Home » Spyware & Browser Hijacker Support Forum » Hab das Trojan Horse "trojan-downloader-zlob" ,lässt sich nicht entfernen » Themenansicht
Hab das Trojan Horse "trojan-downloader-zlob" ,lässt sich nicht entfernenThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
15.05.2006, 19:50
Member
Beiträge: 19 |
#16
nein ist ok, kein thema, finde ich toll das ihr dass macht , wirklich :-)
|
|
 
|
|
|
|
15.05.2006, 23:29
Ehrenmitglied
 Beiträge: 29434 |
#17
Micky1987
Laden und alles auf dem Desktop entpacken: *) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg *) Killbox http://www.bleepingcomputer.com/files/killbox.php -> [Anleitung: http://virus-protect.org/killbox.html *) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok ----------------------------------------------------- ** Killbox Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\system32\simpole.tlb C:\WINDOWS\system32\stdole3.tlb C:\WINDOWS\system32\nvapps.xml C:\WINDOWS\system32\atmclk.exe C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\twain32.dll C:\WINDOWS\system32\regperf.exe C:\WINDOWS\system32\wingob32.dll.exe C:\WINDOWS\system32\shell386.exe C:\WINDOWS\system32\azebar.xml C:\WINDOWS\azesearch.bmp C:\WINDOWS\kl1.exe C:\WINDOWS\uniq PC neustarten ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen ** suche: C:\!KillBox und lösche alle dort eventuell befindlichen Dateien manuell ** Datenträgerbereinigung: und Löschen der Temporary-Dateien Start - Ausführen - cleanmgr (reinschreiben) Klick: Temporäre Internet Files/Temporäre Internet Dateien -> o.k. Klick: Temporäre Dateien -> o.k ** öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) boote wieder in den Normalmodus ** deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. ** scanne mit superantispyware (free) http://virus-protect.org/artikel/tools/superantispyware.html ** scanne mit dr.web http://virus-protect.org/cureit.html ---------- berichte ;  -- poste das neue Log vom HijackThis__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2006, 00:54
Member
Beiträge: 19 |
#18
hier die neue log
Logfile of HijackThis v1.99.1 Scan saved at 00:53:01, on 16.05.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Personal Firewall\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\Programme\Winamp\winampa.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Yahoo!\Messenger\YahooMessenger.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\DT\Sinus 1054 data\Wifiusb.exe C:\Programme\OpenOffice.org1.1.0\program\soffice.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Micky\Desktop\sicherheitstools\hijackthis_199\HijackThis.exe C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0374340D-477E-4ED0-8DAC-2290091D1167} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0374340D-477E-4ED0-8DAC-2290091D1167} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8C738FD6-5B2A-42E2-B139-3381C139D9F1}: NameServer = 192.168.0.10 O17 - HKLM\System\CCS\Services\Tcpip\..\{E61B1ABB-FA54-4FCF-94E6-D22DF0149F7B}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{F8D0FABC-E3C8-4E2E-8661-6EFDE82D0F29}: NameServer = 192.168.2.1 O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe O23 - Service: Marmiko ZeroConfig Controller (MZCCntrl) - Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
|
|
|
|
16.05.2006, 01:15
Ehrenmitglied
Beiträge: 29434 |
#19
1.
#neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 2. nun poste noch mal die 4 Logs von datfindbat und berichte, ob es noch PopUps gibt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2006, 11:51
Member
Beiträge: 19 |
#20
ok hab ich gemahct hier nochmal die 4 log data´s
Verzeichnis von C:\WINDOWS\system32 16.05.2006 01:05 384 DVCState-{00000000-00000000-0000000F-00001102-00000004-20021102}.dat 16.05.2006 01:05 384 DVCStateBkp-{00000000-00000000-0000000F-00001102-00000004-20021102}.dat 16.05.2006 01:05 1.080 settingsbkup.sfm 16.05.2006 01:05 1.080 settings.sfm 16.05.2006 01:05 32.088 BMXBkpCtrlState-{00000000-00000000-0000000F-00001102-00000004-20021102}.rfx 16.05.2006 01:05 32.088 BMXCtrlState-{00000000-00000000-0000000F-00001102-00000004-20021102}.rfx 16.05.2006 01:05 32.592 BMXStateBkp-{00000000-00000000-0000000F-00001102-00000004-20021102}.rfx 16.05.2006 01:05 32.592 BMXState-{00000000-00000000-0000000F-00001102-00000004-20021102}.rfx 15.05.2006 23:09 43.520 CmdLineExt03.dll 14.05.2006 22:22 29.696 hp82CC.tmp 14.05.2006 11:30 2.184 wpa.dbl 11.05.2006 16:57 43.008 hp94F6.tmp 13.04.2006 19:17 98.304 CmdLineExt.dll 26.03.2006 12:30 39.992 perfc009.dat 26.03.2006 12:30 311.604 perfh009.dat |
|
|
|
|
|
|
16.05.2006, 12:30
Ehrenmitglied
Beiträge: 29434 |
#21
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok * öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde. suche die smitrem.txt und poste sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2006, 13:22
Member
Beiträge: 19 |
#22
Running from
C:\Dokumente und Einstellungen\Micky\Desktop\sicherheitstools\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ 1024 dir hp***.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1160 'explorer.exe' Killing PID 1160 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! 
|
|
|
|
|
|
|
16.05.2006, 13:35
Ehrenmitglied
Beiträge: 29434 |
#23
nun poste die Logs von datfindbat, das erste log genuegt
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2006, 13:58
Member
Beiträge: 19 |
#24
Verzeichnis von C:\WINDOWS\system32
16.05.2006 13:27 43.520 CmdLineExt03.dll 16.05.2006 13:19 0 NvApps.xml 16.05.2006 01:05 384 DVCState-{00000000-00000000-0000000F-00001102-00000004-20021102}.dat 16.05.2006 01:05 384 DVCStateBkp-{00000000-00000000-0000000F-00001102-00000004-20021102}.dat 16.05.2006 01:05 1.080 settingsbkup.sfm 16.05.2006 01:05 1.080 settings.sfm 16.05.2006 01:05 32.088 BMXBkpCtrlState-{00000000-00000000-0000000F-00001102-00000004-20021102}.rfx 16.05.2006 01:05 32.088 BMXCtrlState-{00000000-00000000-0000000F-00001102-00000004-20021102}.rfx 16.05.2006 01:05 32.592 BMXStateBkp-{00000000-00000000-0000000F-00001102-00000004-20021102}.rfx 16.05.2006 01:05 32.592 BMXState-{00000000-00000000-0000000F-00001102-00000004-20021102}.rfx 14.05.2006 11:30 2.184 wpa.dbl 13.04.2006 19:17 98.304 CmdLineExt.dll 26.03.2006 12:30 311.604 perfh009.dat 26.03.2006 12:30 39.992 perfc009.dat 26.03.2006 12:30 316.594 perfh007.dat 26.03.2006 12:30 48.156 perfc007.dat 26.03.2006 12:30 723.744 PerfStringBackup.INI 06.02.2006 12:46 21.840 SIntfNT.dll 06.02.2006 12:46 17.212 SIntf32.dll 06.02.2006 12:46 12.067 SIntf16.dll 04.02.2006 22:14 103.824 FNTCACHE.DAT 02.02.2006 17:44 2.368 SVKP.sys |
|
|
|
|
|
|
16.05.2006, 14:01
Ehrenmitglied
Beiträge: 29434 |
#25
ja..nun ist wieder alles in Ordnung.
du hattest anscheinend meine Anleitung nicht korrekt abgearbeit, jedenfalls, was smitrem betrifft. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2006, 14:12
Member
Beiträge: 19 |
#26
ohh, ups, naja egal, hauptsache ist alles wieder inordnung, danke für deine hilfe
|
|
|
|
|
|
|
22.05.2006, 20:25
Member
Beiträge: 130 |
#27
Mich hat dies oder ne ähnliche version auch erwischt. bin im moment nicht mit dem infizierten rechner im inet trau mich nicht da der möglicherweise anfängt wieder Schei... runterzuladen.
