von Spyaxe befallen wie bekomm ich den entfernt? |
||
---|---|---|
#0
| ||
31.12.2005, 01:54
Member
Themenstarter Beiträge: 39 |
||
|
||
31.12.2005, 12:56
Ehrenmitglied
Beiträge: 29434 |
#17
Tikar
--------------------------------------------------------------------- Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Windows Automatic Updates in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ----------------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R3 - Default URLSearchHook is missing O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp467D.tmp (file missing) O4 - HKLM\..\Run: [FNRB32] C:\WINDOWS\6YT1xAIcea3g.exe O4 - HKLM\..\Run: [Start Page] c:\windows\system32\1.bat O23 - Service: Windows Automatic Updates - Stanford University - C:\WINDOWS\system32\windowsautomaticupdates.exe PC neustarten KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\queue.dat C:\WINDOWS\system32\wbeconm.dll C:\WINDOWS\system32\msdd32.exe C:\WINDOWS\system32\atldc.exe C:\WINDOWS\system32\mskc32.exe C:\WINDOWS\system32\addny.exe C:\WINDOWS\system32\sysrc.exe C:\WINDOWS\system32\crmc.exe C:\WINDOWS\system32\iefj32.exe C:\WINDOWS\system32\ipst.exe C:\WINDOWS\system32\addow32.exe C:\WINDOWS\system32\iels.exe c:\windows\system32\1.bat C:\WINDOWS\system32\windowsautomaticupdates.exe C:\WINDOWS\6YT1xAIcea3g.exe C:\DOKUME~1\Tarik\LOKALE~1\Temp\sa3.tmp C:\DOKUME~1\Tarik\LOKALE~1\Temp\sa1.tmp C:\WINDOWS\eyptj.exe C:\WINDOWS\wingz32.exe C:\WINDOWS\tomsa.dat C:\WINDOWS\pmrck.txt C:\WINDOWS\wnqie.log C:\WINDOWS\apipq32.exe C:\WINDOWS\f69f179 C:\WINDOWS\vkhet.log C:\WINDOWS\sdkwl.exe C:\WINDOWS\crtf32.exe C:\WINDOWS\glkxq.log C:\WINDOWS\ienn32.exe C:\WINDOWS\sysot.exe C:\WINDOWS\netrr32.exe C:\WINDOWS\ntor32.exe C:\WINDOWS\iehl.exe C:\WINDOWS\netbo32.exe C:\WINDOWS\ienp.exe pc neustarten poste den scanreport http://virus-protect.org/artikel/tools/ADSSpy.exe SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste ihn hier ------------------------ dann gibt es noch mehr zu tun, aber bis hier reicht es .... arbeite alles ab, dann sehen wir weiter ------------------------- info: (ist fuer mich: C:\WINDOWS\system32\wingz32.exe infected by "TrojanDownloader.Win32.Agent.bq" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.12.2005, 17:26
Member
Themenstarter Beiträge: 39 |
#18
hallo sabina danke für deine viele mühe aber ich komm nicht weiter also wenn ich bei
Start -- Ausführen -- schreib rein: cmd reingehe und dann das sc stop Windows Automatic Updates rein kopier also den pfad C:\Dokumente und Einstellungen\Tarik>sc stop Windows Automatic Updates dann kommt nach dem ich enter drück: C:\Dokumente und Einstellungen\Tarik>sc stop Windows Automatic Updates [SC] OpenService FAILED 1060: Der angegebene Dienst ist kein installierter Dienst. was soll ich machen sabina hab ich es richtig gemacht? habe noch dieses hier ausgeführt ownload Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) hier der txt : REGEDIT4 ; Registry Search by Bobbi Flekman ; Version: 1.0.2.1 ; Results at 31.12.2005 17:15:50 for strings: ; 'windows automatic updates' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] "Service"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] "DeviceDesc"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000\Control] "ActiveService"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates] "DisplayName"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] "Service"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] "DeviceDesc"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Automatic Updates] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Automatic Updates] "DisplayName"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Automatic Updates\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] "Service"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] "DeviceDesc"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000\Control] "ActiveService"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates] "DisplayName"="Windows Automatic Updates" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates\Enum] ; End Of The Log... |
|
|
||
31.12.2005, 18:06
Ehrenmitglied
Beiträge: 29434 |
#19
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Windows Automatic Updates - Stanford University" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "X " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.12.2005, 18:16
Ehrenmitglied
Beiträge: 29434 |
#20
Start -- Ausführen -- regedit (reinschreiben)
bearbeiten--> suchen WINDOWS AUTOMATIC UPDATES Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Automatic Updates] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates] --------------------------------------------------- schliesse die registry, kopiere alles in die killbox, was ich oben gepostet hatte.... und starte den pc neu -------------------------------------------------------- poste den scanreport http://virus-protect.org/artikel/tools/ADSSpy.exe SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste ihn hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.01.2006, 17:49
Member
Themenstarter Beiträge: 39 |
#21
Hallo Sabina wünsche dir erstmal ein frohes neues
habe eben im registrierungseditor nach windows automatic updates , legacy und so gesucht aber bei mir findet er keine registrierungs daten von den sachen also scheint das dieses onicht regiestriert ist oder hab ich was falsch gemacht?habe auf jeden fall unter bearbeiten - suche- windows automatic updates eingegeben und häckchen alle an bei den such optionen für schlüssel,werte , und daten aber scheint sich nix zu tun das er was findet mfg Tikar |
|
|
||
01.01.2006, 17:52
Ehrenmitglied
Beiträge: 29434 |
#22
loesche erst einmal alles mit der Killbox, damit die Viren erst mal weg sind ....
----------------------------------------------------------------------------------- also noch mal: Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Windows Automatic Updates in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.01.2006, 18:40
Member
Themenstarter Beiträge: 39 |
#23
Zitat Sabina posteteder Windows Automatic Updates - Stanford University dienst war schon auf deaktiviert gesetzt |
|
|
||
01.01.2006, 18:41
Ehrenmitglied
Beiträge: 29434 |
#24
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.01.2006, 18:46
Member
Themenstarter Beiträge: 39 |
#25
Zitat Sabina posteteso sabina habe jetzt die von dir oben angegeben dateien mit killbox gelöscht hoffe doch das ich richtig gemacht habe jetzt habe ich noch mal text erstellen lassen von regsearch hier das ergebnis: REGEDIT4 ; Registry Search by Bobbi Flekman ; Version: 1.0.2.1 ; Results at 01.01.2006 18:42:16 for strings: ; 'windows automatic updates windows automatic updates windows automatic updates windows automatic updates' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... |
|
|
||
01.01.2006, 18:48
Ehrenmitglied
Beiträge: 29434 |
#26
poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste ihn hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.01.2006, 19:17
Member
Themenstarter Beiträge: 39 |
#27
Zitat Sabina postetebei den scanreport mit http://virus-protect.org/artikel/tools/ADSSpy.exe wird da auch eine text datei automatisch erstellt?kann es sein das die history heisst weil weiss nicht wo der report davon ist? so hier ist der smitfile.txt smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ Antivirus Test Online.url ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 3044 'explorer.exe' Killing PID 3044 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! |
|
|
||
01.01.2006, 20:47
Ehrenmitglied
Beiträge: 29434 |
#28
poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.01.2006, 23:31
Member
Themenstarter Beiträge: 39 |
#29
Zitat Sabina postetehabe den Quik scan gemacht (Windows Base Folder only ) hier der scan .txt C:\WINDOWS\CompLex4.INI : hhikeo (11801 bytes) C:\WINDOWS\dahotfix.log : shaphq (35353 bytes) C:\WINDOWS\extreme.ini : cbdidl (13581 bytes) C:\WINDOWS\Feder.bmp : ncoszy (3567 bytes) C:\WINDOWS\GEARInstall.log : gdzyti (66560 bytes) C:\WINDOWS\KB823182.log : nhklfm (84545 bytes) C:\WINDOWS\KB824141.log : xiuqzw (11801 bytes) C:\WINDOWS\winnt256.bmp : jsqha (35353 bytes) |
|
|
||
01.01.2006, 23:36
Ehrenmitglied
Beiträge: 29434 |
#30
loesche die Streams :
Zitat C:\WINDOWS\CompLex4.INI : hhikeo (11801 bytes)http://virus-protect.org/multiavtool.html klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ poste die drei scanreporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Zitat
ja das ist okay ausserdem hast du eh schon genug zeit verplembert für mich heute wo ich dir aber für danke sabina also dann gute nacht und süsse träume hoffe du meldest dich morgen wie es weiter geht! vielen dank noch mal kann es nicht oft genug sagenmfg Tikar