SpyAxe hat mich :(

#1 guden tach!

mich hat er auch erwischt, der pöse spyaxe! (seit gestern abend)
da ich jetzt bei schritt 4 von sabinas liste angekommen bin, habe ich mich angemeldet, um meine editor daten zu posten. hier sind sie:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\system32

28.12.2005 00:42 21.785 FFASTLOG.TXT
27.12.2005 09:36 375.406 perfh009.dat
27.12.2005 09:36 385.728 perfh007.dat
27.12.2005 09:36 51.204 perfc009.dat
27.12.2005 09:36 61.968 perfc007.dat
27.12.2005 09:36 858.270 PerfStringBackup.INI
27.12.2005 09:31 2.206 wpa.dbl
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
09.11.2005 02:46 309.192 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 16:27 534.280 LegitCheckControl.DLL
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\DOKUME~1\Markus\LOKALE~1\Temp

28.12.2005 01:02 512 ~DF61E7.tmp
28.12.2005 01:02 512 ~DF5DB2.tmp
28.12.2005 01:00 3 Twain001.Mtx
28.12.2005 01:00 667 TWAIN.LOG
28.12.2005 01:00 156 Twunk001.MTX
28.12.2005 00:44 16.384 ~DFFD59.tmp
28.12.2005 00:44 49.152 ~DF68B.tmp
28.12.2005 00:43 357 ~WRD0001.doc
28.12.2005 00:43 7.168 ~WRS0002.tmp
28.12.2005 00:43 494 msoCABC7.wmf
28.12.2005 00:43 494 mso2F24E.wmf
28.12.2005 00:43 494 mso9BB49.wmf
28.12.2005 00:43 106 msoD71A8.wmf
28.12.2005 00:43 32.768 ~WRF0000.tmp
28.12.2005 00:43 3.240 mso1F59B.wmf
28.12.2005 00:43 370 mso9B28C.wmf
28.12.2005 00:43 512 ~DF642D.tmp
28.12.2005 00:43 512 ~DF1C00.tmp
28.12.2005 00:21 0 sa2.tmp
28.12.2005 00:15 0 sa1.tmp
28.12.2005 00:00 31.692 SALanguage.ini
27.12.2005 23:52 49.152 ~DF1472.tmp
27.12.2005 23:51 0 Twunk002.MTX
25.12.2005 04:00 120 0FD1A8EB.TMP
12.11.2005 16:47 24.613 IadHide5.dll


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS

28.12.2005 00:42 0 0.log
28.12.2005 00:42 4.210 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
28.12.2005 00:42 1.660.220 WindowsUpdate.log
28.12.2005 00:42 50 wiaservc.log
28.12.2005 00:42 159 wiadebug.log
28.12.2005 00:42 832.953 setupapi.log
28.12.2005 00:41 2.048 bootstat.dat
28.12.2005 00:40 247.594 ntbtlog.txt
28.12.2005 00:35 226.527 setupact.log
28.12.2005 00:35 0 setuperr.log
28.12.2005 00:23 32.626 SchedLgU.Txt
27.12.2005 22:42 22.177 KB905915.log
27.12.2005 21:23 94.208 jgz.exe
27.12.2005 09:39 4.350 COM+.log
27.12.2005 02:21 434.464 wmsetup.log
25.12.2005 12:39 6.601 Markus8.xlb
25.12.2005 12:39 348.160 offitems.log
15.12.2005 03:01 128.469 ntdtcsetup.log
15.12.2005 03:01 98.490 iis6.log
15.12.2005 03:01 211.474 comsetup.log
15.12.2005 03:01 28.579 ocmsn.log
15.12.2005 03:01 1.393 imsins.log
15.12.2005 03:01 249.639 tsoc.log
15.12.2005 03:01 11.527 KB910437.log
15.12.2005 03:01 30.963 msgsocm.log
15.12.2005 03:01 320.315 ocgen.log
15.12.2005 03:01 621.607 FaxSetup.log
15.12.2005 03:01 29.416 updspapi.log
15.12.2005 03:01 1.393 imsins.BAK
12.11.2005 16:47 118.784 bwUnin-7.2.0.157-8876480SL.exe
09.11.2005 02:23 21.050 KB896424.log
16.10.2005 02:01 24.839 KB901017.log
16.10.2005 02:01 27.249 KB902400.log
16.10.2005 02:01 17.417 KB896688.log
16.10.2005 02:01 14.683 KB905414.log
16.10.2005 02:01 14.402 KB900725.log
16.10.2005 02:00 12.077 KB904706.log
16.10.2005 02:00 11.894 KB905749.log
10.08.2005 02:01 20.392 KB899587.log


Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\

28.12.2005 01:11 0 sys.txt
28.12.2005 01:11 12.439 system.txt
28.12.2005 01:10 1.514 systemtemp.txt
28.12.2005 00:48 101.903 system32.txt
28.12.2005 00:41 536.399.872 hiberfil.sys
28.12.2005 00:41 805.306.368 pagefile.sys
28.12.2005 00:33 1.893 smitfiles.txt
27.12.2005 10:54 0 EPG_Chan.log
27.12.2005 06:55 5.482 ffastun.ffa
27.12.2005 06:55 196.608 ffastun.ffo
27.12.2005 06:55 3.104.768 ffastun0.ffx
27.12.2005 06:55 458.752 ffastun.ffl
23.10.2004 19:33 0 itouch_config_crash_info.txt
20.10.2004 16:48 174 mw.log
20.10.2004 16:48 171 itouch.log
20.10.2004 16:48 0 itouch_crash_info.txt
18.10.2004 13:01 211 boot.ini
18.10.2004 12:56 47.564 NTDETECT.COM
18.10.2004 12:56 251.184 ntldr
14.08.2004 13:06 1.784 log.txt


ich laie wundere mich über soviele daten und buchstaben... *g*
was sagt es euch? ich hoffe viiiiel!

nun aber mein riesen dank an euch alle, die mitgeholfen haben, dass ich mich vom blinken und dem anderen schlimmen kram, den ich garnet abschätzen kann, befreien konnte!!!!

viele grüsse, Longii.

#2 Longii

http://www.malwareupload.com/
Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.

C:\WINDOWS\jgz.exe

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\jgz.exe

----------------------------------------------------------

loeschen
C:\DOKUME~1\Markus\LOKALE~1\Temp\sa2.tmp
C:\DOKUME~1\Markus\LOKALE~1\Temp\sa1.tmp

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#3 nun hab ich ne frage:

ich kann keine der angegebenen daten finden, solche dateien, die killbox beim booten löschen soll. hab ich was mit den augen, oder seht ihr irgendwas?^^

#4

Zitat

Longii postete
nun hab ich ne frage:

ich kann keine der angegebenen daten finden, solche dateien, die killbox beim booten löschen soll. hab ich was mit den augen, oder seht ihr irgendwas?^^

was ich sehe, habe ich zur ueberpruefung und zum Loeschen angegeben

jgz.exe muss unbedingt nach der Ueberpruefung geloescht werden...auch wenn es nicht als virus erkannt wird...
__________
MfG Sabina

rund um die PC-Sicherheit

#5 jawoll cheffin! wird erledigt!

kann ich die datei schon löschen, bevor die jungs nen kommentar abgegeben haben? und kann ich davon ausgehen, dass das die einzige datei ist?

greetz, longii.

#6 sobald die Datei hochgeladen wurde, kannst du sie loeschen
__________
MfG Sabina

rund um die PC-Sicherheit

#7 sodele, ich bin zurück aus den tiefsten tiefen meines rechners. hab zwar keinen plan, was ich da gemacht habe (knapp 5h lang), aber der panda scan hat mir ne saubere weste beurteilt. und wordpad hat wohl noch die letzten krümel von spyaxe weggefegt.^^

ne antwort auf den jgz.exe hab ich noch nicht, poste ich aber, sobald sie da ist.

ich weis, ich wiederhole mich: MUUUUCHOOOSSSSS THX!!!!!!!!
was hätte ich nur ohne euch, dich sabina, gemacht... tollen job macht ihr hier!

wünsche schon mal allseits n gudn rutsch!, ich werde euch weiter empfehlen!

greetzle, Longii.

#8 Hey ihr Spyware-Killer!
Bin jetzt auch vom Spyaxe befallen worden und total überfordert...
Wäre echt klasse, wenn mir jemand aus diesem Schlamassel raushilft. Hab die Anleitung bis Schritt 4 befolgt. Jetzt kopier ich mal meine Daten hier rein. Hoffe ich mach das richtig, bin nämlich auch nicht grad ein Fachmann wenns um Computer geht...

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 444A-4937

Verzeichnis von C:\WINDOWS\system32

28.12.2005 04:43 4.412 nvapps.xml
28.12.2005 04:00 552 d3d8caps.dat
28.12.2005 03:26 13.646 wpa.dbl
28.12.2005 02:44 11.630 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
28.12.2005 02:04 401.084 perfh009.dat
28.12.2005 02:04 61.292 perfc009.dat
28.12.2005 02:04 74.874 perfc007.dat
28.12.2005 02:04 417.136 perfh007.dat
28.12.2005 02:04 963.940 PerfStringBackup.INI
27.12.2005 23:28 36.864 intercept.dll
27.12.2005 21:13 102.400 wbeconm.dll
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 444A-4937

Verzeichnis von C:\DOKUME~1\Johannes\LOKALE~1\Temp

28.12.2005 05:24 2.600.393 saF.exe
28.12.2005 05:23 0 saF.tmp
28.12.2005 04:44 31.692 SALanguage.ini
28.12.2005 04:43 412 jusched.log
28.12.2005 04:17 2.600.393 sa1.exe
28.12.2005 04:16 0 sa1.tmp
28.12.2005 03:48 0 sa4.tmp
28.12.2005 03:48 0 sa3.tmp
23.12.2005 12:04 120 0FD1A8EB.TMP


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 444A-4937

Verzeichnis von C:\WINDOWS

man beachte das Datum

14.01.2006 08:57 400 ODBC.INI
13.01.2006 01:28 1.374 imsins.BAK
13.01.2006 01:28 10.462 KB910437.log
13.01.2006 01:28 23.978 updspapi.log
13.01.2006 01:28 17.416 KB905915.log
30.12.2005 04:20 723 win.ini
29.12.2005 18:17 3.324 tm.ini
28.12.2005 04:43 51 iTouch.ini
28.12.2005 04:43 2.009.769 WindowsUpdate.log
28.12.2005 04:16 0 0.log
28.12.2005 04:16 2.048 bootstat.dat
28.12.2005 03:46 174.996 setupact.log
28.12.2005 03:37 222.850 ntbtlog.txt
28.12.2005 03:34 32.638 SchedLgU.Txt
28.12.2005 02:44 3.041 setupapi.log
28.12.2005 02:07 852 DtcInstall.log
28.12.2005 02:04 72.950 ntdtcsetup.log
28.12.2005 02:04 419.539 iis6.log
28.12.2005 02:04 121.051 comsetup.log
28.12.2005 02:04 23.824 MedCtrOC.log
28.12.2005 02:04 174.814 ocgen.log
28.12.2005 02:04 17.059 msgsocm.log
28.12.2005 02:04 16.844 tabletoc.log
28.12.2005 02:04 158.375 tsoc.log
28.12.2005 02:04 18.655 ocmsn.log
28.12.2005 02:04 4.757 imsins.log
28.12.2005 02:04 326.143 FaxSetup.log
28.12.2005 02:04 58.527 netfxocm.log
28.12.2005 02:04 112.110 msmqinst.log
27.12.2005 23:28 36.864 intercept.dll
27.12.2005 20:37 116 NeroDigital.ini
27.12.2005 17:41 125.762 wmsetup.log
25.12.2005 19:03 216 wiadebug.log
25.12.2005 17:53 50 wiaservc.log
23.12.2005 22:03 50 cdplayer.ini
23.12.2005 22:02 379 wmsetup10.log
17.11.2005 19:49 1.038.687 setupapi.log.0.old
16.11.2005 22:41 75.765 Run32S60.mch
16.11.2005 22:40 35 A6W.INI
16.11.2005 22:40 184 AWSHKWV.INI
11.11.2005 16:50 11.927 KB896424.log
15.10.2005 14:11 23.249 KB901017.log
15.10.2005 14:11 26.865 KB902400.log
15.10.2005 14:10 17.011 KB896688.log
15.10.2005 14:10 13.968 KB899589.log
15.10.2005 14:10 14.287 KB905414.log
15.10.2005 14:10 14.208 KB900725.log
15.10.2005 14:10 11.408 KB904706.log
15.10.2005 14:09 12.041 KB905749.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 444A-4937