Also ich im normalen modus alles mit microsoftantispyware und adaware gelöscht und antivir hat nix gefunden. (wobei dies leider alles keine upgedateten versionen waren da der pc ganz neu ist... und wie gesagt inet hab ich aus gemacht. Hab natürlich auch diese prozesse am laufen gehabt und hab die eintsprechenden sachen mit der killbox gelöscht. hab noch nicht getestet wie weit ich den/die viren runter hab und bin noch im abgesicherten modus ohne inet. hab nen hijackthis logfile erstellt. hab mir da zwar auch meine gedanken gemacht aber bin da lieber vorsichtig. könnt ihr mal drüber gucken? Logfile of HijackThis v1.99.1 Scan saved at 19:51:16, on 22.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Dokumente und Einstellungen\Terementor\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp8EDD.tmp O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Maeo] "C:\PROGRA~1\PPATCH~1\winword.exe" -vt yax O4 - HKCU\..\Run: [Ulsugtdn] C:\Dokumente und Einstellungen\Terementor\Anwendungsdaten\s?mbols\regedit.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147373318908 O17 - HKLM\System\CCS\Services\Tcpip\..\{11033E5D-BBD4-4C58-B5FC-EFA65A1BCB89}: NameServer = 1.1.1.1,2.2.2.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{11033E5D-BBD4-4C58-B5FC-EFA65A1BCB89}: NameServer = 1.1.1.1,2.2.2.2 O17 - HKLM\System\CS2\Services\Tcpip\..\{11033E5D-BBD4-4C58-B5FC-EFA65A1BCB89}: NameServer = 1.1.1.1,2.2.2.2 O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\SYSTEM32\winzdn32.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe schonmal danke im vorraus! http://www.hwe-forum.de/index.php/topic,13139.0.html da war wer schneller. Dieser Beitrag wurde am 22.05.2006 um 22:19 Uhr von Terementor editiert.
|
|
|
|
|
|
|
22.05.2006, 23:58
Ehrenmitglied
Beiträge: 29434 |
#28
Terementor
hier ist ausserdem noch ein Purityscan auf dem Rechner...............und der Spywarequake ist noch nicht geloescht................. 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html ---------------- 3. Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint Zitat dir /s /a "c:\s?mbols*.*" > c:\find.txt & start notepad c:\find.txt Zitat dir /s /a "c:\regedit*.*" > c:\find.txt & start notepad c:\find.txt Zitat dir /s /a "c:\winword*.*" > c:\find.txt & start notepad c:\find.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.05.2006, 14:02
Member
Beiträge: 130 |
#29
hab alles im normalen modus gemacht. systemwiederherstellung war übrigens eingeschaltet weil stand nix von ausschalten ... Achja die erten meldungen von viren kamen 17:51 gestern (microsoftantispyware hat so ca 10sachen angeblich geblockt)
Punkt3 hab ich nach dem kopieren der texte gemacht also bis ausführen cmd.exe ok dann ka was ich machen sollt... edit: ach sollt ich diese daten hier alle in dieses cmd.exe einfügen? also hier die texte: Datentr„ger in Laufwerk C: ist Windows XP Volumeseriennummer: 7058-EAEA Verzeichnis von C:\ 23.05.2006 13:56 0 sys.txt 23.05.2006 13:56 8.817 system.txt 23.05.2006 13:56 5.365 systemtemp.txt 23.05.2006 13:56 93.713 system32.txt 23.05.2006 13:56 1.610.612.736 pagefile.sys 11.05.2006 20:37 0 AUTOEXEC.BAT 11.05.2006 20:37 0 CONFIG.SYS 11.05.2006 20:37 0 IO.SYS 11.05.2006 20:37 0 MSDOS.SYS 11.05.2006 20:33 211 boot.ini 04.08.2004 14:00 4.952 bootfont.bin 04.08.2004 14:00 47.564 NTDETECT.COM 04.08.2004 14:00 251.184 ntldr 13 Datei(en) 1.611.024.542 Bytes 0 Verzeichnis(se), 63.952.584.704 Bytes frei ------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows XP Volumeseriennummer: 7058-EAEA Verzeichnis von C:\WINDOWS\system32 22.05.2006 18:19 249.856 hpC7E8.tmp 22.05.2006 18:19 249.856 hpB932.tmp 22.05.2006 18:19 249.856 hpA6E3.tmp 22.05.2006 18:19 249.856 hp80AD.tmp 22.05.2006 17:52 249.856 hpA14A.tmp 22.05.2006 17:52 176.128 fyhhxw.dll 22.05.2006 17:52 4.286 ot.ico 22.05.2006 17:52 4.286 ts.ico 22.05.2006 17:51 2 wnstscc.exe 22.05.2006 17:51 156.672 oins.exe 22.05.2006 17:50 279.565 ldD218.tmp 22.05.2006 17:43 165.912 FNTCACHE.DAT 22.05.2006 17:11 75 LuResult.txt 21.05.2006 15:40 98.304 CmdLineExt.dll 20.05.2006 23:58 311.604 perfh009.dat 20.05.2006 23:58 316.594 perfh007.dat 20.05.2006 23:58 39.992 perfc009.dat 20.05.2006 23:58 48.156 perfc007.dat 20.05.2006 23:58 723.744 PerfStringBackup.INI 20.05.2006 10:40 13.646 wpa.dbl 11.05.2006 21:59 16.832 amcompat.tlb 11.05.2006 21:59 23.392 nscompat.tlb 11.05.2006 21:33 0 h323log.txt 11.05.2006 20:58 13.646 wpa.bak 11.05.2006 20:39 261 $winnt$.inf 11.05.2006 20:37 2.951 CONFIG.NT ----------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows XP Volumeseriennummer: 7058-EAEA Verzeichnis von C:\WINDOWS 23.05.2006 13:56 0 0.log 23.05.2006 13:56 775.415 WindowsUpdate.log 23.05.2006 13:56 2.048 bootstat.dat 23.05.2006 13:55 9.972 SchedLgU.Txt 23.05.2006 13:49 513 DFC.INI 22.05.2006 22:06 501.124 ntbtlog.txt 22.05.2006 17:51 39.424 YAXUninst.exe 22.05.2006 17:51 491.960 setupapi.log 22.05.2006 15:50 0 nsreg.dat 22.05.2006 15:48 2.266 mozver.dat 22.05.2006 14:54 69 NeroDigital.ini 22.05.2006 14:51 172.918 setupact.log 21.05.2006 16:11 33.942 DirectX.log 21.05.2006 12:45 661 wiadebug.log 21.05.2006 12:45 50 wiaservc.log 21.05.2006 09:37 378 wmsetup10.log 21.05.2006 09:37 63.520 wmsetup.log 20.05.2006 23:57 2.798 avminstcli.log 20.05.2006 23:57 3.294 avmadd321.log 20.05.2006 23:57 567 avmcowlan.log 20.05.2006 23:57 1.134 avmadd32.log 20.05.2006 23:57 8.355 avmsetup.log 20.05.2006 23:57 696 accessdll.log 20.05.2006 23:51 3.216 avmadd322.log 20.05.2006 17:24 23 BlendSettings.ini 20.05.2006 15:24 253.952 Setup1.exe 20.05.2006 15:24 74.752 ST6UNST.EXE 14.05.2006 20:11 114 NVProfileManager.INI 14.05.2006 20:10 106 NVMonitor.INI 14.05.2006 20:09 103 nTune.INI 14.05.2006 20:09 119 NVPerformance.INI 14.05.2006 20:02 169 RtlRack.ini ------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist Windows XP Volumeseriennummer: 7058-EAEA Verzeichnis von C:\DOKUME~1\TEREME~1\LOKALE~1\Temp 23.05.2006 13:56 32.768 ~DF21B0.tmp 23.05.2006 13:56 32.768 ~DF13B1.tmp 23.05.2006 13:54 32.768 ~DF1F7C.tmp 23.05.2006 13:54 32.768 ~DF565.tmp 23.05.2006 13:29 32.768 ~DF1B95.tmp 23.05.2006 13:29 32.768 ~DF87B.tmp 23.05.2006 06:23 32.768 ~DF1B99.tmp 23.05.2006 06:23 32.768 ~DFEAB.tmp 22.05.2006 22:31 32.768 ~DF1A01.tmp 22.05.2006 22:31 32.768 ~DF70.tmp 22.05.2006 22:24 32.768 ~DF1BA0.tmp 22.05.2006 22:24 32.768 ~DFF36.tmp 22.05.2006 22:21 16.384 ~DF1D0C.tmp 22.05.2006 22:15 32.768 ~DF22C3.tmp 22.05.2006 22:15 32.768 ~DFE27.tmp 22.05.2006 22:03 32.768 ~DF38A7.tmp 22.05.2006 22:03 32.768 ~DF2BBB.tmp 22.05.2006 20:59 32.768 ~DF822.tmp 22.05.2006 20:56 32.768 ~DF2DD3.tmp 22.05.2006 19:43 32.768 ~DF80FC.tmp 22.05.2006 19:24 16.384 ~DFD06D.tmp 22.05.2006 19:22 32.768 ~DFE174.tmp 22.05.2006 19:22 32.768 ~DFD418.tmp 22.05.2006 19:06 229.376 ~DF94D7.tmp 22.05.2006 19:00 16.384 ~DF78C7.tmp 22.05.2006 18:51 32.768 ~DFED6F.tmp 22.05.2006 18:51 32.768 ~DFDF84.tmp 22.05.2006 17:53 184 cli3.bat 22.05.2006 17:53 0 win53.tmp 22.05.2006 17:53 0 win52.tmp 22.05.2006 17:53 0 win51.tmp 22.05.2006 17:51 1.131 win12.tmp.exe 22.05.2006 17:51 0 win13.tmp 22.05.2006 17:51 0 11.tmp 22.05.2006 17:51 0 win10.tmp 22.05.2006 17:51 78.336 winD.tmp.exe 22.05.2006 17:50 0 winC.tmp 22.05.2006 17:50 0 winA.tmp 22.05.2006 17:50 0 win8.tmp 22.05.2006 17:50 0 win6.tmp 22.05.2006 17:50 11.776 win5.tmp.exe 22.05.2006 17:50 931 win4.tmp 22.05.2006 17:50 12.166 cli3.tmp 100 Datei(en) 18.263.333 Bytes 0 Verzeichnis(se), 63.952.662.528 Bytes frei Dieser Beitrag wurde am 23.05.2006 um 14:38 Uhr von Terementor editiert.
|
|
|
|
|
|
|
23.05.2006, 14:31
Ehrenmitglied
Beiträge: 29434 |
#30
Terementor
wir werden mehr oder weniger das hier abarbeiten: http://virus-protect.org/artikel/spyware/spyfalcon_purityscan.html ---------------------------------------------------------------------------- stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Verzeichnis von C:\DOKUME~1\TEREME~1\LOKALE~1\Temp --> MUSS LEER SEIN !!! -------------------------------------------------------------------------------- arbeite alles nacheinander ab und poste die scanreports, wenn ich drum gebeten habe -------------------------------------------------------------------------------- 0. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg --> die reg doppelt klicken und mit ja der Registry beifuegen 1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 2. poste den report 3. arbeite smitfraud.fix ab ( Option 1 und 2) ..das ist wichtig, um hpC7E8.tmp usw...zu loeschen ! http://virus-protect.org/artikel/tools/smitfrautfix.html 4. öffne das Notepad (Texteditor) und kopiere folgendes rein: Zitat del c:\*.tmpSpeichere es ab als clean.bat. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Doppelklick auf das Icon und mit "Y" oder "J" bestaetigen 5. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)PC neustarten ------------------------------------------------------------------------ Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint Zitat dir /s /a "c:\s?mbols*.*" > c:\find.txt & start notepad c:\find.txt Zitat dir /s /a "c:\regedit*.*" > c:\find.txt & start notepad c:\find.txt Zitat dir /s /a "c:\winword*.*" > c:\find.txt & start notepad c:\find.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten