Home » Viren, Trojaner & Malware Forum » TR/Qhost.QR und TR/Click.526 loswerden » Themenansicht

TR/Qhost.QR und TR/Click.526 loswerden
#0
16.09.2005, 00:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo@mrnobody.ib

CCleaner--> loesche alle *temp-Datein--> ales anhaken
http://virus-protect.org/temp.html

Datfindbat (mit pfadangabe alles posten)
http://virus-protect.org/datfindbat.html

Lade: rkfiles.zip
http://skads.org/special/rkfiles.zip
- entpacken
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
- Doppelklick(Ausfuehren)--rkfiles.bat -- warten bis sich das DOS-Fenster schliesst--- poste C:\log.txt

Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.09.2005, 21:43
mrnobody.ib
...neu hier

Beiträge: 2
#17 Hallo,
danke für die Antwort, aber ich was so genervt und verärgert am Abend,
dass ich einfach format C:\ gemacht habe und einfach Windows XP neuaufgespielt habe.. Ist zwar viel Arbeit mit den ganzen SPs und Aktivieren usw.. aber so ists besser!
Seitenanfang Seitenende
19.09.2005, 20:09
Nodder
...neu hier

Beiträge: 1
#18 So, langsam werden mir diese Trojaner auch über. Ich dachte ja, irgendwann kommt nen Update für den AntiVir oder Spybot, damit ich die Kollegen loswerden, aber nüscht is.

Ich hoffe mir kann einer sagen, wie die Mistdinger wieder loswerde.

Auf die oben beschriebene Weise, habe ich auch alle möglichen Dateien erstellt, aber die sind mitunter 2000 Zeilen lang, die mag ich hier nicht wirklich posten.

Ich hab die mal online gelegt:

Datfindbat:
sys.txt
system.txt
system32.txt
systemtemp.txt

rkfiles:
log.txt

Silentrunner:
silent.txt

Vielen Dank schonmal im Voraus.

Nodder
Seitenanfang Seitenende
19.09.2005, 23:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Hallo@Nodder

Gehe in die Registry

Start-->Ausfuehren--> regedit

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

{1E4A05D5-0AC9-A03A-3ED3-E79813997408}" = "srbho" <--loeschen
{CLSID}\InProcServer32\(Default) = "___.dll"

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"___" = "StatusCheck.exe" <--loeschen

starte neu

deinstalliere
Wareout
UnSpyPC

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\dmudg.exe
C:\WINDOWS\system32\hwiper.exe
C:\WINDOWS\system32\ntfsnlpa.exe
C:\Programme\WareOut\WareOut.exe
C:\Programme\WareOut
C:\Programme\UnSpyPC\UnSpyPC.exe
C:\Programme\UnSpyPC\
C:\WINDOWS\balloon.wav
C:\WINDOWS\rdt.ini
C:\WINDOWS\system32\hclean32.exe
C:\WINDOWS\system32\logo_big.exe
C:\WINDOWS\system32\csdrl.exe

PC neustarten

suche und loeschen (am besten im abgesicherten modus)
LOPTCON.exe
Testimonials.exe
StatusCheck.exe
jopplerg.exe
stuffmon.exe
C:\Programme\WareOut
C:\Programme\UnSpyPC

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: posten, bitte

scanne mit Kaspersky und poste den Scanreport
http://virus-protect.org/onlinescan.html

dann poste das neue log von Silentrunner
+
HijackThis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 13:10
I Kim I
Member

Beiträge: 15
#20 hi erstmal bin neu hier und hab auch das problem mit TR/click.526.
hab nicht so alles ganz kapiert(auch in den anderen foren dazu nicht) und deswegen hoffe ich hier kann mir wer helfen den virus loszuwerden. also hijack-this hab ich gedownloaded(http://virus-protect.org/hjtkurz.html) hab dann das ersten auch noch kapiert aber bin dann gleich bei "mit dem HijackThis löschen ("fixen")" hängen geblieben.das liegt daran das ich nicht weiß was die mit "häckchen" meinen. so abe hiermal kurz mein log:

Logfile of HijackThis v1.99.1
Scan saved at 12:55:28, on 28.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\netdde.exe
C:\windows\System32\Ati2evxx.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\windows\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\windows\System32\alg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\STOPzilla!\SZServer.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\windows\Explorer.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPROV.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.gamona.de/forum/
R3 - URLSearchHook: (no name) - {623F0150-5802-8153-6487-653F58FADD01} - Testimonials.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [progmen] TorontoMail.exe
O4 - HKLM\..\Run: [MsNetHelper] runload32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe"
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Kargo] SysEntry.exe
O4 - HKCU\..\Run: [34763] backd.exe
O4 - HKCU\..\Run: [xwiz] driver64.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [desktop] C:\windows\system32\dpodgroup.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094993622062
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - http://www.180searchassistant.com/180saax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B526C970-4995-474A-930B-589FBCA83694}: NameServer = 85.255.116.61,85.255.112.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2273963-C52F-4EA2-884A-CA6F14E750AC}: NameServer = 85.255.116.61,85.255.112.204
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

ich hoffe da kann mir auch wer helfen.
danke schonmal im voraus

mfg kim

edit: achso und ich bin eher die kategorie "noob" also wärs nett wenn ihrs schritt für schritt machen könntet
__________
Ich will kein "Compi-Noob" mehr sein, also wenn wer z.B. nen gutes Buch oder sowas weiß, wärs nett wenn ihr mir's postet, mailed(twageto@web.de).
mfg Kim
Seitenanfang Seitenende
28.01.2006, 15:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 I Kim I

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 16:20
I Kim I
Member

Beiträge: 15
#22 Thx aber des klappt net wenn ich den cleaner gedownloaded habe und dann ausführen mache kommt nen error(Incorrect size:c:\dokumente und einstellungen\stefan_2\desktop\cleanup40.exe.Acutal size is 91222bytes, but it should be 318775bytes,Download the setup again.) habs dann nochmal gedownloaded aber selbe problem.

mfg stefan
__________
Ich will kein "Compi-Noob" mehr sein, also wenn wer z.B. nen gutes Buch oder sowas weiß, wärs nett wenn ihr mir's postet, mailed(twageto@web.de).
mfg Kim
Seitenanfang Seitenende
28.01.2006, 17:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 18:20
I Kim I
Member

Beiträge: 15
#24 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F461-9F10

Verzeichnis von C:\WINDOWS\system32

28.01.2006 16:28 3.580 d3d9caps.dat
28.01.2006 16:08 1.002 vsconfig.xml
28.01.2006 13:51 130.096 FNTCACHE.DAT
28.01.2006 13:38 4.212 zllictbl.dat
27.01.2006 17:07 4.984 close.bmp
27.01.2006 17:07 19.712 insurance.bmp
27.01.2006 17:07 11.772 spyware.bmp
27.01.2006 17:07 21.224 xxx.bmp
27.01.2006 17:07 21.872 pharmacy.bmp
27.01.2006 17:07 21.872 dating.bmp
27.01.2006 17:07 23.480 gambling.bmp
27.01.2006 17:07 387 idesk.conf
26.01.2006 14:10 109.568 dpodgroup.exe
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 19:46 2.836.320 MRT.exe
03.01.2006 19:23 2.206 wpa.dbl
13.12.2005 14:34 16.832 amcompat.tlb
13.12.2005 14:34 23.392 nscompat.tlb
08.11.2005 17:16 705 dgprpsetup.exe
08.11.2005 17:15 51.200 csyxu.exe
08.11.2005 17:15 51.200 csqnn.exe
08.11.2005 17:15 51.200 csqaf.exe
08.11.2005 17:15 51.200 cspkn.exe
08.11.2005 17:15 51.200 csoov.exe
08.11.2005 17:15 51.200 csoan.exe
08.11.2005 17:15 51.200 csnrf.exe
08.11.2005 17:15 51.200 cssqq.exe
08.11.2005 17:15 51.200 csncn.exe
08.11.2005 17:15 51.200 csjva.exe
08.11.2005 17:15 51.200 csimi.exe
08.11.2005 17:15 51.200 csfth.exe
08.11.2005 17:15 51.200 csdtp.exe
08.11.2005 17:15 51.200 cszwk.exe
08.11.2005 17:15 51.200 cscyf.exe
08.11.2005 17:15 51.200 cswsk.exe
08.11.2005 17:15 51.200 csngu.exe
08.11.2005 17:15 51.200 csxrd.exe
08.11.2005 17:15 51.200 csrsh.exe
is das richtig?

k und hier die log-datei:

01/28/06 18:12:46 [Info]: BlackLight Engine 1.0.30 initialized
01/28/06 18:12:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/28/06 18:12:46 [Note]: 7019 4
01/28/06 18:12:46 [Note]: 7005 0
01/28/06 18:12:48 [Note]: 7006 0
01/28/06 18:12:48 [Note]: 7011 1180
01/28/06 18:12:49 [Note]: FSRAW library version 1.7.1014
01/28/06 18:13:16 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
01/28/06 18:13:16 [Note]: 10002 1
01/28/06 18:13:19 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
01/28/06 18:13:19 [Note]: 10002 1
01/28/06 18:13:19 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
01/28/06 18:13:19 [Note]: 10002 1
01/28/06 18:13:19 [Info]: Hidden file: C:\WINDOWS\system32\filesaver32.exe
01/28/06 18:13:19 [Note]: 10002 1
01/28/06 18:13:25 [Info]: Hidden file: C:\WINDOWS\system32\csrhc.exe
01/28/06 18:13:25 [Note]: 7002 32
01/28/06 18:13:25 [Note]: 7003 1
01/28/06 18:13:25 [Note]: 10002 1
01/28/06 18:15:04 [Note]: 7007 0


mfg stefan
__________
Ich will kein "Compi-Noob" mehr sein, also wenn wer z.B. nen gutes Buch oder sowas weiß, wärs nett wenn ihr mir's postet, mailed(twageto@web.de).
mfg Kim
Seitenanfang Seitenende
28.01.2006, 18:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 es sind 4 !!!!!!!! Textdateien in datfindbat ;)

poste alle 4...bis August (vom Datum her)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 18:52
I Kim I
Member

Beiträge: 15
#26 hmm probier ichs nochmal: also 1bis august:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F461-9F10

Verzeichnis von C:\WINDOWS\system32

28.01.2006 16:28 3.580 d3d9caps.dat
28.01.2006 16:08 1.002 vsconfig.xml
28.01.2006 13:51 130.096 FNTCACHE.DAT
28.01.2006 13:38 4.212 zllictbl.dat
27.01.2006 17:07 4.984 close.bmp
27.01.2006 17:07 19.712 insurance.bmp
27.01.2006 17:07 11.772 spyware.bmp
27.01.2006 17:07 21.224 xxx.bmp
27.01.2006 17:07 21.872 pharmacy.bmp
27.01.2006 17:07 21.872 dating.bmp
27.01.2006 17:07 23.480 gambling.bmp
27.01.2006 17:07 387 idesk.conf
26.01.2006 14:10 109.568 dpodgroup.exe
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 19:46 2.836.320 MRT.exe
03.01.2006 19:23 2.206 wpa.dbl
13.12.2005 14:34 16.832 amcompat.tlb
13.12.2005 14:34 23.392 nscompat.tlb
08.11.2005 17:16 705 dgprpsetup.exe
08.11.2005 17:15 51.200 csyxu.exe
08.11.2005 17:15 51.200 csqnn.exe
08.11.2005 17:15 51.200 csqaf.exe
08.11.2005 17:15 51.200 cspkn.exe
08.11.2005 17:15 51.200 csoov.exe
08.11.2005 17:15 51.200 csoan.exe
08.11.2005 17:15 51.200 csnrf.exe
08.11.2005 17:15 51.200 cssqq.exe
08.11.2005 17:15 51.200 csncn.exe
08.11.2005 17:15 51.200 csjva.exe
08.11.2005 17:15 51.200 csimi.exe
08.11.2005 17:15 51.200 csfth.exe
08.11.2005 17:15 51.200 csdtp.exe
08.11.2005 17:15 51.200 cszwk.exe
08.11.2005 17:15 51.200 cscyf.exe
08.11.2005 17:15 51.200 cswsk.exe
08.11.2005 17:15 51.200 csngu.exe
08.11.2005 17:15 51.200 csxrd.exe
08.11.2005 17:15 51.200 csrsh.exe
08.11.2005 17:15 51.200 csdhx.exe
30.10.2005 07:19 40.128 perfc009.dat
30.10.2005 07:19 311.740 perfh009.dat
30.10.2005 07:19 316.924 perfh007.dat
30.10.2005 07:19 48.354 perfc007.dat
30.10.2005 07:19 723.744 PerfStringBackup.INI
17.09.2005 10:15 2.560 intmonp.exe
16.09.2005 11:58 1.389 ole32vbs.exe
16.09.2005 11:58 4.286 ot.ico
16.09.2005 11:58 4.286 ts.ico
15.09.2005 20:17 53 config.txt
15.09.2005 20:16 4.608 hhk.dll
15.09.2005 20:11 766 spyware.ico
15.09.2005 20:11 4.286 spam.ico
15.09.2005 20:11 2.238 network.ico
15.09.2005 20:11 2.238 Date.ico
11.08.2005 08:04 160.665 netut80ex.vxd
11.08.2005 08:04 1.602.852 mac80ex.idf
11.08.2005 07:04 8.192 vx0.nls
11.08.2005 07:04 8.192 vx1.nls
11.08.2005 07:04 8.192 vx1x.nls
10.08.2005 15:51 114.688 mqexdlm.srg

Ich bezweifel zwar das das gebraucht wird aber kommt auf jedenfall wenn ich nach dem ausführen öffne:

cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls pause cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls pause cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls pause cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit

dann ist hier nochwas:
01/28/06 18:18:12 [Info]: BlackLight Engine 1.0.30 initialized
01/28/06 18:18:12 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/28/06 18:18:12 [Note]: 7019 4
01/28/06 18:18:12 [Note]: 7005 0
01/28/06 18:18:14 [Note]: 7006 0
01/28/06 18:18:14 [Note]: 7011 1180
01/28/06 18:18:14 [Note]: FSRAW library version 1.7.1014
01/28/06 18:18:43 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
01/28/06 18:18:43 [Note]: 10002 1
01/28/06 18:18:46 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
01/28/06 18:18:46 [Note]: 10002 1
01/28/06 18:18:46 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
01/28/06 18:18:46 [Note]: 10002 1
01/28/06 18:18:46 [Info]: Hidden file: C:\WINDOWS\system32\filesaver32.exe
01/28/06 18:18:46 [Note]: 10002 1
01/28/06 18:18:52 [Info]: Hidden file: C:\WINDOWS\system32\csrhc.exe
01/28/06 18:18:52 [Note]: 7002 32
01/28/06 18:18:52 [Note]: 7003 1
01/28/06 18:18:52 [Note]: 10002 1
01/28/06 18:19:11 [Note]: 7007 0

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F461-9F10

Verzeichnis von C:\DOKUME~1\Stefan_2\LOKALE~1\Temp

28.01.2006 18:36 54.272 ginstall.dll
28.01.2006 13:38 32.768 ~DFE234.tmp
23.01.2006 20:29 240 1F1205F7.TMP
04.09.2001 22:03 168.448 Set202.tmp
4 Datei(en) 255.728 Bytes
0 Verzeichnis(se), 47.261.835.264 Bytes fre


alles was ich geunden habe ich hoffe das is richtig wen net sry bin halt noob.
mfg kim
__________
Ich will kein "Compi-Noob" mehr sein, also wenn wer z.B. nen gutes Buch oder sowas weiß, wärs nett wenn ihr mir's postet, mailed(twageto@web.de).
mfg Kim
Seitenanfang Seitenende
28.01.2006, 19:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\

diese 2 Logs brauche ich noch

lade, wie du ja schon gemacht hast, die datfindbat als zip-Datei ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 20:30
I Kim I
Member