Verzeichnis von C:\

28.12.2005 05:33 0 sys.txt
28.12.2005 05:32 9.557 system.txt
28.12.2005 05:30 667 systemtemp.txt
28.12.2005 04:57 103.747 system32.txt
28.12.2005 04:16 536.137.728 hiberfil.sys
28.12.2005 04:16 805.306.368 pagefile.sys
28.12.2005 03:41 1.909 smitfiles.txt
17.06.2005 15:24 0 DBS.TXT
04.03.2005 14:44 11.666.976 RealPlayer10-5GOLD_de.exe
02.02.2005 21:20 19.604 B05_Err.log
07.01.2005 13:40 211 boot.ini
18.12.2004 13:42 13.030 PDOXUSRS.NET
16.12.2004 14:03 430 TO_InstallLog.txt
16.12.2004 11:21 9.153 pltemp.ini
16.12.2004 10:19 0 MSDOS.SYS
16.12.2004 10:19 0 IO.SYS
16.12.2004 10:19 0 CONFIG.SYS
16.12.2004 10:19 0 AUTOEXEC.BAT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM

Danke schon mal im Vorraus an alle die hier mit vollem Einsatz versuchen Probleme zu beseitigen...

Mfg Jojo

#9 Jojo25

Zitat

Hallo Sabina
Habe von Noahdfear die Information bekommen das er jetzt ein Intercept.dll
hat um zu untersuchen ,aber er braucht noch einige
Ist es möglich das Du leute fragt diesen Dll up-zu-loaden via http://www.thespykiller.co.uk/forum/index.php?board=1.0

Man meldet sich da als Gast(Guest)unter seinem Nickname Umschreibung "File for Noahdfear"und uploaded den Dll mit den Thread von Protecus

lade also diese drei dll fuer den Entwickler von smitrem hoch, damit er sie seinem Tool beifuegen kann.
C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\intercept.dll

+

C:\DOKUME~1\Johannes\LOKALE~1\Temp\saF.exe
C:\DOKUME~1\Johannes\LOKALE~1\Temp\saF.tmp
C:\DOKUME~1\Johannes\LOKALE~1\Temp\SALanguage.ini
----------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\intercept.dll
C:\DOKUME~1\Johannes\LOKALE~1\Temp\saF.exe
C:\DOKUME~1\Johannes\LOKALE~1\Temp\saF.tmp
C:\DOKUME~1\Johannes\LOKALE~1\Temp\SALanguage.ini
C:\DOKUME~1\Johannes\LOKALE~1\Temp\sa1.exe
C:\DOKUME~1\Johannes\LOKALE~1\Temp\sa1.tmp
C:\DOKUME~1\Johannes\LOKALE~1\Temp\sa4.tmp
C:\DOKUME~1\Johannes\LOKALE~1\Temp\sa3.tmp

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

loesche: (falls du es findest)
C:\Programme\SpyAxe
C:\Program Files\SpyAxe
C:\WINDOWS\system32\1024

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 sodele, die auswertung von jgz.exe ist gerade angekommen:


Hallo,
Wir haben Ihre Datei jgz.exe überprüft und kamen zu folgendem Ergebnis:
Adware.180Solutions


greetzle, Longii.

#11 Longii

loesche noch:
C:\DOKUME~1\Johannes\LOKALE~1\Temp\SALanguage.ini
__________
MfG Sabina

rund um die PC-Sicherheit

#12 also mich hat es offensichtlich auch erwischt. Di ersten Schritte habe ich befolgt, was muss ich jetzt tun?
Vielen Dank für eure Hilfe.Wirklich sehr nett.

Verzeichnis von C:\WINDOWS\system32

03.06.2006 16:18 40.973 ld100.tmp
03.06.2006 16:18 7.680 simpole.tlb
03.06.2006 16:18 5.104 stdole3.tlb
03.06.2006 16:18 37.376 hp101.tmp
03.06.2006 15:49 37.376 hp100.tmp
03.06.2006 15:49 40.973 ld101.tmp
03.06.2006 12:06 1.170 wpa.dbl
03.06.2006 10:48 4.286 ot.ico
03.06.2006 10:48 4.286 ts.ico
03.06.2006 10:48 59.904 dcomcfg.exe
03.06.2006 10:48 11.396 atmclk.exe
03.06.2006 10:41 50.189 regperf.exe
17.05.2006 11:23 579.888 LegitCheckControl.dll
19.04.2006 22:09 778.240 divx_xx07.dll
19.04.2006 22:09 778.240 divx_xx0c.dll
19.04.2006 22:09 761.856 divx_xx11.dll
19.04.2006 22:09 619.156 DivX.dll
19.04.2006 00:35 700.416 divxdec.ax
19.04.2006 00:34 421.888 pxdrv.dll
19.04.2006 00:34 108.544 pxcpyi64.exe
19.04.2006 00:34 172.032 pxmas.dll
19.04.2006 00:34 109.568 pxinsi64.exe
19.04.2006 00:34 56.832 pxcpya64.exe
19.04.2006 00:34 372.736 px.dll
19.04.2006 00:34 61.440 pxhpinst.exe
19.04.2006 00:34 56.320 pxinsa64.exe
19.04.2006 00:34 339.968 pxwave.dll
19.04.2006 00:34 28.672 vxblock.dll
19.04.2006 00:31 1.044.480 libdivx.dll
19.04.2006 00:31 200.704 ssldivx.dll
19.04.2006 00:30 3.596.288 qt-dx331.dll
19.04.2006 00:30 53.248 dpuGUI10.dll
19.04.2006 00:30 90.112 dpl100.dll
19.04.2006 00:30 593.920 dpuGUI11.dll
19.04.2006 00:30 200.704 dtu100.dll
19.04.2006 00:30 344.064 dpus11.dll
19.04.2006 00:30 57.344 dpv11.dll
19.04.2006 00:30 294.912 dpu11.dll
19.04.2006 00:30 294.912 dpu10.dll
19.04.2006 00:30 245.408 unicows.dll
19.04.2006 00:30 4.276 divxsm.tlb
19.04.2006 00:30 536.576 DivXsm.exe
19.04.2006 00:30 10.716 dsm_ja.qm
19.04.2006 00:30 15.331 dsm_de.qm
19.04.2006 00:30 15.172 dsm_fr.qm
19.04.2006 00:30 352.401 DivXMedia.ax
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
03.04.2006 11:40 14.048 spmsg.dll
27.03.2006 22:27 40.326 perfc009.dat
27.03.2006 22:27 311.938 perfh009.dat
27.03.2006 22:27 48.552 perfc007.dat
27.03.2006 22:27 317.168 perfh007.dat
27.03.2006 22:27 723.568 PerfStringBackup.INI
22.03.2006 02:38 12.288 DivXWMPExtType.dll
22.03.2006 02:38 8.523 dpude.qm
22.03.2006 02:38 3.136 dtu_de.qm


Verzeichnis von C:\DOKUME~1\Dirk\LOKALE~1\Temp

03.06.2006 16:28 204 jusched.log
03.06.2006 16:19 512 ~DF38F.tmp
03.06.2006 16:19 16.384 ~DF334.tmp
03.06.2006 16:18 512 ~DFD12F.tmp
03.06.2006 16:18 32.768 ~DFCF4E.tmp
03.06.2006 15:53 16.384 ~DF2C84.tmp
6 Datei(en) 66.764 Bytes
0 Verzeichnis(se), 7.763.030.016 Bytes frei


Verzeichnis von C:\WINDOWS

03.06.2006 16:16 1.646.785 WindowsUpdate.log
03.06.2006 16:11 6.558 KB911927.log
03.06.2006 16:10 6.465 KB911562.log
03.06.2006 16:10 6.759 KB900485.log
03.06.2006 16:10 4.955 KB912812.log
03.06.2006 16:07 3.673 KB908531.log
03.06.2006 16:05 3.566 KB913580.log
03.06.2006 16:04 3.468 KB911567.log
03.06.2006 16:00 542.810 setupapi.log
03.06.2006 15:48 0 0.log
03.06.2006 15:48 159 wiadebug.log
03.06.2006 15:48 50 wiaservc.log
03.06.2006 15:48 2.048 bootstat.dat
03.06.2006 15:47 32.540 SchedLgU.Txt
03.06.2006 15:46 95 winamp.ini
03.06.2006 11:56 7.310 WGA.log
03.06.2006 10:20 1.409 QTFont.for
03.06.2006 10:20 54.156 QTFont.qfn
26.05.2006 23:12 25 cdplayer.ini
21.05.2006 19:24 114.688 SeaMonkeyUninstall.exe
21.05.2006 19:24 16.769 mozver.dat
21.05.2006 19:24 486 win.ini
21.05.2006 19:22 104.053 GREUninstall.exe
21.05.2006 19:09 99.024 MozillaUninstall.exe
13.05.2006 21:35 77.687 wmsetup.log
12.05.2006 09:06 173.916 setupact.log
04.04.2006 15:54 44.967 iis6.log
04.04.2006 15:54 104.931 comsetup.log
04.04.2006 15:54 62.321 ntdtcsetup.log
04.04.2006 15:54 115.368 tsoc.log
04.04.2006 15:54 1.891 imsins.log
04.04.2006 15:54 15.845 ocmsn.log
04.04.2006 15:54 145.699 ocgen.log
04.04.2006 15:54 14.498 msgsocm.log
04.04.2006 15:53 278.737 FaxSetup.log
05.02.2006 01:51 1.355 imsins.BAK


Verzeichnis von C:\

03.06.2006 16:52 0 sys.txt
03.06.2006 16:51 7.950 system.txt
03.06.2006 16:50 534 systemtemp.txt
03.06.2006 16:48 93.995 system32.txt
03.06.2006 15:48 200.724.480 hiberfil.sys
03.06.2006 15:48 301.989.888 pagefile.sys
02.06.2006 21:03 253.091 scancode.txt
04.04.2006 20:02 166 ICQLite.log
10.01.2006 01:58 211 boot.ini
25.03.2005 18:04 765 IPH.PH
25.03.2005 17:37 187 TouchPad.log
25.03.2005 17:36 224 RTL8139.log
25.03.2005 17:35 193 RealTek.log
25.03.2005 17:34 163 sis6330.log
25.03.2005 17:10 0 CONFIG.SYS
25.03.2005 17:10 0 MSDOS.SYS
25.03.2005 17:10 0 IO.SYS
25.03.2005 17:10 0 AUTOEXEC.BAT

#13 haubsten

Laden und alles auf dem Desktop entpacken:

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und er registry beifuegen

*
arbeite smitfraud.fix ab und poste beide Logs
http://virus-protect.org/artikel/tools/smitfrautfix.html

-------------------------------------------------------------------------
*
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

*
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit

#14 so schon mal vielen dank. der erste teil ist erledigt. hier die logs.

SmitFraudFix v2.53

Scan done at 22:14:42,73, 03.06.2006
Run from C:\Dokumente und Einstellungen\Dirk\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Dirk\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Dirk\FAVORI~1

C:\DOKUME~1\Dirk\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


SmitFraudFix v2.53

Scan done at 22:27:25,90, 03.06.2006
Run from C:\Dokumente und Einstellungen\Dirk\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


weiß nur nicht ganz genau wie ich mich verhalten soll, denn beim scan bei panda kam die ansage, dass ich 18 spyware und 3 hackertools auf dem rechner habe.
bin absoulter laie und entsprechend überfordert.also wenn ihr mir weiter helfen könntet, wäre super.

#15 Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit