Spyware Strike - Problem beim finden des Spyaxe virus

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.01.2006, 13:59
...neu hier

Beiträge: 4
#1 hi leute,
hab ne win xp version und auch dieses Problem mit dieser Spyware Strike adware. ich erhalte immer dieses Fehlermeldung "Your computer is infected".hab versucht mich an die anleitung zu halten, die ihr in den anderen Threads beschrieben hattet, und hijack und cleanUp mal ausprobiert. nur komm ich zu keinem ergebnis. und dann hab ich da noch ne frage bezüglich der 4Textdateien die ihr auf der seite
http://virus-protect.org/datfindbat.html
beschrieben habt. ich weiß leider nicht wo ich diese finde,oder muss man die ersteinmal erstellen? ;). am besten wäre es wenn man mir einfach von anfang an helfen könnte ;),
danke im vorraus
mfg bibil
p.s: anbei das hijack.log-file

Logfile of HijackThis v1.99.1
Scan saved at 13:58:03, on 22.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Bibil\Software\ShutDownPro\ShutDownPro.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Bibil\Software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: ShutDownPro.lnk = D:\Bibil\Software\ShutDownPro\ShutDownPro.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132404067648
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF962336-E424-4B79-BE5E-E827CD793F58}: NameServer = 81.173.194.68 194.8.194.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dieser Beitrag wurde am 22.01.2006 um 14:19 Uhr von Bibil editiert.
Seitenanfang Seitenende
22.01.2006, 14:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Bibil

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien
. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
----------------------------------------------------------------------------

Zitat

Lade die datFind.bat : rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine datFind.bat auf dem Bildschirm.
http://virus-protect.org/bat/datFind.bat

- Suche auf dem Desktop die datFind.bat

doppelklick auf die bat-Datei , der Editor öffnet sich
- nun kopiere zusammen mit dem Pfad ( Verzeichnis von C:\WINDOWS\system32) ca.3 Monate ab und in deinen Thread

* das DOS-Fenster ist geöffnet, klicke "enter"

nun wird sich wieder der Editor öffnen, kopiere ca. 3 Monate

....

das machst du im ganzen 4 mal ;)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.01.2006, 15:25
...neu hier

Themenstarter

Beiträge: 4
#3 hi sabina,
sorry aber ich bin eher einer der nicht so die ahnung hat im umgang mit dem editor und mit DOS. ich hab mir datfind.bat auf dem desktop gespeichert, aber es öffnet sich immer mein firefox fenster da es ja eine htm-datei ist. ich hab die datei jetzt mit dem editor geöffnet aber ich weiß nicht wie ich dann weitermachen soll.kannst du es vielleicht nochmal für dumme erklären ;)? im editor sieht es dann so aus:

_______________________________________________
ciao bibil
Seitenanfang Seitenende
22.01.2006, 15:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 http://virus-protect.org/bat/datFind.bat

wenn du mit der rechten Maustaste auf den Link klickst--Ziel speichern unter--> Desktop --> speichern...

kommt die bat-Datei




__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.01.2006, 15:48
...neu hier

Themenstarter

Beiträge: 4
#5 danke nochmal, ich hab einfach die endung htm gelöscht, und dann klappts auch;).
hoffentlich hilft dir das ergebnis weiter.

Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 7C93-3E31

Verzeichnis von C:\WINDOWS\system32

22.01.2006 15:38 5.140 ncompat.tlb
22.01.2006 15:16 35.865 vsconfig.xml
22.01.2006 15:15 21.001 ld15FA.tmp
21.01.2006 16:24 2.206 wpa.dbl
21.01.2006 16:19 5.120 msvol.tlb
21.01.2006 13:16 102.400 wiatwain.dll
21.01.2006 13:16 4.286 ts.ico
21.01.2006 13:16 4.286 ot.ico
21.01.2006 13:16 9.268 mssearchnet.exe
21.01.2006 13:09 13.885 mscornet.exe

19.01.2006 16:49 158.752 FNTCACHE.DAT
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
14.12.2005 09:24 118.784 sirenacm.dll
02.12.2005 11:51 25.448 productregistry
01.12.2005 04:31 1.492.480 shdocvw.dll
25.11.2005 15:46 5.618 jupdate-1.5.0_05-b05.log
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
23.11.2005 15:05 4.212 zllictbl.dat
20.11.2005 12:44 39.992 perfc009.dat
20.11.2005 12:44 311.604 perfh009.dat
20.11.2005 12:44 316.594 perfh007.dat
20.11.2005 12:44 48.156 perfc007.dat
20.11.2005 12:44 723.744 PerfStringBackup.INI
19.11.2005 12:27 16.832 amcompat.tlb
19.11.2005 12:27 23.392 nscompat.tlb
19.11.2005 10:34 22 ati64hlp.stb
18.11.2005 17:48 243 spupdwxp.log


Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 7C93-3E31

Verzeichnis von C:\DOKUME~1\Antony\LOKALE~1\Temp


Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 7C93-3E31

Verzeichnis von C:\WINDOWS

22.01.2006 15:16 0 0.log
22.01.2006 15:15 1.632.781 WindowsUpdate.log
22.01.2006 15:14 2.048 bootstat.dat
22.01.2006 15:13 30.264 SchedLgU.Txt
21.01.2006 19:03 49 NeroDigital.ini
21.01.2006 18:27 54.156 QTFont.qfn
14.01.2006 15:27 171.828 setupact.log
13.01.2006 12:53 654 Ulead32.ini
11.01.2006 18:36 46.758 wmsetup.log
11.01.2006 16:40 8.464 DirectX.log


Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 7C93-3E31

Verzeichnis von C:\

22.01.2006 15:47 0 sys.txt
22.01.2006 15:46 7.247 system.txt
22.01.2006 15:45 131 systemtemp.txt
22.01.2006 15:42 95.721 system32.txt
22.01.2006 15:14 1.006.632.960 pagefile.sys
05.01.2006 22:18 278 default.set
23.11.2005 15:09 211 boot.ini
18.11.2005 17:21 47.564 NTDETECT.COM
18.11.2005 17:21 251.184 ntldr
18.11.2005 16:15 0 IO.SYS
18.11.2005 16:15 0 CONFIG.SYS
18.11.2005 16:15 0 AUTOEXEC.BAT
18.11.2005 16:15 0 MSDOS.SYS
23.08.2001 13:00 4.952 bootfont.bin
14 Datei(en) 1.007.040.248 Bytes
0 Verzeichnis(se), 1.713.119.232 Bytes frei



(im ordner Temp scheint nichts mehr gewesen zu sein...)
Seitenanfang Seitenende
22.01.2006, 16:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\ld15FA.tmp
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\wiatwain.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\mscornet.exe

PC neustarten

arbeite das ab:
http://virus-protect.org/artikel/bfu/spyaxebfu.html

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

SpywareStrike

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.01.2006, 17:15
...neu hier

Beiträge: 1
#7 Ich hatte mir auch SpywareStrike eingefangen. Habe eben Sabinas Anleitung vom 18.12.2005 abgearbeitet. Hat auf Anhieb funktioniert, der Müll scheint komplett weg zu sein. Vielen, vielen Dank, das ist ein Top-Forum hier!!!!!!!!
Seitenanfang Seitenende
23.01.2006, 00:08
...neu hier

Themenstarter

Beiträge: 4
#8 super es hat geklappt, die suche hat nichts ergeben, das heißt es wurde nichts gefunden bei er suche nach SpywareStrike. bei der virensuche hat man paar viren gefunden aber die sind jetzt auch weg. danke nochmal für deine tatkräftige hilfe. Kann man(n) nur weiterempfehlen;). Falls ich wieder Probleme haben sollte weiß ich ja wo ich anfragen muss.
ciao bibil
Seitenanfang Seitenende
25.01.2006, 21:22
...neu hier

Beiträge: 1
#9 möchte mich meinen vorschreibern anschließen... hab auch die die Anleitung von Sabina abgearbeitet, die diese echt nervige spyware komplett beseitigte, an der andere programme sich die zähne ausgebissen haben.

vielen dank!

(kann man euch auch finanziell ein klein wenig unterstützen?)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: