Trojaner TR/Dldr.Zlob.FA!!

...neu hier

Beiträge: 4

#1 Hallo,Könnt ihr mir bitte helfen? habe mir den Trojaner -Name lt. Antivir- TR/Dldr.Zlob.FA eingefangen.
Antivir hatte beim Scan mehrere Funde mit diesem Namen. Ich konnte alle bis auf den Ersten löschen. (Ist wohl normal bei Trojanern?)
Auswirkung: Ständige Popups mit teilweise automatisch startenden Downloads von anti-Spyware-Programmen.
Habe auch schon ein Logfile mit Hijackthis erstellt. Hoffe es hilft weiter. Danke!
mfg Bravo01

Logfile of HijackThis v1.99.1
Scan saved at 13:09:36, on 05.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Downloads\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpD7D.tmp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101337176901
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136548717585
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp07.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFEE2042-2FCA-48F9-833B-2EB6BF2EA64F}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

05.02.2006, 13:39

Ehrenmitglied

Beiträge: 29434

#2 Hallo Bravo01

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpywareStrike

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

arbeite das bitte ab und poste dann den Scanreport vom etrust
http://virus-protect.org/artikel/bfu/spyaxebfu.html
__________
MfG Sabina

rund um die PC-Sicherheit

06.02.2006, 23:01

...neu hier

Themenstarter

Beiträge: 4

#3 Hallo, sieht so aus als ob mein PC wieder sauber wäre. Habe alles wie beschrieben abgearbeitet. Hab allerdings keine Ahnung wie ich einen Scan- Report vom ETRUST-Online-Scan machen soll. Hab jetzt einfach mal die Liste mit den Namen der Infizierten Dateien reinkopiert(ganz unten). Alles bereits manuell gelöscht. Vielen Dank nochmal. Hoffe des passt jetzt alles.
mfg Bravo01

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 05.02.2006 16:12:39 for strings:
; 'spywarestrike'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpywareStrike.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}]
@="SpywareStrike"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0]
@="SpywareStrike 1.0 Type Library"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0\0\win32]
@="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0\HELPDIR]
@="C:\\Programme\\SpywareStrike\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe]
@="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpywareStrike"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe /h"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"DisplayName"="SpywareStrike 2.5"
"UninstallString"="C:\\Programme\\SpywareStrike\\uninst.exe"
"DisplayIcon"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"
"NSIS:StartMenuDir"="SpywareStrike"
"URLInfoAbout"="http://www.spywarestrike.com"
"Publisher"="SpywareStrike"

[HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike]

[HKEY_USERS\S-1-5-21-527237240-1078145449-854245398-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\SpywareStrike]

[HKEY_USERS\S-1-5-21-527237240-1078145449-854245398-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\Alex\\LOKALE~1\\Temp\\sa14.exe"="SpywareStrike Software Installer"
"C:\\Programme\\SpywareStrike\\SpywareStrike.exe"="Anti-spyware software"
"C:\\Programme\\SpywareStrike\\uninst.exe"="SpywareStrike Software Installer"
"C:\\DOKUME~1\\Alex\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpywareStrike Software Installer"
"C:\\DOKUME~1\\Alex\\LOKALE~1\\Temp\\sa21.exe"="SpywareStrike Software Installer"
"C:\\DOKUME~1\\Alex\\LOKALE~1\\Temp\\sa9E.exe"="SpywareStrike Software Installer"
"C:\\DOKUME~1\\Alex\\LOKALE~1\\Temp\\sa9D.exe"="SpywareStrike Software Installer"

; End Of The Log...

ETRUST

Scan starten

Scan anhalten

Dateien bereinigen

Dateien löschen

E-Mail-Adresse zur Dateiübermittlung:

Scanner-Hilfe

Scan-Ergebnisse: 48887 Dateien wurden gescannt. 5 Viren wurden gefunden.

Datei Infektion Status Pfad

winhlpp32.exe Win32.Agobot.AGO
infected C:\WINDOWS\system32\winhlpp32.exe

msvol.tlb Win32.Puper!generic
infected C:\WINDOWS\system32\msvol.tlb

Online Security Guide.url Win32.Moisho
infected C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url

Security Troubleshooting.url Win32.Moisho
infected C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

x.bat BAT.Secdrop
infected C:\Dokumente und Einstellungen\Alex\x.bat

07.02.2006, 00:19

Ehrenmitglied

Beiträge: 29434

#4 da ist noch so einiges...ich muss tiefer graben

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

07.02.2006, 19:57

...neu hier

Themenstarter

Beiträge: 4

#5 Hallo! Wegen dem Clean up! Ich kann "Delete prefetch files" nicht anklicken. Habe in der Hilfe gelesen, dass das bei XP so normal ist. Bin mir jetzt nur nicht mehr ganz sicher!?
Nochmal Danke!

Verzeichnis von C:\WINDOWS\system32

07.02.2006 19:40 21.961 nvapps.xml
07.02.2006 19:17 238 vsconfig.xml
06.02.2006 19:51 2.300 wpa.dbl
18.01.2006 13:05 57.344 avsda.dll
29.12.2005 03:54 280.064 gdi32.dll
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
27.11.2005 18:06 207.304 FNTCACHE.DAT
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
24.10.2005 18:19 384.546 perfh007.dat
24.10.2005 18:19 854.580 PerfStringBackup.INI
24.10.2005 18:19 61.294 perfc007.dat
24.10.2005 18:19 50.668 perfc009.dat
24.10.2005 18:19 374.200 perfh009.dat
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

Verzeichnis von C:\DOKUME~1\Alex\LOKALE~1\Temp

07.02.2006 19:41 2 Twain001.Mtx
07.02.2006 19:41 938 TWAIN.LOG
07.02.2006 19:41 156 Twunk001.MTX
07.02.2006 19:41 0 Twunk002.MTX
4 Datei(en) 1.096 Bytes
0 Verzeichnis(se), 1.210.241.024 Bytes frei

Verzeichnis von C:\Windows

07.02.2006 19:40 1.906.650 WindowsUpdate.log
07.02.2006 19:28 517 wiadebug.log
07.02.2006 19:17 0 0.log
07.02.2006 19:16 2.048 bootstat.dat
06.02.2006 08:02 50 wiaservc.log
05.02.2006 18:54 40.939 setupapi.log
05.02.2006 17:17 860.488 ntbtlog.txt
05.02.2006 17:06 64.519 setupact.log
04.02.2006 15:20 334 CPERROR.LOG
04.02.2006 15:17 26 Lic.xxx
03.02.2006 16:58 192 winamp.ini
01.02.2006 22:01 54.156 QTFont.qfn
06.01.2006 21:27 17.714 tabletoc.log
06.01.2006 21:27 13.457 KB912919.log
06.01.2006 21:27 28.775 medctroc.Log
06.01.2006 21:27 97.651 ntdtcsetup.log
06.01.2006 21:27 1.355 imsins.log
06.01.2006 21:27 572.981 iis6.log
06.01.2006 21:27 198.645 tsoc.log
06.01.2006 21:27 160.264 comsetup.log
06.01.2006 21:27 21.218 msgsocm.log
06.01.2006 21:27 388.691 FaxSetup.log
06.01.2006 21:27 62.029 netfxocm.log
06.01.2006 21:27 24.258 ocmsn.log
06.01.2006 21:27 242.583 ocgen.log
06.01.2006 21:27 146.798 msmqinst.log
06.01.2006 21:27 22.272 updspapi.log
06.01.2006 13:14 599 win.ini
03.01.2006 14:54 167.026 wmsetup.log
28.12.2005 23:33 3.527 mozver.dat
28.12.2005 16:23 1.409 QTFont.for
18.12.2005 18:18 9.368 KB910437.log
18.12.2005 18:18 1.393 imsins.BAK
18.12.2005 18:18 15.376 KB905915.log
11.12.2005 17:18 810 Rtcw.INI
11.12.2005 16:35 740 avmcoins.log
11.12.2005 16:22 1.947 DirectX.log
01.12.2005 18:50 48 ED2000.ini
01.12.2005 18:19 0 nsreg.dat
01.12.2005 18:19 107.132 UninstallFirefox.exe
27.11.2005 16:06 267.993.088 MEMORY.DMP
14.11.2005 17:53 11.790 KB896424.log
26.10.2005 23:48 21.101 KB901017.log
26.10.2005 23:48 23.478 KB902400.log
26.10.2005 23:48 14.005 KB896688.log
26.10.2005 23:48 13.373 KB899589.log
26.10.2005 23:48 13.689 KB905414.log
26.10.2005 23:47 13.537 KB900725.log
26.10.2005 23:47 11.574 KB904706.log
26.10.2005 23:47 11.948 KB905749.log
26.10.2005 23:47 0 setuperr.log
24.10.2005 18:34 2.898 COM+.log

Verzeichnis von C:\

07.02.2006 20:10 0 sys.txt
07.02.2006 20:07 9.649 system.txt
07.02.2006 20:05 439 systemtemp.txt
07.02.2006 20:01 106.931 system32.txt
07.02.2006 19:16 267.964.416 hiberfil.sys
07.02.2006 19:16 402.653.184 pagefile.sys
05.02.2006 17:05 3.724 smitfiles.txt
04.02.2006 15:20 37 Download.log
04.02.2006 15:17 2 AVPCallback.log
06.02.2005 15:05 211 boot.ini
05.02.2005 13:30 8.321 TDSLCheck.txt

07.02.2006, 23:50

Ehrenmitglied

Beiträge: 29434

#6 Bravo01

ich weiss nicht, ob etrust loescht...oder nur anzeigt. Deshalb, schau mal, ob es noch da ist:

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes

C:\WINDOWS\system32\winhlpp32.exe

PC neustarten

SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
kopiere hier den scanreport (txt-Datei)
__________
MfG Sabina

rund um die PC-Sicherheit

10.02.2006, 02:33

...neu hier

Beiträge: 4

#7 Hallo, ich hab mir den gleichen Trojaner eingefangen. Ich habe leider kaum Ahnung von der Materie und verstehe nicht wirklich was ihr oben gemacht habt. Wenn ich ihn per AntiVir behandle, habe ich trotzdem noch die "Symptome" und beim Neustart ist der Troj auch wieder da.

Außerdem wüsste ich gerne was der Troj noch so anstellt und wie gefährlich er ist. Falls ich ihn in nächster Zeit nicht eliminiert bekomme, sollte ich erst einmal auf eBay und andere Seiten mit vertraulichen Inhalt verzichten?

Ich hoffe ihr könnt mir helfen,
danke im vorraus Zero-B

10.02.2006, 12:40

Ehrenmitglied

Beiträge: 29434

#8 Zero-B

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

10.02.2006, 16:27

...neu hier

Themenstarter

Beiträge: 4

#9 Hallo Sabina! Habe bei Killbox den Pfad eingegeben-bringt aber die Fehlermeldung "Pending FileRename has been Removed by External Process!"
Habe die Datei auch selbst gesucht. Ich denke sie ist weg.

SharedTaskScheduler exporter by Grinler

{438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader => %SystemRoot%\System32\browseui.dll

{8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon => %SystemRoot%\System32\browseui.dll

11.02.2006, 13:26

...neu hier

Beiträge: 4

#10 Ich hoffe das stimmt so:

Verzeichnis von C:\WINDOWS\system32

11.02.2006 12:51 5.036 ncompat.tlb
11.02.2006 12:46 5.120 msvol.tlb
11.02.2006 12:46 22.016 hp7892.tmp
09.02.2006 23:02 15.272 nvctrl.exe
09.02.2006 01:46 0 hpE63D.tmp
09.02.2006 01:05 311.604 perfh009.dat
09.02.2006 01:05 723.744 PerfStringBackup.INI
09.02.2006 01:05 316.594 perfh007.dat
09.02.2006 01:05 48.156 perfc007.dat
09.02.2006 01:05 39.992 perfc009.dat
09.02.2006 01:01 22.016 hp940D.tmp
08.02.2006 20:25 102.400 dxmpp.dll
08.02.2006 20:25 4.286 ts.ico
08.02.2006 20:25 4.286 ot.ico
08.02.2006 20:25 9.172 mssearchnet.exe
08.02.2006 20:23 13.805 mscornet.exe
07.02.2006 02:24 664 d3d9caps.dat
06.02.2006 23:55 2.206 wpa.dbl
06.02.2006 00:37 160.344 FNTCACHE.DAT
23.01.2006 19:57 257 spupdwxp.log
18.01.2006 13:05 57.344 avsda.dll
13.10.2005 00:11 118.784 sirenacm.dll

Verzeichnis von C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp

11.02.2006 12:55 54.272 ginstall.dll
11.02.2006 12:47 16.384 ~DFF537.tmp
11.02.2006 12:47 512 ~DFE7AC.tmp
11.02.2006 12:47 16.384 ~DFE7A3.tmp
11.02.2006 12:46 409.600 ~DFB409.tmp
11.02.2006 12:45 409.600 ~DF9CC3.tmp
11.02.2006 12:45 16.384 ~DF256D.tmp
11.02.2006 12:45 16.384 ~DF2F85.tmp
23.01.2006 15:36 429 datFind.bat

Verzeichnis von C:\WINDOWS

11.02.2006 12:35 0 0.log
11.02.2006 12:35 159 wiadebug.log
11.02.2006 12:35 2.048 bootstat.dat
10.02.2006 21:10 32.552 SchedLgU.Txt
10.02.2006 21:10 137.468 WindowsUpdate.log
10.02.2006 21:10 50 wiaservc.log
10.02.2006 19:17 202 NeroDigital.ini
10.02.2006 01:18 599.094 setupapi.log
09.02.2006 03:11 13.191 LUINSTALL.LOG
06.02.2006 00:50 754 WORDPAD.INI
05.02.2006 13:25 168.185 setupact.log
31.01.2006 13:02 29.836 wmsetup.log
31.01.2006 10:35 209 TMFilter.log
23.01.2006 20:00 29.360 spupdsvc.log
23.01.2006 20:00 360 DtcInstall.log
23.01.2006 20:00 316.640 WMSysPr9.prx
23.01.2006 19:59 3.703 medctroc.Log
23.01.2006 19:59 4.696 imsins.log
23.01.2006 19:59 2.631 ocmsn.log
23.01.2006 19:59 38.837 ocgen.log
23.01.2006 19:59 2.715 tabletoc.log
23.01.2006 19:59 101.415 iis6.log
23.01.2006 19:59 27.991 comsetup.log
23.01.2006 19:59 18.081 ntdtcsetup.log
23.01.2006 19:59 25.794 tsoc.log
23.01.2006 19:59 2.590 msgsocm.log
23.01.2006 19:59 35.543 FaxSetup.log
23.01.2006 19:59 7.626 netfxocm.log
23.01.2006 19:59 23.210 msmqinst.log
23.01.2006 19:58 1.519 OEWABLog.txt
23.01.2006 13:30 1.374 imsins.BAK
23.01.2006 13:30 435.502 svcpack.log
23.01.2006 13:26 200 cmsetacl.log
23.01.2006 13:26 711.127 setuplog.txt
23.01.2006 13:26 542 win.ini
23.01.2006 13:25 1.330 sessmgr.setup.log
23.01.2006 13:04 3.840 Windows Update.log
23.01.2006 04:03 2.047 CDPlayer.ini
28.12.2005 21:01 169.200 Directx.log
03.11.2005 01:19 3.728 regopt.log

Verzeichnis von C:\

06.02.2080 18:34 6.007 fw.htm
08.06.2013 08:17 512 BOOTSECT.DOS
08.06.2013 08:17 156 BOOT.BAK
06.06.2013 04:25 4.476 ffastun.ffa
06.06.2013 04:25 249.856 ffastun.ffo
06.06.2013 04:25 811.008 ffastun.ffl
06.06.2013 04:25 1.925.120 ffastun0.ffx
29.05.2013 12:09 59.148 Dokument wurde gesichert.txt
26.05.2013 12:24 2.528 SCANDISK.LOG
18.05.2013 16:00 69.050 BOOTLOG.TXT
18.05.2013 09:15 62.483 BOOTLOG.PRV
11.05.2013 23:19 357.760 track_14.gpk
11.05.2013 23:19 10.754.348 Hidden-Twist (Vocals).wav
11.05.2013 23:19 42.008 Hidden-Twist (Vocals).gpk
11.05.2013 23:17 208.358 14.gpk
11.05.2013 23:17 53.340.196 14.wav
11.05.2013 23:13 91.586.924 track_14.wav
17.03.2013 01:02 460 Neues Projekt.mp3
17.03.2013 01:01 250.488 Nrob Wen.gpk
17.03.2013 01:01 64.124.972 Nrob Wen.wav
17.03.2013 01:01 250.488 New Born.gpk
17.03.2013 00:52 64.124.972 New Born2.wav
17.03.2013 00:50 333.668 Ataccot000.Neues Projekt.p.pk
17.03.2013 00:50 85.418.540 Ataccot000.Neues Projekt.p.wav
17.03.2013 00:47 105.984 System of a Down-System of a Down-03. Sugar.gpk
17.03.2013 00:47 129.240 Linkin Park - Numb.gpk
17.03.2013 00:47 219.636 XX0.$$$
17.03.2013 00:46 451 Neues Projekt.dat
17.03.2013 00:46 333.668 Ataccot.pk
17.03.2013 00:45 85.418.540 Ataccot.wav
17.03.2013 00:45 333.666 a-a-01. bach.gpk
17.03.2013 00:45 333.666 Ataccot.gpk
17.03.2013 00:41 85.418.540 a-a-01. bach.wav
17.03.2013 00:19 27.131.948 System of a Down-System of a Down-03. Sugar.wav
17.03.2013 00:14 132.030 Gackt - Illness Illusion.gpk
17.03.2013 00:14 12.647.396 Trai.wav
17.03.2013 00:14 49.402 Trai.gpk
17.03.2013 00:06 33.085.484 Linkin Park - Numb.wav
16.03.2013 23:50 33.799.724 Gackt - Illness Illusion.wav
16.03.2013 23:48 28.734 PsycholeCemu-GekiaiMerryGoRound.gpk
16.03.2013 23:48 7.355.976 PsycholeCemu-GekiaiMerryGoRound.wav
27.01.2013 22:01 35 BOOTDISK.SYS
31.12.2012 21:11 108 CONFIG.SYS
28.12.2012 06:52 240 SETUPXLG.TXT
28.12.2012 06:51 2.885 Sampler7.LOG
28.12.2012 01:11 181 AUTOEXEC.BAT
27.12.2012 21:15 49.152 VIDEOROM.BIN
27.12.2012 21:14 113.750 SETUPLOG.TXT
27.12.2012 21:14 6.516 NETLOG.TXT
27.12.2012 21:13 1.684 MSDOS.SYS
27.12.2012 21:12 72.736 DETLOG.TXT
27.12.2012 21:10 1.011 FRUNLOG.TXT
27.12.2012 21:04 5.166 SUHDLOG.DAT
27.12.2012 21:04 552.992 SYSTEM.1ST
27.12.2012 20:55 22 MSDOS.---
27.12.2012 20:54 15.106 SETUPLOG.OLD
11.02.2006 13:02 0 sys.txt
11.02.2006 13:01 5.693 system.txt
11.02.2006 13:00 687 systemtemp.txt
11.02.2006 13:00 103.376 system32.txt
11.02.2006 12:35 301.989.888 pagefile.sys
02.02.2006 00:31 47.737 ebay.txt
23.01.2006 13:26 211 boot.ini
23.01.2006 13:19 251.184 ntldr
23.01.2006 13:19 47.564 ntdetect.com
01.11.2005 20:43 19.189 hpfr3425.log
01.11.2005 20:43 519 hpfr3420.xml

und jetzt?

P.s.: Das mit dem Log scheint nicht zu funkionieren.

11.02.2006, 15:32

Ehrenmitglied

Beiträge: 29434

#11 Zero-B

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyFalcon

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

11.02.2006, 16:05

...neu hier

Beiträge: 4

#12 Ich hab die Datei zu einem Zeitpunkt erstellt an dem SpyFalcon installiert ist weil ed sowieso wieder selbst installiert:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 11.02.2006 16:01:03 for strings:
; 'spyfalcon'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{244B730E-D899-4E38-9428-03D1143242E0}\1.0\0\win32]
@="C:\\Programme\\SpyFalcon\\SpyFalcon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{244B730E-D899-4E38-9428-03D1143242E0}\1.0\HELPDIR]
@="C:\\Programme\\SpyFalcon\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyFalcon.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyFalcon.exe]
@="C:\\Programme\\SpyFalcon\\SpyFalcon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpyFalcon"="C:\\Programme\\SpyFalcon\\SpyFalcon.exe /h"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyFalcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyFalcon]
"DisplayName"="SpyFalcon 2.0"
"UninstallString"="C:\\Programme\\SpyFalcon\\uninst.exe"
"DisplayIcon"="C:\\Programme\\SpyFalcon\\SpyFalcon.exe"
"NSIS:StartMenuDir"="SpyFalcon"
"URLInfoAbout"="http://www.spyfalcon.com"
"Publisher"="SpyFalcon LLC"

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyFalcon]

[HKEY_USERS\S-1-5-21-1659004503-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpyFalcon]

[HKEY_USERS\S-1-5-21-1659004503-152049171-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\sa9.exe"="SpyFalcon Software Installer"
"C:\\Programme\\SpyFalcon\\SpyFalcon.exe"="Anti- spyware and adware"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpyFalcon Software Installer"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\sa11.exe"="SpyFalcon Software Installer"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\sa3.exe"="SpyFalcon Software Installer"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\sa23.exe"="SpyFalcon Software Installer"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\sa8.exe"="SpyFalcon Software Installer"
"C:\\Programme\\SpyFalcon\\uninst.exe"="SpyFalcon Software Installer"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\saE.exe"="SpyFalcon Software Installer"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\sa14.exe"="SpyFalcon Software Installer"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\sa5.exe"="SpyFalcon Software Installer"
"C:\\DOKUME~1\\NOI~1.SER\\LOKALE~1\\Temp\\saD.exe"="SpyFalcon Software Installer"

; End Of The Log...

11.02.2006, 18:36

Ehrenmitglied

Beiträge: 29434

#13 Zero-B

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp7892.tmp
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\~nsu.tmp
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\sa11.exe
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\sa3.exe
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\sa23.exe
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\sa8.exe
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\saE.exe
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\sa14.exe
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\sa5.exe
C:\DOKUME~1\NOI~1.SER\LOKALE~1\Temp\saD.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\hpE63D.tmp
C:\WINDOWS\system32\hp940D.tmp
C:\WINDOWS\system32\dxmpp.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\mscornet.exe

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite das bitte ab:
http://virus-protect.org/artikel/bfu/spyaxebfu.html
__________
MfG Sabina

rund um die PC-Sicherheit

12.02.2006, 17:37