"SPR/Hoax.Spyware.C-Programme" <-- meldung von AntiVir

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.01.2006, 15:16
...neu hier

Beiträge: 7
#1 kann vielleicht jemand etwas mit dieser meldung von AntiVir anfangen? habe schon versucht diesen virus mit AntiVir zu löschen, aber angeblich findet AntiVir eine bestimmte datei nicht... bin langsam am verzweifeln, da der IE mit irgendwelchen pop-ups aufgeht und auch manchmal eine seite namens h**p://securitylist.net öffnet. ausserdem öffnet sich neben der uhr (toolbar) ständig ein fenster mit der meldung "your computer is infected! dangerous infection was detected on your PC. The system will now download(...)" usw. habe auch mal ein log von hijackthis angefügt.

wäre echt klasse wenn mir jemand helfen könnte! bedanke mich schonmal im vorraus!


Logfile of HijackThis v1.99.1
Scan saved at 15:10:50, on 21.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Thilo\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://business.kitz.net/westendorf/frameset_d.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sagekhk.de
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp255C.tmp
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust\350SX CRADLE MOUSE WIRELESS OPTICAL\lwbwheel.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.sagekhk.de
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LiveUpdateInstaller - Sage Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
Seitenanfang Seitenende
21.01.2006, 16:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 HooNaRa198

das ist der SpyAxe und kann leicht entfernt werden. Mache bitte folgendes:

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.01.2006, 17:21
...neu hier

Themenstarter

Beiträge: 7
#3 vielen dank schonmal! hier nun die textauszüge

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6059-91FE

Verzeichnis von C:\WINDOWS\system32

21.01.2006 17:01 80 ncompat.tlb
21.01.2006 13:59 10.148 hp255C.tmp
21.01.2006 12:56 10.139 hpA525.tmp
21.01.2006 12:52 10.139 hpC2C3.tmp
21.01.2006 12:52 21.001 ldBFF4.tmp
21.01.2006 09:52 102.400 wiatwain.dll

21.01.2006 08:02 381.890 perfh009.dat
21.01.2006 08:02 392.756 perfh007.dat
21.01.2006 08:02 53.634 perfc009.dat
21.01.2006 08:02 64.650 perfc007.dat
21.01.2006 08:02 902.476 PerfStringBackup.INI
05.01.2006 04:41 2.836.320 MRT.exe
02.01.2006 07:25 1.158 wpa.dbl
29.12.2005 03:54 280.064 gdi32.dll
23.12.2005 12:56 43.520 CmdLineExt03.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 28.672 vxblock.dll
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 56.320 pxinsa64.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
25.11.2005 07:19 16.832 amcompat.tlb
25.11.2005 07:19 23.392 nscompat.tlb
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
09.11.2005 07:15 162.728 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 80.896 fontsub.dll
17.10.2005 22:20 118.272 t2embed.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6059-91FE

Verzeichnis von C:\DOKUME~1\Thilo\LOKALE~1\Temp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6059-91FE

Verzeichnis von C:\WINDOWS

21.01.2006 14:53 1.832.103 WindowsUpdate.log
21.01.2006 14:52 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung #2.txt
21.01.2006 14:52 4.230 ModemLog_Agere Systems AC'97 Modem.txt
21.01.2006 14:52 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung.txt
21.01.2006 14:52 159 wiadebug.log
21.01.2006 14:52 50 wiaservc.log
21.01.2006 14:52 0 0.log
21.01.2006 14:52 2.048 bootstat.dat
21.01.2006 14:51 32.596 SchedLgU.Txt
21.01.2006 09:33 240.159 wmsetup.log
21.01.2006 09:09 135 NeroDigital.ini
21.01.2006 08:02 1.131 win.ini
15.01.2006 01:46 767.643 setupapi.log
14.01.2006 19:58 47.104 AKDeInstall.exe
14.01.2006 18:22 24 cdplayer.ini
14.01.2006 18:21 3.507 mozver.dat
12.01.2006 10:47 71.489 HPOins07.log
12.01.2006 10:47 12.655 DevMgr.ini
11.01.2006 12:00 113.321 iis6.log
11.01.2006 12:00 1.374 imsins.log
11.01.2006 12:00 263.380 comsetup.log
11.01.2006 12:00 301.253 tsoc.log
11.01.2006 12:00 10.103 KB908519.log
11.01.2006 12:00 168.637 ntdtcsetup.log
11.01.2006 12:00 35.830 ocmsn.log
11.01.2006 12:00 37.756 msgsocm.log
11.01.2006 12:00 418.191 ocgen.log
11.01.2006 12:00 756.994 FaxSetup.log
06.01.2006 12:59 217.394 setupact.log
06.01.2006 12:00 1.355 imsins.BAK
06.01.2006 12:00 11.098 KB912919.log
06.01.2006 12:00 23.551 updspapi.log
28.12.2005 20:52 0 iPlayer.INI
16.12.2005 12:01 9.895 KB910437.log
16.12.2005 12:01 15.864 KB905915.log
16.12.2005 11:12 32 CD_Start.INI
24.11.2005 09:38 777 ODBC.INI
24.11.2005 09:37 2.899 OEWABLog.txt
08.11.2005 23:42 11.812 KB896424.log
08.11.2005 23:26 99.970 UninstallFirefox.exe
04.11.2005 17:13 10 smdat32m.sys
04.11.2005 17:04 0 smdat32a.sys

28.10.2005 18:57 61.231 DirectX.log
24.10.2005 11:11 4.540 ODBCINST.INI
13.10.2005 20:26 21.104 KB901017.log
13.10.2005 20:26 23.488 KB902400.log
13.10.2005 20:26 15.759 KB905414.log
13.10.2005 20:26 18.207 KB896688.log
13.10.2005 20:26 13.505 KB900725.log
13.10.2005 20:25 11.342 KB904706.log
13.10.2005 20:25 11.942 KB905749.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6059-91FE

Verzeichnis von C:\

21.01.2006 17:20 0 sys.txt
21.01.2006 17:20 13.383 system.txt
21.01.2006 17:20 133 systemtemp.txt
21.01.2006 17:19 107.302 system32.txt
21.01.2006 17:17 14.040 auszug windows.txt
21.01.2006 14:52 534.302.720 hiberfil.sys
21.01.2006 14:52 805.306.368 pagefile.sys
28.11.2005 15:58 494 hpfr5550.xml



hoffe ich hab das soweit richtiig gemacht...
Seitenanfang Seitenende
21.01.2006, 19:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{3646C2BD-3554-49CA-8125-44DEEFB881DE}]
[-HKEY_CLASSES_ROOT\AppID\{8B0FEF15-54DC-49F5-8377-8172DE975F75}]
[-HKEY_CLASSES_ROOT\CLSID\{3f4d4f88-0198-4921-b630-957f3eb814e0}]
[-HKEY_CLASSES_ROOT\CLSID\{9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}]
[-HKEY_CLASSES_ROOT\CLSID\{E813099D-5529-47F4-9B37-4AFAFCB00A43}]
[-HKEY_CLASSES_ROOT\Interface\{AD5BC1F0-72D8-44B3-8E3D-8E8FECCE43FB}]
[-HKEY_CLASSES_ROOT\Interface\{E813099D-5529-47F4-9B37-4AFAFCB00A43}]
[-HKEY_CLASSES_ROOT\AppID\Altnet Signing Module.EXE]
[-HKEY_CLASSES_ROOT\SigningModule.SigningModule]
[-HKEY_CLASSES_ROOT\SigningModule.SigningModule.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AltnetDM]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AltnetDM]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Altnet]
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\hp255C.tmp
C:\WINDOWS\system32\hpA525.tmp
C:\WINDOWS\system32\hpC2C3.tmp
C:\WINDOWS\system32\ldBFF4.tmp
C:\WINDOWS\system32\wiatwain.dll
C:\WINDOWS\Fonts\acrsec.fon
C:\WINDOWS\Fonts\acrsecI.fon
C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\system32\TopSearch.dll
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\smdat32a.sys

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

deinstallieren:
AltnetPointsManager + Altnet (falls es das gibt ;) )

--------------------------------------------------------------------
zum Loeschen von SpyAxe:

arbeite das ab
http://virus-protect.org/artikel/bfu/spyaxebfu.html

wenn alles abgearbeitet ist, scanne noch mit ewido:
http://virus-protect.org/ewido.html

--------------------------------------------------------------------

Information Altnet
http://securityresponse.symantec.com/avcenter/venc/data/adware.topsearch.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.01.2006, 22:18
...neu hier

Themenstarter

Beiträge: 7
#5 hab's endlich geschafft diesen mist vom rechner zu entfernen...

danke nochmal!!!!!!!!!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: