROR!!! Invalid Entry creative five dead poke = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\keepmags.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
3: Sun Aug 21 23:00:24 2005 => ERROR!!! Invalid Entry OBJ HTM = C:\DOKUME~1\Thorsten\ANWEND~1\MESSSE~1\windowcashdart.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
4: Sun Aug 21 23:01:39 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.
5: Sun Aug 21 23:01:40 2005 => Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
6: Sun Aug 21 23:01:42 2005 => Entry "HKCR\CLSID\{D981B03A-9E94-D676-C584-1E1F9EDAD0E0}" refers to invalid object "C:\DOKUME~1\Thorsten\ANWEND~1\AXISBE~1\ClockOption.exe". Action Taken: No Action Taken.
7: Sun Aug 21 23:01:46 2005 => Entry "HKCR\SharePoint.WebPartPage.Document.1.0" refers to invalid object "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\hide stop.exe => Trojan-Downloader.Win32.Swizzor.ds
2: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\readmecake.exe => Trojan-Downloader.Win32.Swizzor.ds
3: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\winface.exe => Trojan-Downloader.Win32.Swizzor.de
4: C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\bhvqqdpw.exe => Trojan-Downloader.Win32.Swizzor.ds
5: C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\dekehiuu.exe => Trojan-Downloader.Win32.Swizzor.de
6: C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\eqxluvty.exe => Trojan-Downloader.Win32.Swizzor.dr
7: C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\lheymkyk.exe => Trojan-Downloader.Win32.Swizzor.ds
8: C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\mrbdrrpt.exe => Trojan-Downloader.Win32.Swizzor.ds
9: C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\wwknxcpz.exe => Trojan-Downloader.Win32.Swizzor.dh

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Mon Aug 22 00:38:28 2005 => Total Objects Scanned: 118851
Mon Aug 22 00:38:28 2005 => Total Virus(es) Found: 13
Mon Aug 22 00:38:28 2005 => Total Errors: 7
Mon Aug 22 00:38:29 2005 => Virus Database Date: 2005/08/21
Mon Aug 22 00:38:29 2005 => Virus Database Count: 144932
Mon Aug 22 00:38:33 2005 => Total Objects Scanned: 118851
Mon Aug 22 00:38:33 2005 => Total Virus(es) Found: 13
Mon Aug 22 00:38:33 2005 => Total Errors: 7

#47 PC neustarten
-------------------------------------------------------------------------------
C:\WINDOWS\iun6002.exe <--loeschen

im abgesicherten Modus loeschen (auch die Unterordner)

C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\AXISBE~1\ClockOption.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\File Lite.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\keepmags.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\hide stop.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\readmecake.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\winface.exe

C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\bhvqqdpw.exe
C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\dekehiuu.exe
C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\eqxluvty.exe
C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\lheymkyk.exe
C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\mrbdrrpt.exe
C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\wwknxcpz.exe
C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\windowcashdart.exe
C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\aaqspxew.exe

C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\messse~1\mp3upinfo.exe
----------------------------------------------------------------------------------

scanne noch mal mit escan + berichte (und loesche wieder die temp-Dateien
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Also doch eine Lop infection
__________
MfG Argus

#49 ja, eine Lop-Infektion, das wusste ich, aber dann haben wir uns irgendwie verzettelt mit anderen Sachen und ich hab mich erst jetzt an den escan erinnert....
__________
MfG Sabina

rund um die PC-Sicherheit

#50

Zitat

Arnold postete
Also doch eine Lop infection

Und das heißt ?

#51

Zitat

netzjunkie postete

Zitat

Arnold postete
Also doch eine Lop infection

Und das heißt ?

das heisst, das du ordentlich alles loeschen musst, was ich geschrieben habe + der exe in den temp-Dateien (ueberpruefe, wie sie jetzt heissen...)
__________
MfG Sabina

rund um die PC-Sicherheit

#52 Scanne gerade mit escan
Im Temp-Ordner befindet sich , zumindest vor dem Scan im Moment, keine exe

er zeigt beim scannen wieder einen Fehler an , den ich vorhin auch schonmal hatte
Ein Adware/Spyware namens abxtoolbar


Kompletter Scan folgt später

#53 hast du alles geloescht, was ich geschrieben habe ?? Du musst auch alle Unterordner loeschen und die Datei in Windows. (C:\WINDOWS\iun6002.exe)
Keine vergessen

Der escan hat nicht alle aufgelistet, deshalb habe ich noch einmal alles zusammengesucht....
Es duerfte nun komplett sein
__________
MfG Sabina

rund um die PC-Sicherheit

#54 C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird\
ist nun leer

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\
hat nur noch 1 Systemdatei im Ordner

C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\AXISBE~1\ClockOption.exe
Habe ich nicht mehr gefunden, selbst der Ordner war nicht mehr da. War wohl schon gelöscht

C:\WINDOWS\iun6002.exe
Ist gelöscht

Im Temp-Ordner befindne sich nur noch 2 .tmp Dateien und ein Ordner Acrobat Distiller 7

er zeigt beim scannen wieder einen Fehler an , den ich vorhin auch schonmal hatte
Ein Adware/Spyware namens abxtoolbar

#55 loesche im abgesicherte Modus...es muss alles weg

Zitat

Sabina postete
PC neustarten
-------------------------------------------------------------------------------

im abgesicherten Modus loeschen (auch die Unterordner)

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five

C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MessSeekBird

C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\messse~1\mp3upinfo.exe
----------------------------------------------------------------------------------

scanne noch mal mit escan + berichte (und loesche wieder die temp-Dateien

__________
MfG Sabina

rund um die PC-Sicherheit

#56 Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

Mit dank an Sabina fürs übersetzen
__________
MfG Argus

#57

Zitat

Sabina postete
loesche im abgesicherte Modus...es muss alles weg

Habe ich doch.
Bericht siehe oben - Scan läuft zur Zeit

#58

Zitat

Arnold postete
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

Mit dank an Sabina fürs übersetzen

Ist da ein Fehler drin ?
Im Dos-Fenster bekomme ich einen Fehler, LOg sieht so aus

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\WINDOWS\tasks

21.08.2005 15:49 <DIR> .
21.08.2005 15:49 <DIR> ..
22.08.2005 01:00 266 AE7357DE9184C886.job
02.04.2003 14:00 65 desktop.ini
03.06.2005 20:00 574 Norton AntiVirus - Meinen Computer pr�fen - Thorsten.job
22.08.2005 00:52 6 SA.DAT
21.08.2005 23:40 354 Symantec NetDetect.job
5 Datei(en) 1.265 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Thorsten\Desktop

#59

Zitat

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\
hat nur noch 1 Systemdatei im Ordner

wieso ????????
Wenn noch eine Datei drin ist....
der komplette Ordner gram sign creative five unter Anwendungsdateien muss weg !!!!!!!!!
+
Anwendungsdaten\messse~1\mp3upinfo.exe

Deinstalliere:
TopDownloads Network (C:\Programme\FolderAccess\LckFldMenu.dll" ["Topdownloads Network"] )
+
Messenger 3 Plus!, falls du ihn hast.
__________
MfG Sabina

rund um die PC-Sicherheit

#60

Zitat

Sabina postete
Deinstalliere:
TopDownloads Network (C:\Programme\FolderAccess\LckFldMenu.dll" ["Topdownloads Network"] )
+
Messenger 3 Plus!, falls du ihn hast.

OK, alle Ordner sind beseitigt
Folder Access, habe ich desinatlliert - brauche das Proggi auch nicht mehr
Messenger 3 Plus habe ich nicht - habe Trillian