Beiträge: 15
#28 Ich glaub jetzt hab ichs^^

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F461-9F10

Verzeichnis von C:\WINDOWS

28.01.2006 20:17 0 0.log
28.01.2006 20:16 708.896 WindowsUpdate.log
28.01.2006 20:15 2.048 bootstat.dat
28.01.2006 16:37 6.069 KB899587.log
28.01.2006 16:36 6.045 KB896422.log
28.01.2006 16:36 6.101 KB885250.log
28.01.2006 16:35 5.781 KB901017.log
28.01.2006 16:35 5.673 KB899591.log
28.01.2006 16:35 5.651 KB896424.log
28.01.2006 16:35 5.476 KB893756.log
28.01.2006 16:35 5.527 KB888113.log
28.01.2006 16:34 5.752 KB887742.log
28.01.2006 16:34 5.271 KB887472.log
28.01.2006 16:33 5.156 KB896358.log
28.01.2006 16:33 5.379 KB905915.log
28.01.2006 16:29 4.962 KB891781.log
28.01.2006 16:29 4.847 KB902400.log
28.01.2006 16:28 4.697 KB893066.log
28.01.2006 16:16 4.660 KB890046.log
28.01.2006 16:15 4.482 KB899589.log
28.01.2006 16:15 4.442 KB905414.log
28.01.2006 16:14 4.292 KB901214.log
28.01.2006 16:14 4.273 KB888302.log
28.01.2006 16:12 4.110 KB900725.log
28.01.2006 16:12 3.990 KB912919.log
28.01.2006 16:11 3.895 KB904706.log
28.01.2006 16:10 3.791 KB905749.log
28.01.2006 16:10 3.747 KB896428.log
28.01.2006 16:09 3.604 KB894391.log
28.01.2006 16:09 4.084 KB908519.log
28.01.2006 14:39 3.790 KB890859.log
28.01.2006 14:29 4.410 ODBC.INI
28.01.2006 14:17 3.314 KB896423.log
28.01.2006 14:12 79.248 comsetup.log
28.01.2006 14:12 48.437 ntdtcsetup.log
28.01.2006 14:12 276.447 iis6.log
28.01.2006 14:12 1.374 imsins.log
28.01.2006 14:12 9.954 ocmsn.log
28.01.2006 14:12 9.486 tabletoc.log
28.01.2006 14:12 104.480 tsoc.log
28.01.2006 14:12 5.916 KB893803v2.log
28.01.2006 14:12 9.276 medctroc.Log
28.01.2006 14:12 10.998 msgsocm.log
28.01.2006 14:12 34.834 netfxocm.log
28.01.2006 14:12 123.080 ocgen.log
28.01.2006 14:12 198.115 FaxSetup.log
28.01.2006 14:12 72.376 msmqinst.log
28.01.2006 14:12 147.636 setupapi.log
28.01.2006 14:12 1.374 imsins.BAK
28.01.2006 14:12 6.922 KB898461.log
28.01.2006 13:50 216 wiadebug.log
28.01.2006 13:37 2.890 OEWABLog.txt
28.01.2006 13:37 137.392 wmsetup.log
28.01.2006 13:33 50 wiaservc.log
26.01.2006 14:29 135 NeroDigital.ini
22.01.2006 19:55 323 system.ini
22.01.2006 18:48 378 wmsetup10.log
23.12.2005 14:01 9.840 EventSystem.log
13.12.2005 14:33 316.640 WMSysPr9.prx
17.11.2005 19:09 63 mdm.ini
11.11.2005 14:18 1.976 DirectX.log
18.09.2005 13:31 902 win.ini
15.09.2005 20:11 1.640 sites.ini
05.09.2005 15:23 583 KLETT.INI
05.09.2005 15:12 4.429 ODBCINST.INI
03.07.2005 11:45 368 Clony2.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F461-9F10

Verzeichnis von C:\

28.01.2006 20:29 0 sys.txt
28.01.2006 20:28 10.252 system.txt
28.01.2006 20:27 443 systemtemp.txt
28.01.2006 20:27 104.369 system32.txt
28.01.2006 20:15 805.306.368 pagefile.sys
15.10.2004 06:56 47.564 NTDETECT.COM
15.10.2004 06:56 251.184 ntldr
19.06.2004 15:01 13.030 PDOXUSRS.NET
15.06.2004 11:31 0 IO.SYS
15.06.2004 11:31 0 CONFIG.SYS
15.06.2004 11:31 0 AUTOEXEC.BAT
15.06.2004 11:31 0 MSDOS.SYS
18.08.2001 11:00 4.952 bootfont.bin
13 Datei(en) 805.738.162 Bytes
0 Verzeichnis(se), 47.257.137.152 Bytes frei

mfg kim
__________
Ich will kein "Compi-Noob" mehr sein, also wenn wer z.B. nen gutes Buch oder sowas weiß, wärs nett wenn ihr mir's postet, mailed(twageto@web.de).
mfg Kim
Seitenanfang Seitenende
28.01.2006, 21:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 I Kim I

damit wird auch die korrumpierte Internetverbindung geloescht...du muss nach neustart eine neue erstellen

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R3 - URLSearchHook: (no name) - {623F0150-5802-8153-6487-653F58FADD01} - Testimonials.dll (file missing)
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [progmen] TorontoMail.exe
O4 - HKLM\..\Run: [MsNetHelper] runload32.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe"
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Kargo] SysEntry.exe
O4 - HKCU\..\Run: [34763] backd.exe
O4 - HKCU\..\Run: [xwiz] driver64.exe
O4 - HKCU\..\Run: [desktop] C:\windows\system32\dpodgroup.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B526C970-4995-474A-930B-589FBCA83694}: NameServer = 85.255.116.61,85.255.112.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2273963-C52F-4EA2-884A-CA6F14E750AC}: NameServer = 85.255.116.61,85.255.112.204

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\close.bmp
C:\WINDOWS\system32\insurance.bmp
C:\WINDOWS\system32\spyware.bmp
C:\WINDOWS\system32\xxx.bmp
C:\WINDOWS\system32\pharmacy.bmp
C:\WINDOWS\system32\dating.bmp
C:\WINDOWS\system32\gambling.bmp
C:\WINDOWS\system32\idesk.conf

C:\DOKUME~1\Stefan_2\LOKALE~1\Temp\ginstall.dll

C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\filesaver32.exe
C:\WINDOWS\system32\csrhc.exe
C:\WINDOWS\system32\intmonp.exe

C:\WINDOWS\system32\dgprpsetup.exe
C:\windows\system32\dpodgroup.exe

C:\WINDOWS\system32\csyxu.exe
C:\WINDOWS\system32\csqnn.exe
C:\WINDOWS\system32\csqaf.exe
C:\WINDOWS\system32\cspkn.exe
C:\WINDOWS\system32\csoov.exe
C:\WINDOWS\system32\csoan.exe
C:\WINDOWS\system32\csnrf.exe
C:\WINDOWS\system32\cssqq.exe
C:\WINDOWS\system32\csncn.exe
C:\WINDOWS\system32\csjva.exe
C:\WINDOWS\system32\csimi.exe
C:\WINDOWS\system32\csfth.exe
C:\WINDOWS\system32\csdtp.exe
C:\WINDOWS\system32\cszwk.exe
C:\WINDOWS\system32\cscyf.exe
C:\WINDOWS\system32\cswsk.exe
C:\WINDOWS\system32\csngu.exe
C:\WINDOWS\system32\csxrd.exe
C:\WINDOWS\system32\csrsh.exe
C:\WINDOWS\system32\csdhx.exe

C:\WINDOWS\system32\ole32vbs.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\config.txt
C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\Date.ico

C:\WINDOWS\system32\netut80ex.vxd
C:\WINDOWS\system32\mac80ex.idf
C:\WINDOWS\system32\vx0.nls
C:\WINDOWS\system32\vx1.nls
C:\WINDOWS\system32\vx1x.nls

PC neustarten

deinstallieren
BearShare
UnSpyPC
WhenUSave

loeschen:
C:\Programme\UnSpyPC
C:\Programme\BearShare
C:\Programme\Save

-------------------------------------------------------------------------

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt-->hier posten

im abgesicherten Modus scannen ( dazu drueckst du F8, wenn der PC hochfahert)

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

Dr.Web (berichte nach dem Scann, was noch gefunden wurde)
http://virus-protect.org/cureit.html

------------------------------------------------------------------------
kopiere hier das Log vom Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2006, 22:11
I Kim I
Member

Beiträge: 15
#30 hmm wie erkenn ich den die malware einträge? *peinlich*^^

mfg stefan

/edit:also bearshare und unspy hab ich gelöscht aber "whenusave" kann ich net finden
__________
Ich will kein "Compi-Noob" mehr sein, also wenn wer z.B. nen gutes Buch oder sowas weiß, wärs nett wenn ihr mir's postet, mailed(twageto@web.de).
mfg Kim
Dieser Beitrag wurde am 28.01.2006 um 22:16 Uhr von I Kim I editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123