Entfernen des WinFixer

#0
21.11.2005, 15:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Odie79

ich empfehle, windows neu zu installieren...derPC ist voellig verseucht und das alles sauberzubekommen...zumal bei Win98 ...ist nicht moeglich....

(Dialer, Spyware, Viren, Trojaner...es fehlt an nichts....)

O4 - HKLM\..\Run: [Nsv] C:\WINDOWS\SYSTEM\nsvsvc\nsvsvc.exe
O4 - HKLM\..\Run: [IST Service] \ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [SAHBundle] C:\WINDOWS\TEMP\SAHAGENT.EXE run
O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\SYSTEM\VIDMON\VIDMON.EXE

O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://fred.gibraltarapes.com/download/dialer/eu_cax.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.download-url.de/StarInstall.ocx
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2005, 16:01
...neu hier

Beiträge: 2
#32 Danke Sabina,
ich hatte es mir echt schon fast gedacht...also dann mach ich mich da mal ans Werk:-)
Viele Grüße
Oona
Seitenanfang Seitenende
21.11.2005, 22:07
...neu hier

Beiträge: 8
#33 Hi,

habe mir diese Winfixer-Schei... durch eigene Dummheit leider auch eingefangen. Es gehen dauernd beim Surfen Popups auf und ab und zu werde ich auch einfach zu anderen Seiten umgeleitet. Und dazwischen fragt mich immer ein Alert-Fenster, ob es Winfixer jetzt installieren soll.

Folgender Log ist von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 23:38:11, on 21.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\SK7600DM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\DENISR~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IRiras Class - {95C60327-8E17-44D6-98EB-7EB70CC606DD} - C:\WINDOWS\system32\irasipym.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsy11D.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsq169.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Hot Key Kbd 7600 Daemon] SK7600DM.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe
O4 - Startup: Microsoft Office Outlook 2003.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126819136763
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130070471471
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://192.168.0.2/Remote/msrdp.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxor/mjolauncher.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Programme\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Programme\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



Wäre extrem dankbar, wenn ihr mir helfen könntet. Habe es trotz stundenlangem Googeln bisher nicht geschafft, die Schei... loszuwerden.
Seitenanfang Seitenende
22.11.2005, 00:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 Hallo@DickUndDoof

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Textdateien

http://virus-protect.org/datfindbat.html


-------------
Froeste und Abbrueche..... lol






WinFixer2005-->Info ;)
http://virus-protect.org/artikel/spyware/winfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2005, 08:50
...neu hier

Beiträge: 8
#35 OK, habe VundoFix heruntergeladen, vorher alle temporären Dateien gelöscht und diese 4 Textdateien erhalten:

sys.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 34A5-C6F1

Verzeichnis von C:\

21.11.2005 23:51 0 sys.txt
21.11.2005 23:51 4.305 system.txt
21.11.2005 23:50 400 systemtemp.txt
21.11.2005 23:50 101.128 system32.txt
21.11.2005 23:35 1.072.742.400 hiberfil.sys
21.11.2005 23:35 1.610.612.736 pagefile.sys
.
.
.


system32.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 34A5-C6F1

Verzeichnis von C:\WINDOWS\system32

22.11.2005 00:10 3.262 baseball.ico
22.11.2005 00:10 3.262 freegas1.ico
22.11.2005 00:10 3.262 ipod nano1.ico
22.11.2005 00:10 3.262 tv1.ico
22.11.2005 00:10 3.262 creditcard32123123123asdsa123.ico
22.11.2005 00:10 19.942 virushunter4.ico
22.11.2005 00:10 3.262 tv.ico
22.11.2005 00:10 3.262 ringtone2.ico
22.11.2005 00:10 3.262 sony psp1.ico
22.11.2005 00:10 3.262 xboxab.ico
21.11.2005 23:35 12.598 wpa.dbl
21.11.2005 00:07 46.569 unrasmon.exe
21.11.2005 00:07 32.768 irasyncd.exe
21.11.2005 00:07 229.376 irasipym.dll
21.11.2005 00:07 417.792 rastmon.dll
21.11.2005 00:06 24.576 msxml3a.dll
.
.
.


system.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 34A5-C6F1

Verzeichnis von C:\WINDOWS

21.11.2005 23:44 726 win.ini
21.11.2005 23:40 7.388 SchedLgU.Txt
21.11.2005 23:35 705.573 WindowsUpdate.log
21.11.2005 23:35 159 wiadebug.log
21.11.2005 23:35 50 wiaservc.log
21.11.2005 23:35 2.048 bootstat.dat
.
.
.


systemtemp.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 34A5-C6F1

Verzeichnis von C:\DOKUME~1\[user]\LOKALE~1\Temp

21.11.2005 23:50 115.061 snapradi.tmp
21.11.2005 23:36 512 ~DF1D21.tmp
21.11.2005 23:36 512 ~DF1A8F.tmp
3 Datei(en) 116.085 Bytes
0 Verzeichnis(se), 13.704.273.920 Bytes frei


habe die Dateien mit älterem Datum als die Infektion rausgelassen.

Kannst Du damit was anfangen?
Seitenanfang Seitenende
22.11.2005, 10:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 Hallo@DickUndDoof

dennoch....ich will alle Dateien bis Anfang September sehen...ich weiss, warum ;)

+

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Zitat

Adw.NewAds.IRASSync is silently installed as a browser helper object.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2005, 11:11
...neu hier

Beiträge: 8
#37 Mist, dann hab' ich zu viel mitgedacht *g*
OK, wird aber länglich:

sys.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 34A5-C6F1

Verzeichnis von C:\

21.11.2005 23:51 0 sys.txt
21.11.2005 23:51 4.305 system.txt
21.11.2005 23:50 400 systemtemp.txt
21.11.2005 23:50 101.128 system32.txt
21.11.2005 23:35 1.072.742.400 hiberfil.sys
21.11.2005 23:35 1.610.612.736 pagefile.sys
08.11.2005 10:08 3.200 NETRKDB.DAT
08.11.2005 10:08 42 ST54.IDX
08.11.2005 10:08 52 ST57.IDX
08.11.2005 10:08 42 ST4E.IDX
08.11.2005 10:08 42 ST53.IDX
08.11.2005 10:08 2.056 TDBIDXL.DAT
08.11.2005 10:08 52 ST4C.IDX
08.11.2005 10:08 72 ST49.IDX
08.11.2005 10:08 42 CA43.IDX
08.11.2005 10:08 2.188 NECDB.DAT
08.11.2005 10:08 3.080 CDBIDXL.DAT
08.11.2005 10:08 42 CT33.IDX

07.10.2005 16:00 211 boot.ini
19.09.2005 22:21 211 BOOT.BKK
16.09.2005 22:11 1.180 _Sid.txt
15.09.2005 22:07 0 AUTOEXEC.BAT
15.09.2005 22:07 0 MSDOS.SYS
15.09.2005 22:07 0 IO.SYS
15.09.2005 22:07 0 CONFIG.SYS
[...] --> Der Rest ist älter als September
1304 Datei(en) 2.683.817.639 Bytes
0 Verzeichnis(se), 13.704.187.904 Bytes frei


system32.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 34A5-C6F1

Verzeichnis von C:\WINDOWS\system32

22.11.2005 00:10 3.262 baseball.ico
22.11.2005 00:10 3.262 freegas1.ico
22.11.2005 00:10 3.262 ipod nano1.ico
22.11.2005 00:10 3.262 tv1.ico
22.11.2005 00:10 3.262 creditcard32123123123asdsa123.ico
22.11.2005 00:10 19.942 virushunter4.ico
22.11.2005 00:10 3.262 tv.ico
22.11.2005 00:10 3.262 ringtone2.ico
22.11.2005 00:10 3.262 sony psp1.ico
22.11.2005 00:10 3.262 xboxab.ico
21.11.2005 23:35 12.598 wpa.dbl
21.11.2005 00:07 46.569 unrasmon.exe
21.11.2005 00:07 32.768 irasyncd.exe
21.11.2005 00:07 229.376 irasipym.dll
21.11.2005 00:07 417.792 rastmon.dll
21.11.2005 00:06 24.576 msxml3a.dll

10.11.2005 10:28 63.792 perfc009.dat
10.11.2005 10:28 404.572 perfh009.dat
10.11.2005 10:28 420.406 perfh007.dat
10.11.2005 10:28 76.690 perfc007.dat
10.11.2005 10:28 973.062 PerfStringBackup.INI
10.11.2005 10:04 240.736 FNTCACHE.DAT
08.11.2005 20:48 151.552 nsq169.dll ????
02.11.2005 06:34 2.377.568 MRT.exe
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 23:02 5.531 jupdate-1.5.0_05-b05.log
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 07:28 270.848 mscoree.dll
23.09.2005 07:28 150.016 mscorier.dll
23.09.2005 07:28 74.240 mscories.dll
23.09.2005 07:28 83.456 dfshim.dll
23.09.2005 04:06 8.491.520 shell32.dll
21.09.2005 21:41 2.493 INSTALL.LOG

[...] --> Der Rest ist älter als September
2071 Datei(en) 366.428.307 Bytes
0 Verzeichnis(se), 13.704.355.840 Bytes frei
system.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 34A5-C6F1

Verzeichnis von C:\WINDOWS

21.11.2005 23:44 726 win.ini
21.11.2005 23:40 7.388 SchedLgU.Txt
21.11.2005 23:35 705.573 WindowsUpdate.log
21.11.2005 23:35 159 wiadebug.log
21.11.2005 23:35 50 wiaservc.log
21.11.2005 23:35 2.048 bootstat.dat
16.11.2005 15:42 54.156 QTFont.qfn
15.11.2005 13:29 14 popcinfo.dat
12.11.2005 12:28 202 NeroDigital.ini
10.11.2005 20:32 1.409 QTFont.for
10.11.2005 10:21 316.640 WMSysPr9.prx
10.11.2005 10:05 5.903 PSPICEEV.INI
08.11.2005 10:54 155 winamp.ini
03.11.2005 10:03 0 nsreg.dat
23.10.2005 14:05 22 raptinfo.dat
07.10.2005 16:14 0 Ui.INI
07.10.2005 16:00 227 system.ini
03.10.2005 22:53 99.970 UninstallFirefox.exe
03.10.2005 22:53 3.201 mozver.dat
21.09.2005 21:40 43.032 php.ini
20.09.2005 21:05 26 NeoSetup.INI
19.09.2005 22:33 400 ODBC.INI
19.09.2005 22:31 842 UPGRADE.TXT
19.09.2005 22:27 100.724 cpeins04.dat
19.09.2005 22:26 99.720 CPEins05.dat
19.09.2005 22:26 333.274 setupapi.old
19.09.2005 22:25 4.161 ODBCINST.INI
19.09.2005 22:24 749 WindowsShell.Manifest
16.09.2005 23:01 697 hpntwksetup.ini
16.09.2005 22:11 104.649 hpoins04.dat
15.09.2005 22:25 2.521 FSAV.MIF
15.09.2005 22:24 81.920 bwUnin-6.1.4.58-7681197L.exe
15.09.2005 22:07 0 control.ini
15.09.2005 22:03 37 vbaddin.ini
15.09.2005 22:03 36 vb.ini
15.09.2005 22:00 8.192 REGLOCS.OLD
14.09.2005 23:30 0 Sti_Trace.log
[...] --> Der Rest ist älter als September
82 Datei(en) 10.175.995 Bytes
0 Verzeichnis(se), 13.704.261.632 Bytes frei



Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 34A5-C6F1

Verzeichnis von C:\DOKUME~1\[user]\LOKALE~1\Temp

21.11.2005 23:50 115.061 snapradi.tmp
21.11.2005 23:36 512 ~DF1D21.tmp
21.11.2005 23:36 512 ~DF1A8F.tmp
3 Datei(en) 116.085 Bytes
0 Verzeichnis(se), 13.704.273.920 Bytes frei
Seitenanfang Seitenende
22.11.2005, 11:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 ich weiss, dass es Viren sind, aber die Virenscanner sollen es auch wissen lol

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html


C:\WINDOWS\system32\nsq169.dll
C:\WINDOWS\system32\unrasmon.exe
C:\WINDOWS\system32\irasyncd.exe
C:\WINDOWS\system32\irasipym.dll
C:\WINDOWS\system32\rastmon.dll
C:\WINDOWS\system32\msxml3a.dll

--------------------------------------------------------------------

danach beginnt die Reinigung (---> ich brauche den korrekten Pfad:
C:\DOKUME~1\[user]\LOKALE~1\Temp

+


Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2005, 12:27
...neu hier

Beiträge: 8
#39 Meinst Du hier ins allgemeine Sicherheitsforum?
Seitenanfang Seitenende
22.11.2005, 12:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 ich meine...du sollst die Ergebnisse hier posten lol
+

Zitat

(---> ich brauche den korrekten Pfad:
C:\DOKUME~1\[user]\LOKALE~1\Temp
+

Zitat

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2005, 13:07
...neu hier

Beiträge: 8
#41 Ergebnis:

Datei: nsq169.dll
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank

gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Adan-015 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.Hotbar gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Beginto gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.HotSearchBar.i gefunden
NOD32 Win32/Adware.HotSearchBar application gefunden
Norman Virus Control W32/Hotbar.BO gefunden
UNA Keine Viren gefunden
VBA32 AdWare.ToolBar.HotSearchBar.i gefunden






Datei: unrasmon.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden





Datei: irasyncd.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank

gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.SafeSurf gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Safesurf gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.SafeSurfing.x gefunden
NOD32 a variant of Win32/Adware.SafeSurfing application gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Adware.SafeSurf gefunden






Datei: irasipym.dll
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank

gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.SafeSurf gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Safesurf gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.SafeSurfing.r gefunden
NOD32 a variant of Win32/Adware.SafeSurfing application gefunden
Norman Virus Control Keine Viren gefunden
UNA Adware.SafeSurfing gefunden
VBA32 AdWare.Win32.SafeSurfing.r gefunden






Datei: rastmon.dll
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden






Datei: msxml3a.dll
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden



Der korrekte Pfad:
C:\DOKUME~1\DENISR~1\LOKALE~1\Temp


HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 10:56:53, on 22.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\SK7600DM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\GameHouse\Luxor\luxor.exe
C:\DOKUME~1\DENISR~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IRiras Class - {95C60327-8E17-44D6-98EB-7EB70CC606DD} - C:\WINDOWS\system32\irasipym.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsy11D.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsq169.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Hot Key Kbd 7600 Daemon] SK7600DM.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe
O4 - Startup: Microsoft Office Outlook 2003.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126819136763
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130070471471
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://192.168.0.2/Remote/msrdp.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxor/mjolauncher.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Programme\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Programme\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Seitenanfang Seitenende
22.11.2005, 13:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\rasmon]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\irassync]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\rasmon]
[-HKEY_LOCAL_MACHINE\system\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\irasyncd.exe]
KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\baseball.ico
C:\WINDOWS\system32\freegas1.ico
C:\WINDOWS\system32\ipod nano1.ico
C:\WINDOWS\system32\tv1.ico
C:\WINDOWS\system32\creditcard32123123123asdsa123.ico
C:\WINDOWS\system32\virushunter4.ico
C:\WINDOWS\system32\tv.ico
C:\WINDOWS\system32\ringtone2.ico
C:\WINDOWS\system32\sony psp1.ico
C:\WINDOWS\system32\xboxab.ico
C:\WINDOWS\system32\unrasmon.exe
C:\WINDOWS\system32\irasyncd.exe
C:\DOKUME~1\DENISR~1\LOKALE~1\Temp\snapradi.tmp
C:\WINDOWS\system32\irasipym.dll
C:\WINDOWS\system32\rastmon.dll
C:\WINDOWS\system32\msxml3a.dll
C:\WINDOWS\system32\nsq169.dll
C:\WINDOWS\system32\nsy11D.dll

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken (wenn die reg-Datei nicht klappen sollte, musst du manuell in der registry suchen/loeschen)

suche eine exe aehnlich wie diese und loesche sie
C:\WINDOWS\Downloaded Program Files\uwfx5_0001_lp1014netinstaller.exe

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: IRiras Class - {95C60327-8E17-44D6-98EB-7EB70CC606DD} - C:\WINDOWS\system32\irasipym.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsy11D.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsq169.dll
O4 - HKCU\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe

PC neustarten

CleanUp anwenden
http://virus-protect.org/cleanup.html

spysweeper (trial) --> scanne und poste den scanreport
http://virus-protect.org/spysweeper.html

--------------

Info:
http://www.virus-protect.org/artikel/spyware/unrasmon.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2005, 16:57
...neu hier

Beiträge: 8
#43 Spy Sweeper sagt:


Spy Sweeper will provide you with detailed information about the operations being performed in this area.
Automated check for new spyware definitions now underway.
Automated check for program update in progress.
Your Spy Sweeper application is up to date.
Automated check for news in progress.
... news is ready for your viewing.
Updating spyware definitions from Webroot.com
Please wait... This may take a few minutes...
Your spyware definitions have been updated.
You are now protected against 114552 known traces.

The shields above are available with this version of Spy Sweeper.

The shields above are available with this version of Spy Sweeper.

To ensure proper removal of spyware, adware and other unwanted items, be sure to close any programs that are open.
Your Sweep Options indicate the following will be swept:
Drives: C:
Also sweeping: Memory, Cookies, Registry
Adware found: begin2search
Adware found: hotsearchbar toolbar
Adware found: desktoptraffic
Adware found: safesurf
Full Sweep has completed. Elapsed time 00:20:17
Traces Found: 8109


DIe Popups sind erstmal weg.
Seitenanfang Seitenende
22.11.2005, 18:14
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#44 Hab ich doch endlich WinFixer ;)

__________
MfG Argus
Seitenanfang Seitenende
22.11.2005, 23:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 DickUndDoof

es muss doch auch einen detaillierten Scanbericht geben ;)

Zitat

Scanbericht: Spysweeper

13:54: Found Adware: icannnews
13:54: Detected running Thread: C:\WINNT\system32\qxvd.dll (ID = 83)
13:54: Detected running Thread: C:\WINNT\system32\kmdcan.dll (ID = 83)
poste ihn noch, dann deinstalliere spysweeper und lade Countersoy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: