Trojaner Wurm oder Virus auf meinem Pc?

#0
13.09.2005, 19:08
Member

Beiträge: 12
#1 Hallo, hoffe irgend jemand kann helfen, also folgendes:

Ich arbeit unter Win XP, mache regelmässige Scans mit Antivir, Spybot, Ad-Aware, CWshredder und Hijackthis - den Log lasse ich online auswerten und bearbeite entsprechend, so mein Problem jetzt

Der Bildschirm (Hintergrund) sieht folgendermaßen aus: Knallrot und folgende Meldungen sind darin integriert:

you are visitin illegal pornsites!!!

FBI knows everything about you right now - all info is logged...

Klick here to protect yourself urgently befor its to late.

Your IP logged - Security risk level - high

your being watched and all your activiti is tracked!

Your live is in Danger

Klick here to stop the Thread

download free spyware removal



Dann noch eine Fehlermeldung die immer wieder kommt:


Warning you computer is full of evidence. Klick yes to clean your pc now.


Das ist ein zuzätzliches Fenster mit blauen Hintergrund das sich auch immer wieder mal öffnet



Detected SPYware! System error #384





Your IP address detected. Using this address a remote computer has gainde

An access to your computer and proably is collecting the information about

the sites you`ve visited and the files contained in the folder Temporary

Internet Files. Attention! Ask for help or install the software for

Deleting secret information about the sites you visited.





Your computer is full of evidences!



Your name: Wolke

Your IP address: (logged)

Risk status for further

Investigation: VERY HIGH RISK

Detected Spyware: Desktop.Hijacker.Afcore.H

Internet Files Folder: Temorary Internet Files

User Language: DE



To protect from the Spyware – click here

To prevent information transmission – click here

To delete the history of your activity. click here

To hide this warning. click here.


Bitte vielleicht kann mir einer helfen wie ich den Schei... wegbekomme...

Ich weiss mir jetzt keinen rat mehr, muss ich alles formatieren, nütz das überhaupt was??
Seitenanfang Seitenende
13.09.2005, 19:17
Member
Avatar Gool

Beiträge: 4730
#2 Poste ein HijackThis-Log:
http://virus-protect.org/hjtkurz.html

Die Online-Auswertung zeigt nicht immer alles richtig an.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
13.09.2005, 19:35
Member

Themenstarter

Beiträge: 12
#3 Hier die Logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\34142e64b32.exe
C:\Programme\Mozilla1.7.11\Mozilla.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\34142e64b32.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Wolke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [34142e64b32] C:\WINDOWS\System32\34142e64b32.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [34142e64b32] C:\WINDOWS\System32\34142e64b32.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.11\Mozilla.exe" -turbo
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106484342928
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{37F35187-7F8C-4C84-BA59-8148D60FBBC1}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{37F35187-7F8C-4C84-BA59-8148D60FBBC1}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: GBPoll - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Seitenanfang Seitenende
13.09.2005, 20:43
Member
Avatar Gool

Beiträge: 4730
#4 Mit HJT fixen:
O4 - HKLM\..\Run: [34142e64b32] C:\WINDOWS\System32\34142e64b32.exe
O4 - HKCU\..\Run: [34142e64b32] C:\WINDOWS\System32\34142e64b32.exe

Killbox:
http://virus-protect.org/killbox.html

"Delete on Reboot" aktivieren. Folgendes reinkopieren und alle Abfragen mit OK/JA bestätigen:
C:\WINDOWS\System32\34142e64b32.exe

PC wird neugestartet.

Scan mit eScanCheck und berichte:
http://virus-protect.org/escan.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
13.09.2005, 21:26
Member

Themenstarter

Beiträge: 12
#5 Hallo und erstmal danke..

HJT hab ich gefixt und die eine datei mit der killbox entfernt, den escan gedownloadet nun das nächste, ich kann weder download noch update machen davon... was nun?

er gibt mir: dowloadseite nicht gefunden aktion werden angebrochen...

desktop scheint sauber zu sein - erstmal!

soll ich nen anderen scan machen??

Gruss Starrysky
Seitenanfang Seitenende
13.09.2005, 21:34
Member
Avatar Gool

Beiträge: 4730
#6 Ok, probieren wir es erstmal mit Ewido:

http://virus-protect.org/ewido.html

Ich lade gleich mal ne aktuelle Version von eScanCheck auf meinen Webspace, dann entfallen für Dich der Download von mwav.exe und das Update.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
13.09.2005, 22:44
Member

Themenstarter

Beiträge: 12
#7 So nun der Report von Ewido:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:40:36, 13.09.2005
+ Report-Checksumme: FA5EA055

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{64AB146B-0C39-DEC3-5AED-E2DA773C655F} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{865E2CEC-DCDC-CF30-C932-8A491F233655} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{F2903213-C2D0-B852-F56D-8B10D6C8C121} -> Spyware.CoolWebSearch : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@71i[1].txt -> Spyware.Cookie.71i : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@ad.adition[2].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@ppms.popularix[1].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@rotator.adjuggler[1].txt -> Spyware.Cookie.Adjuggler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@srv1.ad.adition[1].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Desktop\funprog\ComputerSchock.zip/ComputerSchock.exe -> Not-A-Virus.Hoax.ComputerSchock : Fehler beim Säubern
C:\Dokumente und Einstellungen\Sabine\Desktop\funprog\Finger.zip/Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Desktop\funprog\viagra.zip/viagra.exe -> Not-A-Virus.Joke.Viagra : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\lustich\tests\Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\lustich\tests\viagra.exe -> Not-A-Virus.Joke.Viagra : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Anwendungsdaten\Wildtangent\Cdacache\00\00\0D.dat/files\wtvh.dll -> Spyware.WildTangent : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für ComputerSchock.zip\ComputerSchock.exe -> Not-A-Virus.Hoax.ComputerSchock : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Finger.zip\Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5CD4JUH\viagra[1].zip/viagra.exe -> Not-A-Virus.Joke.Viagra : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@ad.adition[3].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@cz3.clickzs[2].txt -> Spyware.Cookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Wolke\Cookies\wolke@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\eied_s7.cab/eied_s7_c_7.exe -> TrojanDownloader.Mediket.ay : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00024229.TXT -> Spyware.Cookie.71i : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00024230.TXT -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00024231.TXT -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00024232.TXT -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00024233.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00024234.TXT -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00024235.TXT -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
13.09.2005, 23:10
Member
Avatar Gool

Beiträge: 4730
#8 Na, das sieht gut aus.

Du hattest also CoolWebSearch auf Deinem System. Prüfe, ob Du die aktuelle Version vom CWShredder hast:
http://www.intermute.com/spysubtract/cwshredder_download.html

Nochmal damit prüfen.

Notepad öffnen und folgendes reinkopieren:

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-
"Speichern unter" wählen, dort "Alle Dateitypen" angeben und als fixme.reg auf dem Desktop speichern (oder jedenfalls dort, wo Du sie auch wiederfindest). PC in den abgesichtern Modus starten und die fixme.reg ausführen.

smitRem:
http://noahdfear.geekstogo.com/

Entpacken und RunThis.bat im smitRem-Ordner ausführen.
Jetzt wird es einen Moment dauern und der Bildschirm wird blau werden (das ist normal). Suche die smitfiles.txt und kopiere den Inhalt hier rein.

Lösche Ordner:
C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Anwendungsdaten\Wildtangent

Lösche Temporäre Dateien:
CCleaner:
http://virus-protect.org/temp.html

eScan:
http://managor.de/down/escheck.exe (ca. 8 MB)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 13.09.2005 um 23:13 Uhr von Managor editiert.
Seitenanfang Seitenende
15.09.2005, 07:00
Member

Themenstarter

Beiträge: 12
#9 So jetzt nochmal

Zu erst der Scanreport von ewido:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:16:34, 14.09.2005
+ Report-Checksumme: C7C6E927

+ Scanergebnis:

:mozilla.8:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Googleadservices : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup


::Report Ende

Und nun dieses smitfiles:


smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! ;)


Ist der Rechner jetzt sauber? Hab da noch eine frage muss ich unter anderen "Benutzer" Selbiges durchführen?
Seitenanfang Seitenende
15.09.2005, 15:19
Member
Avatar Gool

Beiträge: 4730
#10 Ist der Desktop wieder normal?

Bitte mache noch einen Scan mit eScan (siehe oben)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
15.09.2005, 15:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@starrysky

da die Virenscanner nicht alles erkennen, arbeite auch bitte das hier ab:

CCleaner--> loesche alle *temp-Datein (alles anhaken)
http://virus-protect.org/temp.html

alle 4 Logs mit der pfadangabe posten

http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2005, 22:01
Member

Themenstarter

Beiträge: 12
#12 So auf umwegen konnte der escan nun gemacht werden den log hab ich auch, nur ist das ziemlich viel und ziemlich gross.... was braucht ihr genau davon???

Es ist so, das es eigentlich um den rechner meiner mutter geht... wenn sie aber hier gepostet hätte wär die nie durchgeblickt... hab ihr alles per mail oder per telefon erklärt... hat auch soweit geklappt...

Aber was nun mit dem riesigen log von escan??

@sabina... danke aber der rechner findet leider die datei "notepad" nicht. irgendwie scheint bei meiner mum alles durcheinander zu sein, somit kann sie die datfind.bat nicht wirklich machen, im moment jedenfalls nicht!

Ich fürchte ich muss doch mal hinfahren *g*

Der bildschirm ist seit gestern abend sauber!

Was nun?

Grüsse Starrysky
Seitenanfang Seitenende
15.09.2005, 23:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@starrysky

das Log vom escan kannst du hier posten, Sachen, die sich wiederholen, kannst du weglassen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.09.2005, 08:25
Member

Themenstarter

Beiträge: 12
#14 Okay, ich stell hier aber jetzt nicht den kompletten log rein, wollte ich machen aber selbst mein rechner kopiert keine 5 MB von der einen stelle zur anderen, hier jetzt die logs die mir aufgefallen sind

Thu Sep 15 20:33:41 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Sep 15 20:33:41 2005 => Loading Spyware Signatures from new External Database (Size: 143636).

Thu Sep 15 20:33:56 2005 => Offending value found in HKCU\Software\kazaa !!!
Thu Sep 15 20:34:24 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Sep 15 20:34:31 2005 => Offending value found in HKCU\Software\maxthon !!!
Thu Sep 15 20:34:31 2005 => Offending Folder found: C:\PROGRA~1\maxthon
Thu Sep 15 20:34:31 2005 => Object "abxtoolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Sep 15 20:35:16 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Thu Sep 15 20:35:16 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.


Thu Sep 15 20:35:41 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Norton Utilities\". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Norton CleanSweep\". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Norton Ghost\". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Password Manager\". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".05". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".1". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DAT". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".LZZZZZZZ". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".MZZZZZZZ". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".teil2". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Anti Trojan Elite_is1". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "HSA". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "LiveReg". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Maxthon". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Reise nach Nordland". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SE". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "spywarevanisher-freescanv1.0". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SW". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SymSetup.{B9807C3D-B3DD-41b7-8321-53DDB3A3A888}". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "WildTangent CDA". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Window Washer". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{1526D87C-A955-4FAB-BF18-697BA457E352}". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{5AE68DC3-F16E-457D-947A-092D614C7ABD}_is1". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600137}". Action Taken: No Action Taken.

Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600205}". Action Taken: No Action Taken.

Thu Sep 15 20:35:55 2005 => Entry "HKCR\inifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\NOTEPAD.EXE %1". Action Taken: No Action Taken.

Thu Sep 15 20:35:55 2005 => Entry "HKCR\MaxthonSkin\shell\open\command" refers to invalid object "C:\Programme\Maxthon\maxthon.exe "%1"". Action Taken: No Action Taken.

Thu Sep 15 20:35:57 2005 => Entry "HKCR\txtfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\NOTEPAD.EXE %1". Action Taken: No Action Taken.

Thu Sep 15 20:35:57 2005 => Entry "HKCR\XEV.FailSafeApp\shell\open\command" refers to invalid object "%SystemRoot%\system32\NOTEPAD.EXE %1". Action Taken: No Action Taken.

Thu Sep 15 20:35:57 2005 => Entry "HKCR\zapfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\NOTEPAD.EXE %1". Action Taken: No Action Taken.

Thu Sep 15 20:50:11 2005 => File C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\BalmMfcdWave\plhjnspn.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.

Hoffe das reicht??

grüsse Starrysky
Seitenanfang Seitenende
16.09.2005, 10:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@starrysky

das ist eine LOP-Verseuchung

im abgesicherten Modus loeschen: (+ alle Unterordner) ...
C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\BalmMfcdWave

C:\WINDOWS\iun6002.exe

deinstallieren/loeschen:
C:\PROGRA~1\maxthon

dann poste mir noch mehr Eintraege vom escan die aehnlich aussehen)...am besten poste alles, ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: