Löschen von WinFixer 2005

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.11.2005, 00:46
Member

Beiträge: 25
#16 die einträge O16 geben mir aber zu denken? ich habe doch eine anti virus software installiert?!

ich nutze dsl flat und bin beruflich ca. 12- 20 stunden täglich online. ich bekommen mehrmals im monat von meiner panda software meldungen über virus identifikation + zerstörung! win fixer geht aber nicht weg u. wurde auch nicht gemeldet. anscheinend ist die software nicht in der lage o. mein fachwisssen lässt andere sicherheitseinstellungen nicht zu?;)

bitte helft mir.
mfg

hallo sabine
formatieren? ich habe viele daten u.informationen auf diesem pc gespeichert! kann ich diese problemlos auf eine mobile festplatte überspielen o. sind die daten auch verseucht? bitte nicht... die daten betreffen den börsenhandel und sind sehr wichtig für mich.
grüsse
Dieser Beitrag wurde am 10.11.2005 um 00:51 Uhr von unikos editiert.
Seitenanfang Seitenende
10.11.2005, 00:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 unikos

nun, der PC ist voellig verseucht, aber ich kann dir helfen: mache folgendes:
der Winfixer und die Dialer kommt zuletzt (erst mal muessen die Viren runter)

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

wenn du die Startseite behalten willst...fixe sie nicht...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://listings.ebay.de/_W0QQsocmdZListingItemList?sofocus=pf&sbrftog=1&fcl=3&socmd=ListingItemList&catref=
C3&from=R2&sbrbin=t&satitle=&sacat=9804%26catref%3DC6&fsop=3%26fsoo%3D1&coaction
=compare&copagenum=1&coentrypage=search&fgtp=&a39=-24&a6=-24&a85=-24&a38=-24&a10238=23428&gcs=14
&pfid=15&reqtype=2&pfmode=1&alist=a39%2Ca6%2Ca85%2Ca38%2Ca10238%2Ca3801&pf_query=&pf=
Artikel+anzeigen&sargn=-1%26saslc%3D3&sadis=200&fpos=Postleitzahl&sascs=2&ga10244=10425&ftrt=1&ftrv=1&saprclo=&saprchi=


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Eiwcltut] C:\Program Files\Vpyj\Gexeu.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka66.exe
O4 - HKLM\..\Run: [System service66] C:\WINDOWS\etb\pokapoka66.exe
O4 - HKCU\..\Run: [key] C:\WINDOWS\System32\sys_xp.exe
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB

PC neustarten

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 logs
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2005, 01:30
Member

Beiträge: 25
#18 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\WINDOWS\system32

10.11.2005 01:10 0 pavjob.log
08.11.2005 11:45 13.646 wpa.dbl
30.10.2005 08:46 380.350 perfh009.dat
30.10.2005 08:46 52.764 perfc009.dat
30.10.2005 08:46 63.580 perfc007.dat
30.10.2005 08:46 391.000 perfh007.dat
30.10.2005 08:46 897.954 PerfStringBackup.INI
12.10.2005 22:18 1.852 d3d9caps.dat
01.10.2005 23:51 1.740 d3d8caps.dat
24.08.2005 17:26 149.200 FNTCACHE.DAT
24.08.2005 15:39 7.168 lpdriver.sys --> lpdriver.sys, Added by the W32/Tilebot-H or W32/Sdbot-ADG
24.08.2005 15:25 99.480 FWSVPN.DLL
24.08.2005 15:05 1.795 MRT.INI
19.08.2005 12:04 0 TFTP3332
19.08.2005 12:04 0 TFTP3352
19.08.2005 12:03 0 TFTP3512
19.08.2005 12:03 0 TFTP3376
19.08.2005 12:03 0 TFTP3480
19.08.2005 12:02 0 TFTP2340
19.08.2005 12:00 0 TFTP3356
19.08.2005 12:00 0 TFTP652
19.08.2005 11:59 0 TFTP572
19.08.2005 11:59 0 TFTP3008

04.08.2005 17:54 1.457.496 MRT.exe
03.08.2005 09:33 520.456 LegitCheckControl.DLL
28.07.2005 11:36 4.608 install.exe
12.07.2005 17:04 23.304 GWFSPidGen.dll
08.07.2005 17:10 238.592 tapisrv(3).dll
08.07.2005 17:10 238.592 tapisrv.dll
08.07.2005 17:10 72.704 remotesp.tsp
06.07.2005 16:17 89.088 atl71.dll
05.07.2005 22:28 602.112 NCTAudioTransform2.dll
05.07.2005 22:28 237.568 lame_enc.dll
05.07.2005 22:28 458.752 NCTAudioPlayer2.dll
05.07.2005 22:28 454.656 NCTAudioRecord2.dll
05.07.2005 22:28 876.544 NCTAudioEditor2.dll
05.07.2005 22:28 307.200 msvcr70.dll
05.07.2005 22:28 1.212.416 NCTAudioInformation2.dll
05.07.2005 22:28 1.986.560 NCTAudioFile2.dll
30.06.2005 03:15 108.544 umpnpmgr.dll
30.06.2005 03:15 108.544 umpnpmgr(3).dll
29.06.2005 02:55 68.608 mscms(2).dll
29.06.2005 02:55 237.056 icm32.dll
29.06.2005 02:55 68.608 mscms.dll
15.06.2005 18:51 285.184 kerberos.dll
15.06.2005 18:51 285.184 kerberos(3).dll
11.06.2005 03:42 102.400 win32spl.dll
11.06.2005 00:55 53.248 spoolsv.exe
11.06.2005 00:55 53.248 spoolsv(2).exe
09.06.2005 21:32 692.736 DivX.dll
06.06.2005 22:13 356.436 DivXMedia.ax
29.05.2005 00:35 692.224 divxdec.ax
27.05.2005 03:04 519.168 hhctrl.ocx
27.05.2005 03:04 128.000 itss.dll
27.05.2005 03:04 38.912 hhsetup.dll
27.05.2005 03:04 143.872 itircl.dll
26.05.2005 03:19 173.536 wuweb.dll
26.05.2005 03:19 178.408 muweb.dll
26.05.2005 03:16 18.200 wups2.dll
26.05.2005 03:16 41.240 wups.dll
26.05.2005 03:16 1.343.768 wuaueng.dll
26.05.2005 03:16 75.544 cdm.dll
26.05.2005 03:16 198.424 iuengine.dll
26.05.2005 03:16 466.200 wuapi.dll
26.05.2005 03:16 174.872 wuauclt1.exe
26.05.2005 03:16 124.696 wuauclt.exe
26.05.2005 03:16 174.872 wuaucpl.cpl
26.05.2005 03:16 128.280 wucltui.dll
26.05.2005 03:16 194.840 wuaueng1.dll
24.05.2005 22:32 4.276 divxsm.tlb
24.05.2005 22:32 524.288 DivXsm.exe
20.05.2005 19:25 3.136 dtu_de.qm
18.05.2005 22:40 200.704 dtu100.dll
17.05.2005 01:43 8.704 xpsp3res.dll
15.05.2005 19:44 32.852 PDData.bin
15.05.2005 19:44 32.768 BGData.bin
11.05.2005 03:41 74.752 telnet.exe
05.05.2005 02:12 671.744 divx_xx11.dll
05.05.2005 02:12 688.128 divx_xx0c.dll
05.05.2005 02:12 688.128 divx_xx07.dll
04.05.2005 13:45 884.736 msimsg.dll
04.05.2005 13:45 78.848 msiexec.exe
04.05.2005 13:45 15.360 msisip.dll
04.05.2005 13:45 271.360 msihnd.dll
04.05.2005 13:45 2.890.240 msi.dll
04.05.2005 11:04 2.780 qtplugin.log
28.04.2005 05:22 3.596.288 qt-dx331.dll
28.04.2005 05:22 57.344 dpv11.dll
28.04.2005 05:22 303.104 dpus11.dll
28.04.2005 05:22 581.632 dpuGUI11.dll
28.04.2005 05:22 245.760 dpu11.dll
28.04.2005 05:22 86.016 dpl100.dll
28.04.2005 05:22 245.408 unicows.dll
28.04.2005 05:22 159.744 ssleay32.dll
28.04.2005 05:22 831.488 libeay32.dll
26.04.2005 07:29 62.976 webclnt.dll
12.04.2005 10:36 37 x.bat
25.02.2005 14:35 361 QuickTime.qtp
25.02.2005 14:33 218 InstDrv.log
25.02.2005 04:34 22.752 spupdsvc.exe
24.02.2005 19:34 15.584 spmsg.dll
23.02.2005 08:02 968 sys_xp.exeopenopenopen
23.02.2005 08:02 4.049 sys_xp.exeopenopenopenopen

04.12.2004 20:15 176.167 rmoc3260.dll
04.12.2004 20:15 5.632 pndx5032.dll
04.12.2004 20:15 6.656 pndx5016.dll
04.12.2004 20:15 278.528 pncrt.dll
07.10.2004 10:47 13.646 wpa.bak
04.10.2004 01:10 98.304 tsccvid.dll ????
06.09.2004 14:25 0 h323log.txt
06.09.2004 13:34 25.065 wmpscheme.xml
06.09.2004 13:31 261 $winnt$.inf
06.09.2004 13:29 2.951 CONFIG.NT
06.09.2004 13:29 16.832 amcompat.tlb
06.09.2004 13:29 23.392 nscompat.tlb
06.09.2004 13:28 488 WindowsLogon.manifest
06.09.2004 13:28 488 logonui.exe.manifest
06.09.2004 13:28 749 sapi.cpl.manifest
06.09.2004 13:28 749 wuaucpl.cpl.manifest
06.09.2004 13:28 749 cdplayer.exe.manifest
Dieser Beitrag wurde am 10.11.2005 um 01:34 Uhr von unikos editiert.
Seitenanfang Seitenende
10.11.2005, 01:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 wir koennen das sauber bekommen, aber du musst alle deine Passworte usw, aendern, denn es gibt anonyme FTP-Server, die vollen Zugang zu deinem PC haben und alles runterladen, was sie wollen.

poste noch die anderen drei Logs
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2005, 01:36
Member

Beiträge: 25
#20 ich hatte alle 4 gepostet? nun nochmal...

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\DOKUME~1\unikos\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\WINDOWS

10.11.2005 01:10 0 0.log
10.11.2005 01:10 159 wiadebug.log
10.11.2005 01:10 1.016.350 WindowsUpdate.log
10.11.2005 01:10 50 wiaservc.log
10.11.2005 01:09 2.048 bootstat.dat
08.11.2005 22:24 54.156 QTFont.qfn
31.10.2005 00:17 205.116 setupact.log
23.10.2005 13:11 1.409 QTFont.for
07.10.2005 21:21 227 system.ini
07.10.2005 21:21 767 win.ini
02.10.2005 16:31 306 QTW.INI
01.10.2005 10:58 960.242 setupapi.log
27.09.2005 14:14 42.577 INSTALL.LOG
27.09.2005 14:14 42 ib.ini
26.09.2005 19:46 307.200 Setup1.exe
26.09.2005 19:46 74.752 ST6UNST.EXE
13.09.2005 10:22 14.336 pre2.exe
10.09.2005 08:32 8.264 Germany.exe

24.08.2005 19:56 447.119 iis6.log
24.08.2005 19:56 83.904 ntdtcsetup.log
24.08.2005 19:56 138.674 comsetup.log
24.08.2005 19:56 184.940 tsoc.log
24.08.2005 19:56 20.017 tabletoc.log
24.08.2005 19:56 4.716 KB893803v2Uninst.log
24.08.2005 19:56 1.374 imsins.log
24.08.2005 19:56 68.984 netfxocm.log
24.08.2005 19:56 14.166 ocmsn.log
24.08.2005 19:56 209.584 ocgen.log
24.08.2005 19:56 19.500 msgsocm.log
24.08.2005 19:56 384.261 FaxSetup.log
24.08.2005 19:56 122.892 msmqinst.log
24.08.2005 19:55 1.917 imsins.BAK
24.08.2005 17:54 18.480 KB890046Uninst.log
24.08.2005 17:54 19.395 updspapi.log

24.08.2005 11:56 25.260 uinmzertinmds.opm
24.08.2005 11:53 12.985 KB898461.log
24.08.2005 11:53 13.617 KB893803v2.log
24.08.2005 11:53 10.852 KB842773.log
20.08.2005 00:29 716.699 LogMSP.txt
20.08.2005 00:24 2 msoffice.ini
19.08.2005 17:07 88.271 inetinfomon.exe ????
08.08.2005 00:25 532.992 opuc.dll
03.08.2005 18:37 68 BS.INI
16.07.2005 13:19 36.864 unslive.exe ????
09.07.2005 22:17 150 cdplayer.ini
13.06.2005 02:05 1.442 COM+.log
25.05.2005 23:44 10.752 hh.exe
21.05.2005 00:22 10.240 Thumbs.db
20.05.2005 20:05 5.398 pvsw.log
19.05.2005 23:44 772 hpinfo.lnk
18.05.2005 18:25 113 wmsetup.log
15.05.2005 15:16 400 ODBC.INI
14.05.2005 14:51 181 BTI.INI
12.05.2005 19:52 69.632 uinst001.exe
04.05.2005 11:01 725 aolback.exe.lnk
04.05.2005 11:01 316.640 WMSysPr9.prx
04.05.2005 10:59 335 nsreg.dat
24.02.2005 16:51 61 comventure.ini
14.02.2005 15:25 1.008 wsftperr.log
30.01.2005 19:04 194.434 DirectX.log
21.10.2004 16:20 30 RESULT.QTW
21.10.2004 16:20 560 WININI.QTW
21.10.2004 16:20 231 SYSINI.QTW
21.10.2004 16:19 57 VGL.INI
09.10.2004 08:17 1.210 pmupdate.log
09.10.2004 08:17 1.364 MnyAdvPak.log
07.10.2004 10:44 94.722 ntbtlog.txt
16.09.2004 09:55 19.188 Windows Update.log
06.09.2004 14:22 1.920 regopt.log
06.09.2004 14:21 0 Sti_Trace.log

189 Datei(en) 17.199.651 Bytes
0 Verzeichnis(se), 1.359.220.736 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\

10.11.2005 01:38 0 sys.txt
10.11.2005 01:38 9.791 system.txt
10.11.2005 01:37 134 systemtemp.txt
10.11.2005 01:37 96.819 system32.txt
10.11.2005 01:09 805.306.368 pagefile.sys
06.11.2005 10:45 40.569 PANDA.RPT
07.10.2005 21:21 194 boot.ini
02.10.2005 16:38 201 DMF2_WKLog.txt
09.09.2005 23:19 123.359 et20050910.log
09.09.2005 22:59 1.641.329 et20050909.log
09.09.2005 22:38 50.946 pok20050909.log
09.09.2005 22:38 1.071 debug.dcd
09.09.2005 22:38 2.142 debug.src
09.09.2005 22:38 559 debug.param
08.09.2005 22:28 713.430 et20050908.log
08.09.2005 22:28 20.331 pok20050908.log
07.09.2005 22:59 628.439 et20050907.log
07.09.2005 22:21 27.591 pok20050907.log
06.09.2005 22:59 1.672.426 et20050906.log
06.09.2005 22:59 510.446 pok20050906.log
05.09.2005 22:42 1.076.594 et20050905.log
05.09.2005 22:42 409.482 pok20050905.log
04.09.2005 22:43 1.242.917 et20050904.log
04.09.2005 22:40 39.105 pok20050904.log
03.09.2005 22:21 52.625 pok20050903.log
03.09.2005 22:21 2.085.234 et20050903.log
02.09.2005 22:57 1.256.181 et20050902.log
02.09.2005 22:52 29.821 pok20050902.log
01.09.2005 22:21 45.888 pok20050901.log
01.09.2005 22:19 1.510.361 et20050901.log
31.08.2005 22:21 80.357 pok20050831.log
31.08.2005 22:19 1.493.374 et20050831.log
30.08.2005 22:31 170.001 pok20050830.log
30.08.2005 22:31 2.863.844 et20050830.log
29.08.2005 22:58 15.566 pok20050829.log
29.08.2005 22:58 484.448 et20050829.log

19.08.2005 17:07 62 LogMSP.txt
19.08.2005 17:07 88.271 msu.exe
25.07.2005 01:31 14.054 hpfr3420.log
01.07.2005 14:09 1.120 INSTALL.LOG
25.05.2005 19:53 1.186 outlook.reg
20.05.2005 00:02 1.055.140 HighGrow.zip
30.01.2005 21:29 28.870.018 blackupdate html.exe ???
30.01.2005 21:02 28.870.018 black update.exe ???
30.01.2005 18:59 315.624 dxwebsetup.exe ???
(Samsung CDROM Drivers )
22.12.2004 12:33 554 debugInstaller.txt
14.09.2004 00:01 1.720 Adobe Reader 6.0.lnk
06.09.2004 13:29 0 CONFIG.SYS
06.09.2004 13:29 0 MSDOS.SYS
06.09.2004 13:29 0 IO.SYS
06.09.2004 13:29 0 AUTOEXEC.BAT
02.04.2003 13:00 4.952 bootfont.bin
02.04.2003 13:00 47.580 NTDETECT.COM
02.04.2003 13:00 235.296 ntldr
24.05.2001 11:59 162.304 UNWISE.EXE
55 Datei(en) 883.369.842 Bytes
0 Verzeichnis(se), 1.359.224.832 Bytes frei
Seitenanfang Seitenende
10.11.2005, 01:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 ich habe keine Konzentration mehr. mach den PC aus...morgen vormittag erstelle ich dir einen Reinigungsweg.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2005, 01:46
Member

Beiträge: 25
#22 ok;) ich danke dir ganz herzlich...

mfg
Seitenanfang Seitenende
10.11.2005, 10:58
...neu hier

Beiträge: 2
#23 das ist der log was im counterspy stand

Spyware Scan Details
Start Date: 10.11.2005 10:44:22
End Date: 10.11.2005 10:52:02
Total Time: 7 mins 40 secs

Detected spyware

SurfAccuracy Adware more information...
Status: Deleted

Infected files detected
C:\Programme\AVPersonal\INFECTED\SACCU.EXE.VIR

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\SAcc
HKEY_LOCAL_MACHINE\Software\SAcc accid 104
HKEY_LOCAL_MACHINE\Software\SAcc subaccid 1001693
HKEY_LOCAL_MACHINE\Software\SAcc Version 1118
HKEY_LOCAL_MACHINE\Software\SAcc InstallDate 1131479493
HKEY_LOCAL_MACHINE\Software\SAcc CfgReloadAttempts 1
HKEY_LOCAL_MACHINE\Software\SAcc CfgReload 1131588903
HKEY_LOCAL_MACHINE\Software\SAcc SAData uid:37672cc62691cffeb2c3ac79df477e33-cnt:9-t:1131556610;11315581
29;1131562214;1131565626;1131576360;-c:1517524;ce:1131643010|c:15177
63;ce:1131644529|c:1517367;ce:1131648614|c:1517056;ce:1131652026|c:
1516775;ce:1131
HKEY_LOCAL_MACHINE\Software\SAcc Counter 9
HKEY_LOCAL_MACHINE\Software\SAcc NextInvoke 1131577271


Winfixer Potentially Unwanted Software more information...
Details: Winfixer is known to be installed through inappropriate bundling and without users consent. It is a software that scans the users system for damaged files and attempts to fix it if the user pays a fee.
Status: Deleted

Infected files detected
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe


IST.PowerScan Adware more information...
Details: PowerScan is advertised through in ordinary web pop-ups, but recently it started to install with help from the the ISTBar adware.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main bandrest


IST.SideFind Adware more information...
Details: SideFind installs an adware Internet Explorer browser helper object that installs some extra buttons.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\software\microsoft\internet explorer\extensions\cmdmapping {10e42047-deb9-4535-a118-b3f6ec39b807}
Seitenanfang Seitenende
10.11.2005, 11:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Synoxis

der Winfixer u.a ist geloescht ;)
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2005, 11:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 unikos

sichere erst mal alle deine wichtigen Dateien...Dokumente, Fotos usw.....das ist kein Problem ;)
------------------------------------------------------------------------------------------------
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html

C:\msu.exe
C:\black update.exe
C:\WINDOWS\unslive.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\spmsg.dll
-----------------------------------------------------------------------------------

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\lpdriver.sys
C:\WINDOWS\system32\TFTP3332
C:\WINDOWS\system32\TFTP3352
C:\WINDOWS\system32\TFTP3512
C:\WINDOWS\system32\TFTP3376
C:\WINDOWS\system32\TFTP3480
C:\WINDOWS\system32\TFTP2340
C:\WINDOWS\system32\TFTP3356
C:\WINDOWS\system32\TFTP652
C:\WINDOWS\system32\TFTP572
C:\WINDOWS\system32\TFTP3008
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\x.bat
C:\WINDOWS\System32\sys_xp.exe
C:\WINDOWS\system32\sys_xp.exeopenopenopen
C:\WINDOWS\system32\sys_xp.exeopenopenopenopen
C:\WINDOWS\system32\re_file.exe
C:\WINDOWS\pre2.exe
C:\WINDOWS\Germany.exe
C:\WINDOWS\inetinfomon.exe
C:\Program Files\Vpyj\Gexeu.exe
C:\Program Files\Vpyj
C:\WINDOWS\unslive.exe
C:\WINDOWS\etb\pokapoka66.exe
C:\WINDOWS\etb

C:\debug.dcd
C:\debug.src
C:\debug.param
C:\et20050910.log
C:\et20050909.log
C:\pok20050909.log
C:\et20050908.log
C:\pok20050908.log
C:\et20050907.log
C:\pok20050907.log
C:\et20050906.log
C:\pok20050906.log
C:\et20050905.log
C:\pok20050905.log
C:\et20050904.log
C:\pok20050904.log
C:\pok20050903.log
C:\et20050903.log
C:\et20050902.log
C:\pok20050902.log
C:\pok20050901.log
C:\et20050901.log
C:\pok20050831.log
C:\et20050831.log
C:\pok20050830.log
C:\et20050830.log
C:\pok20050829.log
C:\et20050829.log

PC neustarten

ueberpruefe, ob das geloescht ist:
C:\WINDOWS\etb
C:\Program Files\Vpyj

Bagle-Removaltool
(scanne)
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm.removal.tool.html

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip
- entzippen
- scannen
- POST_THIS.TXT abkopieren

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Lpdriver

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

TlntSvr

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

scanne mit den Scannern und poste die Scanreporte
http://virus-protect.org/multiavtool.html

Onlinescan Kaspersky (kopiere den Scanreport ab)
http://virus-protect.org/onlinescan.html

--------------------------------------------------------------------------

Um den Winfixer kuemmern wir uns spaeter...das ist jetzt nicht so wichtig ;)


----------------

Zitat

C:\WINDOWS\system32\sys_xp.exeopenopenopen
C:\WINDOWS\system32\sys_xp.exeopenopenopenopen
C:\WINDOWS\System32\sys_xp.exe
http://vic.zonelabs.com/tmpl/body/CA/virusDetails.jsp?VId=39624
Aliasnamen: [ZIP.]Bagle; [Win32.]Bagle.AC ; [I-Worm.]Bagle.ah (Kaspersky); [W32.]Beagle.AC@mm (Symantec); [Win32/]Bagle.ZIP.Worm; [W32/]Bagle.ag@MM (McAfee) ; [W32/]Bagle.AG-mm (Wildlist);

Zitat

# %Windir%\ctflog.exe
# %Windir%\explore.exe
# %Windir%\inetinfomon.exe
# %Windir%\MPM.exe
# %Windir%\service.exe
# %Windir%\winlog.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ExtA
http://securityresponse.symantec.com/avcenter/venc/data/trojan.spexta.html

roj/Spexta-A kann sich als E-Mail-Attachment in E-Mails verbreiten, die vorgeben, von "CNN Newsletter" mit der Betreffzeile "TERROR HITS LONDON" zu stammen. Der Trojaner ist als Attachment mit dem Dateinamen "LondonTerrorMovie.zip" darin enthalten.

<System>\lpdriver.sys
http://www.sophos.com/virusinfo/analyses/w32tileboth.html

09.09.2005 22:38 1.071 debug.dcd
09.09.2005 22:38 2.142 debug.src
09.09.2005 22:38 559 debug.param
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2005, 12:33
...neu hier

Beiträge: 2
#26 Hallo zusammen,
ich habe ebenfalls den Winfixer aufm Rechner, was soll ich tun?


Logfile of HijackThis v1.99.1
Scan saved at 12:31:36, on 10.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS\system32\rd3gff3t.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Menzel\Desktop\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [rd3gff3t] C:\WINDOWS\system32\rd3gff3t.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYDE_ZNxdm414YYDE
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1124.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093350147921
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
10.11.2005, 12:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 intrepid

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\WINDOWS\system32\rd3gff3t.exe

---------------------------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [rd3gff3t] C:\WINDOWS\system32\rd3gff3t.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYDE_ZNxdm414YYDE
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

PC neustarten


KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe
C:\WINDOWS\system32\rd3gff3t.exe

PC neustarten

Killbox:
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\MyWebSearch
C:\Programme\SurfAccuracy

PC neustarten

Counterspy
http://virus-protect.org/counterspy.html
Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2005, 21:45
Member

Beiträge: 25
#28 "Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum"

hi

wenn ich jede datei doppelklicke bin ich nächstes jahr noch am klicken;) was verstehe ich falsch?;)
Seitenanfang Seitenende
11.11.2005, 00:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 intrepid

du brauchst
C:\WINDOWS\system32\rd3gff3t.exe
nicht zu scannen, es ist eine Malware, ein Sahagent. (auch wenn es nett gewesen waere, wenn du die EINE Datei gescannt haettest)
Loesche also die Datei und fuehre allles weitere aus, was ich geschrieben hatte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 00:27
...neu hier

Beiträge: 3
#30

Zitat

Sabina postete
unikos

du solltest formatieren...der PC ist voellig verseucht....
-----------------------------------------------------------------------------------
poste hier bitte das Log nur von Oprion 1
http://virus-protect.org/l2mfix.html

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

kopiere hier die 4 logs
http://virus-protect.org/datfindbat.html
Ich muss Sabina recht geben.
Ich bin das Teil auch nur durch neu formatieren losgeworden. ;)
Ciao Tiina
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: