Winfixer & Egdaccess, ich bekomm sie nicht weg

#0
05.12.2005, 19:47
Member

Themenstarter

Beiträge: 21
#16 So, weiter gehts...


Incident Status Location

Adware:adware/gator Not desinfected C:\WINNT\GatorPatch.log
Adware:adware/navipromo Not desinfected C:\WINNT\system32\fjkayvsz_nav.dat
Dialer;)ialer.B Not desinfected F:\xxxxxx\backups\backup-20051203-194038-867.dll
Seitenanfang Seitenende
06.12.2005, 10:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Stecky2000

loeschen:
C:\WINNT\GatorPatch.log
C:\WINNT\system32\fjkayvsz_nav.dat

dann kopiere hier noch mal die 4 Textdateien von datfindbat (so kann ich sehen, ob alles weg ist, oder umbenannt ist)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2005, 17:12
Member

Themenstarter

Beiträge: 21
#18 So, 4 x Datfind....

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\WINNT\system32

05.12.2005 19:49 2.550 Uninstall.ico
05.12.2005 19:49 1.406 Help.ico
05.12.2005 19:49 1.718 Open.ico
05.12.2005 19:49 1.406 AddQuit.ico
05.12.2005 19:49 5.350 IE.ico
05.12.2005 19:49 9.470 Desktop.ico
05.12.2005 19:49 1.718 Quick.ico
05.12.2005 14:43 0 asfiles.txt
11.11.2005 18:57 80.744 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
10.10.2005 00:31 15.072 spmsg.dll
07.10.2005 07:19 233.744 GDI32.DLL
07.10.2005 07:17 1.638.832 WIN32K.SYS
04.10.2005 12:33 2.700.288 MSHTML.DLL
23.09.2005 12:03 1.122.576 webvw.dll
23.09.2005 12:03 245.520 WINSRV.DLL
23.09.2005 12:03 17.680 linkinfo.dll
23.09.2005 12:03 2.385.168 SHELL32.DLL
05.09.2005 09:18 71.440 stclient.dll
05.09.2005 09:18 122.640 mtxoci.dll
05.09.2005 09:18 20.240 xolehlp.dll
05.09.2005 09:18 35.600 mtxlegih.dll
05.09.2005 09:18 26.896 mtxdm.dll
05.09.2005 09:18 153.872 msdtcui.dll
05.09.2005 09:18 1.200.400 msdtctm.dll
05.09.2005 09:18 739.600 msdtcprx.dll
05.09.2005 09:18 52.496 mtxclu.dll
05.09.2005 09:18 1.477.904 comsvcs.dll
05.09.2005 09:18 641.296 comuid.dll
05.09.2005 09:18 96.016 msdtclog.dll
05.09.2005 09:18 97.040 clbcatex.dll
05.09.2005 09:18 99.088 comrepl.dll
05.09.2005 09:18 595.728 catsrvut.dll
05.09.2005 09:18 551.184 clbcatq.dll
05.09.2005 09:18 41.744 colbact.dll
05.09.2005 09:18 36.624 OLECNV32.DLL
05.09.2005 09:18 212.240 rpcss.dll
05.09.2005 09:18 398.608 txfaux.dll
05.09.2005 09:18 242.960 es.dll
05.09.2005 09:18 165.648 catsrv.dll
05.09.2005 09:18 957.712 OLE32.DLL
02.09.2005 17:31 496.128 MSTIME.DLL
02.09.2005 17:31 458.752 URLMON.DLL
02.09.2005 16:35 192.000 DXTRANS.DLL
02.09.2005 11:07 988.160 DANIM.DLL
02.09.2005 10:24 94.992 UMPNPMGR.DLL


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

05.12.2005 22:26 3.951 drmtemp1.htm
05.12.2005 05:31 32.768 ~DF5ECE.tmp
04.12.2005 14:51 16.384 ~DF68D5.tmp
04.12.2005 14:42 16.384 ~DFEB26.tmp
29.04.2002 16:11 7.936.144 fned5e1418.exe
5 Datei(en) 8.005.631 Bytes
0 Verzeichnis(se), 1.191.874.560 Bytes frei


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\WINNT

05.12.2005 14:42 433 win.ini
05.12.2005 14:40 565.390 setupapi.log
04.12.2005 14:50 1.300.888 WindowsUpdate.log
04.12.2005 14:48 32.640 SchedLgU.Txt
04.12.2005 10:08 1.409 QTFont.for
04.12.2005 10:08 54.156 QTFont.qfn
02.12.2005 19:51 41 uninstall.log
02.12.2005 19:20 1.681 Sniffer.INI
02.12.2005 19:20 112 NETXRAY.ERR
02.12.2005 18:38 217.454 _detmp.1
27.11.2005 16:31 422 wincmd.ini
27.11.2005 16:30 146 wcx_ftp.ini
10.11.2005 05:36 576.652 iis5.log
10.11.2005 05:36 239.932 comsetup.log
10.11.2005 05:36 1.429 imsins.log
10.11.2005 05:36 13.848 KB896424.log
10.11.2005 05:36 212.447 ocgen.log
10.11.2005 05:36 16.593 ockodak.log
10.11.2005 05:36 43.661 updspapi.log
06.11.2005 17:31 4.951 spupdsvc.log
05.11.2005 11:24 51.834 KB905414.log
05.11.2005 11:23 51.198 KB905749.log
05.11.2005 11:22 70.370 UpdateRollupPack.log
05.11.2005 11:16 3.425 updcustom.dll.log
05.11.2005 11:08 13.845 KB896688-IE6SP1-20051004.130236.log
05.11.2005 11:06 22.993 KB902400.log
05.11.2005 11:05 13.679 KB901017.log
05.11.2005 11:04 15.059 KB900725.log
05.11.2005 11:04 12.226 KB899589.log
05.11.2005 11:04 3.974 KB904706.log
05.11.2005 11:03 3.419 KB905495-IE6SP1-20050805.184113.log
11.08.2005 16:40 18.161 KB893756.log

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\

06.12.2005 17:26 0 sys.txt
06.12.2005 17:25 10.361 system.txt
06.12.2005 17:25 515 systemtemp.txt
06.12.2005 17:24 98.227 system32.txt
04.12.2005 14:49 402.653.184 pagefile.sys
04.12.2005 09:53 429 datFind.bat
02.12.2005 18:42 0 aierrorlog.txt
08.05.2005 11:16 737.716.224 Die Tollkhnen m„nner In Ihren Fliegenden Kisten German.avi
21.02.2005 23:10 42 pdfinfo.ini
11.09.2003 19:01 61 files.ini
06.07.2003 17:43 216.096 ntldr
20.06.2003 19:23 34.724 NTDETECT.COM
20.06.2003 19:07 192 boot.ini
20.06.2003 18:18 0 CONFIG.SYS
20.06.2003 18:18 0 AUTOEXEC.BAT
20.06.2003 18:18 0 MSDOS.SYS
20.06.2003 18:18 0 IO.SYS
19.06.2003 11:05 150.528 arcldr.exe
19.06.2003 11:05 163.840 arcsetup.exe
19 Datei(en) 1.141.044.423 Bytes
0 Verzeichnis(se), 1.191.874.560 Bytes frei

So, schaun mer mal...
Dieser Beitrag wurde am 06.12.2005 um 17:26 Uhr von Stecky2000 editiert.
Seitenanfang Seitenende
07.12.2005, 00:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Stecky2000

es ist alles sauber...bis auf:
C:\Dokumente und Einstellungen\ADMINI~1\Lokale Einstellungen\Temp\drmtemp1.htm
C:\Dokumente und Einstellungen\ADMINI~1\Lokale Einstellungen\Temp\fned5e1418.exe

also: weg damit, erst manuell suchen und dann mit CleanUp
http://virus-protect.org/cleanup.html

Counterspy
dann scanne und berichte
http://virus-protect.org/counterspy.html
Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2005, 22:34
Member

Themenstarter

Beiträge: 21
#20 Ich weis nicht weiter, das Counterspy findet noch genügend, stürzt aber beim Scannen der Registry ab, sprich friert ein. Ich hab schon versucht, erst nur die Verzeichnisse zu scannen und entsprechendeslöschen zu lassen, danach nur Registry, wo er am meisten findet, doch auch so friert das Ding ein.

Was kann ich tun?
Seitenanfang Seitenende
09.12.2005, 11:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 wenn du im abgesicherten Modus scannst (ohne internetverbindung)...friert da das System auch ein ??
Deinstalliere mal Antivirus (kannst du nach der Saeuberung und nach Deinstallieren vom Counterspy wieder laden)
http://virus-protect.org/antivirus.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.12.2005, 17:35
Member

Themenstarter

Beiträge: 21
#22 Habe im abgesicherten Modus Antivir, Spybot und, und, und deinstalliert, neu gebootet und dann Counterspy ausgeführt, er friert weiterhin ein!

Immer bei HKEY_Local_Machine\System\controlset001\control\{29xxxxxxweis dergeyer}

Bis dahin hat der Counterspy auf File-/Verzeichnisebene eine Infection (Instant Access) gefunden

und in der Registry

Misc.Winsoftware.Winfixer Misc (38 objects)
Winfixer Potentially unwanted Software (18 objects)
Adw.Winsoftware.WinAntiSpyware Adware (78 objects)

Ich hab sogar versucht die Registry vorher mit Registry Mechanic zu reparieren, der meint jedoch, es sei alles Okay.

Gibts ggf. ein anderes Tool als Counterspy?
Seitenanfang Seitenende
10.12.2005, 00:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 wozu dient denn der Geyer lol ???
loesch es:

start-->Ausfuehren--> regedit

HKEY_Local_Machine\System\controlset001\control\{29xxxxxxweis dergeyer}
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2005, 08:31
Member

Themenstarter

Beiträge: 21
#24 Ok, habe die rechte im regedit geändert, gelöscht und.....



es hat geklappte ;-)))))



Counterspy ist durchgelaufen, ich habe gelöscht und hier ist das Log..


Spyware Scan Details
Start Date: 10.12.2005 09:33:56
End Date: 10.12.2005 10:32:49
Total Time: 58 mins 53 secs

Detected spyware

Instant Access Dialer more information...
Details: InstantAccess is a dialer that gives a user access to premium services of a third-party Web site, by dialing a high cost numbers using a modem.
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\administrator\startmenü\nocreditcard.lnk


misc.winsoftware.winfixer Misc more information...
Details: Typically part of a bundle attack, WinFixer is a disabled, data repair utility that nags the user to purchase.
Status: Deleted

Infected files detected
c:\programme\gemeinsame dateien\winsoftware\pcheck.dll

Infected registry entries detected
HKEY_CURRENT_USER\Software\WinSoftware
HKEY_CURRENT_USER\Software\WinSoftware\WinAntiSpyware 2005\Settings DontShowMsgClose 0
HKEY_CLASSES_ROOT\AppID\{8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_CLASSES_ROOT\AppID\{8C65AEF6-E413-4314-815B-82717A3F1603} CheckProduct2
HKEY_CLASSES_ROOT\AppID\CheckProduct2.DLL
HKEY_CLASSES_ROOT\AppID\CheckProduct2.DLL AppID {8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct\CLSID {C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct\CurVer CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct CheckProduct Class
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1\CLSID {C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1 CheckProduct Class
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\InprocServer32 C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\InprocServer32 ThreadingModel Both
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\ProgID CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\TypeLib {30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\VersionIndependentProgID CheckProduct2.CheckProduct
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B} CheckProduct Class
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B} AppID {8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}\TypeLib {30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA} ICheckProduct
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\0\win32 C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\HELPDIR C:\Programme\Gemeinsame Dateien\WinSoftware\
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0 CheckProduct2 1.0 Type Library
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware\WinAntiSpyware 2005 ActivationCode 83811556-743D-4780-9DD2-25ED925D9D6C
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware\WinAntiSpyware 2005 Abbr UWAS5
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware\WinAntiSpyware 2005 ProductName WinAntiSpyware 2005
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware\WinAntiSpyware 2005 Settings


Winfixer Potentially Unwanted Software more information...
Details: Winfixer is known to be installed through inappropriate bundling and without users consent. It is a software that scans the users system for damaged files and attempts to fix it if the user pays a fee.
Status: Deleted

Infected files detected
c:\programme\gemeinsame dateien\winsoftware\pcheck.dll

Infected registry entries detected
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct\CLSID {C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct\CurVer CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct CheckProduct Class
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1\CLSID {C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1 CheckProduct Class
HKEY_CURRENT_USER\Software\WinSoftware
HKEY_CURRENT_USER\Software\WinSoftware\WinAntiSpyware 2005\Settings DontShowMsgClose 0
HKEY_CLASSES_ROOT\clsid\{C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\clsid\{C427B3E3-28DC-4001-9590-D99B6776119B}\InprocServer32 C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll
HKEY_CLASSES_ROOT\clsid\{C427B3E3-28DC-4001-9590-D99B6776119B}\InprocServer32 ThreadingModel Both
HKEY_CLASSES_ROOT\clsid\{C427B3E3-28DC-4001-9590-D99B6776119B}\ProgID CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\clsid\{C427B3E3-28DC-4001-9590-D99B6776119B}\TypeLib {30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
HKEY_CLASSES_ROOT\clsid\{C427B3E3-28DC-4001-9590-D99B6776119B}\VersionIndependentProgID CheckProduct2.CheckProduct
HKEY_CLASSES_ROOT\clsid\{C427B3E3-28DC-4001-9590-D99B6776119B} CheckProduct Class
HKEY_CLASSES_ROOT\clsid\{C427B3E3-28DC-4001-9590-D99B6776119B} AppID {8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_LOCAL_MACHINE\Software\WinSoftware
HKEY_LOCAL_MACHINE\Software\WinSoftware\WinAntiSpyware 2005 ActivationCode 83811556-743D-4780-9DD2-25ED925D9D6C
HKEY_LOCAL_MACHINE\Software\WinSoftware\WinAntiSpyware 2005 Abbr UWAS5
HKEY_LOCAL_MACHINE\Software\WinSoftware\WinAntiSpyware 2005 ProductName WinAntiSpyware 2005
HKEY_LOCAL_MACHINE\Software\WinSoftware\WinAntiSpyware 2005 Settings


Adw.WinSoftware.WinAntiSpyware Adware more information...
Details: Adw.WinSoftware.WinAnitspyware is a rogue antispyware product which pesters users with scareware tactics to purchase the product.
Status: Deleted

Infected files detected
c:\programme\gemeinsame dateien\winsoftware\pcheck.dll

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\CheckProduct2.DLL AppID {8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\FileCreationFilter.DLL AppID {4D05A335-1A1C-46B3-BCFF-7F25B326895C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000} AppID {4D05A335-1A1C-46B3-BCFF-7F25B326895C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B} AppID {8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\0\win32 C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\HELPDIR C:\Programme\Gemeinsame Dateien\WinSoftware\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0 CheckProduct2 1.0 Type Library
HKEY_CURRENT_USER\Software\WinSoftware
HKEY_CURRENT_USER\Software\WinSoftware\WinAntiSpyware 2005\Settings DontShowMsgClose 0
HKEY_CLASSES_ROOT\AppID\{4D05A335-1A1C-46B3-BCFF-7F25B326895C}
HKEY_CLASSES_ROOT\AppID\{4D05A335-1A1C-46B3-BCFF-7F25B326895C} FileCreationFilter
HKEY_CLASSES_ROOT\AppID\{8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_CLASSES_ROOT\AppID\{8C65AEF6-E413-4314-815B-82717A3F1603} CheckProduct2
HKEY_CLASSES_ROOT\AppID\CheckProduct2.DLL
HKEY_CLASSES_ROOT\AppID\CheckProduct2.DLL AppID {8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_CLASSES_ROOT\AppID\FileCreationFilter.DLL
HKEY_CLASSES_ROOT\AppID\FileCreationFilter.DLL AppID {4D05A335-1A1C-46B3-BCFF-7F25B326895C}
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct\CLSID {C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct\CurVer CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct CheckProduct Class
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1\CLSID {C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\CheckProduct2.CheckProduct.1 CheckProduct Class
HKEY_CLASSES_ROOT\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000}
HKEY_CLASSES_ROOT\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000}\LocalServer32 blank
HKEY_CLASSES_ROOT\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000}\LocalServer32 ThreadingModel apartment
HKEY_CLASSES_ROOT\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000}\ProgID VapFM.CreationNotifier.1
HKEY_CLASSES_ROOT\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000}\TypeLib {4D05A335-1A1C-46B3-BCFF-7F25B326895C}
HKEY_CLASSES_ROOT\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000}\VersionIndependentProgID VapFM.CreationNotifier
HKEY_CLASSES_ROOT\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000} CCreationNotifier Object
HKEY_CLASSES_ROOT\CLSID\{328BA26A-1619-47ee-A37D-7D7A6AB1B000} AppID {4D05A335-1A1C-46B3-BCFF-7F25B326895C}
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\InprocServer32 C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\InprocServer32 ThreadingModel Both
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\ProgID CheckProduct2.CheckProduct.1
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\TypeLib {30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B}\VersionIndependentProgID CheckProduct2.CheckProduct
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B} CheckProduct Class
HKEY_CLASSES_ROOT\CLSID\{C427B3E3-28DC-4001-9590-D99B6776119B} AppID {8C65AEF6-E413-4314-815B-82717A3F1603}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}\TypeLib {30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{4F79D1C5-24F9-4E59-8022-604D4B41D5CA} ICheckProduct
HKEY_CLASSES_ROOT\Interface\{C0A3779C-3345-4150-BD63-C399EB32661E}
HKEY_CLASSES_ROOT\Interface\{C0A3779C-3345-4150-BD63-C399EB32661E}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{C0A3779C-3345-4150-BD63-C399EB32661E}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{C0A3779C-3345-4150-BD63-C399EB32661E}\TypeLib {4D05A335-1A1C-46B3-BCFF-7F25B326895C}
HKEY_CLASSES_ROOT\Interface\{C0A3779C-3345-4150-BD63-C399EB32661E}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{C0A3779C-3345-4150-BD63-C399EB32661E} ICreationNotifier
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\0\win32 C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0\HELPDIR C:\Programme\Gemeinsame Dateien\WinSoftware\
HKEY_CLASSES_ROOT\TypeLib\{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}\1.0 CheckProduct2 1.0 Type Library
HKEY_CLASSES_ROOT\TypeLib\{4D05A335-1A1C-46B3-BCFF-7F25B326895C}
HKEY_CLASSES_ROOT\TypeLib\{4D05A335-1A1C-46B3-BCFF-7F25B326895C}\1.0\0\win32 blank
HKEY_CLASSES_ROOT\TypeLib\{4D05A335-1A1C-46B3-BCFF-7F25B326895C}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{4D05A335-1A1C-46B3-BCFF-7F25B326895C}\1.0\HELPDIR C:\Programme\Gemeinsame Dateien\WinSoftware\
HKEY_CLASSES_ROOT\TypeLib\{4D05A335-1A1C-46B3-BCFF-7F25B326895C}\1.0 FileCreationFilter 1.0 Type Library
HKEY_CLASSES_ROOT\VapFM.CreationNotifier
HKEY_CLASSES_ROOT\VapFM.CreationNotifier\CLSID {328BA26A-1619-47ee-A37D-7D7A6AB1B000}
HKEY_CLASSES_ROOT\VapFM.CreationNotifier\CurVer VapFM.CreationNotifier.1
HKEY_CLASSES_ROOT\VapFM.CreationNotifier CCreationNotifier Object
HKEY_CLASSES_ROOT\VapFM.CreationNotifier.1
HKEY_CLASSES_ROOT\VapFM.CreationNotifier.1\CLSID {328BA26A-1619-47ee-A37D-7D7A6AB1B000}
HKEY_CLASSES_ROOT\VapFM.CreationNotifier.1 CCreationNotifier Object
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware\WinAntiSpyware 2005 ActivationCode 83811556-743D-4780-9DD2-25ED925D9D6C
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware\WinAntiSpyware 2005 Abbr UWAS5
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware\WinAntiSpyware 2005 ProductName WinAntiSpyware 2005
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware\WinAntiSpyware 2005 Settings
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 Service wff
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 Legacy 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 ConfigFlags 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 Class LegacyDriver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 DeviceDesc wff
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 Service wff
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 Legacy 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 ConfigFlags 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 Class LegacyDriver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 DeviceDesc wff
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF NextInstance 1
Dieser Beitrag wurde am 10.12.2005 um 19:06 Uhr von Stecky2000 editiert.
Seitenanfang Seitenende
10.12.2005, 17:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 das Problem ist nur: Infected files detected und nicht *Remove, wie ich geschrieben hatte......

Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2005, 19:06
Member

Themenstarter

Beiträge: 21
#26 Hab ich doch gemacht!

Nach beendetem Scan hatte ich 3 (drei) Pulldowns, bei allen 3 hab ich auf Remove gestellt und dann "Start action" oder so.

Aber gut, ich mache es noch mal.
Seitenanfang Seitenende
10.12.2005, 20:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 Stecky2000

na fein...hast du es editiert, oder habe ich schief gesehen lol

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:



dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2005, 21:01
Member

Themenstarter

Beiträge: 21
#28 Nee, hast nicht schief gesehen, war tatsächlich noch was in der Registry, hat der Counterspy aber auch nach 3 Läufen mit "remove" nicht wegbekommen.

Waren zwei Registry-Ordner die ich gelöscht habe, dan hat Counterspy Ruhe gegeben:

Spyware Scan Details
Start Date: 10.12.2005 20:55:53
End Date: 10.12.2005 20:57:43
Total Time: 1 mins 50 secs

Detected spyware
No spyware were found during this scan.

So, das Ergebnis von findjobs:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\WINNT\tasks

20.06.2003 18:17 <DIR> .
20.06.2003 18:17 <DIR> ..
10.12.1999 13:00 65 desktop.ini
10.12.2005 20:47 6 SA.DAT
2 Datei(en) 71 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop
Dieser Beitrag wurde am 10.12.2005 um 21:03 Uhr von Stecky2000 editiert.
Seitenanfang Seitenende
10.12.2005, 21:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 poste noch mal das zweite Log: (von datfinbat

Zitat

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2005, 21:24
Member

Themenstarter

Beiträge: 21
#30 Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C8E7-67FF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

10.12.2005 20:49 32.768 ~DF725A.tmp
10.12.2005 20:49 1.212.416 ~DF4373.tmp
10.12.2005 20:48 16.384 ~DF579F.tmp
10.12.2005 20:48 32.768 ~DF3A.tmp
10.12.2005 20:47 16.384 ~DFC8B0.tmp
10.12.2005 20:47 49.152 ~DFAFAD.tmp
10.12.2005 19:54 1.212.416 ~DFD24E.tmp
10.12.2005 19:54 49.152 ~DF32CF.tmp
10.12.2005 19:54 32.768 ~DF2B94.tmp
10.12.2005 19:54 16.384 ~DFE686.tmp
10.12.2005 10:48 16.384 ~DF1BAB.tmp
10.12.2005 10:41 32.768 ~DF6FAD.tmp
10.12.2005 10:41 16.384 ~DFBB22.tmp
10.12.2005 10:40 49.152 ~DF9F19.tmp
10.12.2005 09:29 1.212.416 ~DFD294.tmp
10.12.2005 09:29 32.768 ~DF3F1.tmp
10.12.2005 09:29 16.384 ~DFE70A.tmp
10.12.2005 02:00 16.384 ~DF1655.tmp
10.12.2005 02:00 32.768 ~DF1231.tmp
10.12.2005 02:00 16.384 ~DFF38D.tmp
09.12.2005 17:29 32.768 ~DFA420.tmp
09.12.2005 17:28 16.384 ~DFCD0D.tmp
09.12.2005 17:28 49.152 ~DFB6C0.tmp
09.12.2005 17:19 1.212.416 ~DFFEDF.tmp
09.12.2005 17:19 49.152 ~DF741C.tmp
09.12.2005 17:19 32.768 ~DF6DCE.tmp
09.12.2005 17:19 16.384 ~DF1319.tmp
09.12.2005 17:18 16.384 ~DFF307.tmp
09.12.2005 17:15 81.920 ~DF8F99.tmp
09.12.2005 16:05 1.212.416 ~DF7C76.tmp
09.12.2005 16:05 49.152 ~DFAD20.tmp
09.12.2005 16:05 32.768 ~DFA636.tmp
09.12.2005 16:05 16.384 ~DF90BA.tmp
09.12.2005 06:29 1.212.416 ~DF2924.tmp
09.12.2005 06:28 49.152 ~DF73F3.tmp
09.12.2005 06:28 32.768 ~DF6B19.tmp
09.12.2005 06:28 16.384 ~DF3D50.tmp
08.12.2005 22:24 1.212.416 ~DF161B.tmp
08.12.2005 22:24 32.768 ~DF41B5.tmp
08.12.2005 22:24 16.384 ~DF2A50.tmp
08.12.2005 22:12 16.384 ~DFE40B.tmp
08.12.2005 21:57 1.376.256 ~DFC354.tmp
08.12.2005 20:48 16.384 ~DFD77C.tmp
08.12.2005 19:29 1.212.416 ~DFFEC9.tmp
08.12.2005 19:29 32.768 ~DF36CF.tmp
08.12.2005 19:29 16.384 ~DF12EC.tmp
08.12.2005 19:27 32.768 ~DF71FB.tmp
08.12.2005 19:26 16.384 ~DF317E.tmp
08.12.2005 19:26 49.152 ~DFF339.tmp
07.12.2005 21:55 32.768 ~DF537.tmp
07.12.2005 21:43 1.212.416 ~DF9884.tmp
07.12.2005 21:42 32.768 ~DFC451.tmp
07.12.2005 21:42 16.384 ~DFACD2.tmp
07.12.2005 21:37 16.384 ~DFA6C5.tmp
05.12.2005 05:31 32.768 ~DF5ECE.tmp
55 Datei(en) 13.615.104 Bytes
0 Verzeichnis(se), 1.970.991.104 Bytes frei


Logfile of HijackThis v1.99.1
Scan saved at 21:24:09, on 10.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\K9\K9.exe
C:\Programme\One Guy Coding\Automachron\achron.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [HijackThis startup scan] F:\xxxxxx\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Launch K9.lnk = C:\Programme\K9\K9.exe
O4 - Startup: Verknüpfung mit achron.exe.lnk = C:\Programme\One Guy Coding\Automachron\achron.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C1A0EB9-7C49-403B-AB88-426F7AC1AEFE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{34BAFBEC-3C7D-4A56-B878-4DD09BEF6C85}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C1A0EB9-7C49-403B-AB88-426F7AC1AEFE}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C1A0EB9-7C49-403B-AB88-426F7AC1AEFE}: NameServer = 192.168.0.1
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: