Problem mit unspypcThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
08.02.2006, 20:16
Member
Beiträge: 11 |
||
 
|
|
|
|
08.02.2006, 21:37
Member
Beiträge: 96 |
#2
Hallo DJ Niveau!
Ich hab was für dich gefunden, was deine probleme mit unspypc vielleicht behebt. Du solltest natürlich auch den Eintrag O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe fixen. Ich glaub aber das reicht nicht und deswegen kannst du auch noch das hier benutzen: http://www.2-spyware.com/remove-unspypc.html?gclid=CPLc1_udtoIC Ich hoffe ich hab dir weitergeholfen, wenn nicht gibt es bestimmt noch andere die mit deinen Problemen Fertig werden. __________ Mfg Aicalico |
|
|
|
|
|
|
09.02.2006, 00:49
Ehrenmitglied
 Beiträge: 29434 |
#3
DJ Niveau
das ist http://virus-protect.org/artikel/spyware/idemlog2.html http://virus-protect.org/artikel/spyware/idemlog.html http://virus-protect.org/artikel/spyware/favset.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - URLSearchHook: (no name) - {6088FF2E-998F-5345-4D93-575B4AFA0449} - UserSp1.dll (file missing) O1 - Hosts: localhost 127.0.0.1 O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\jfxzx.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\jfxzx.dll O4 - HKLM\..\Run: [XTermInit] teqq32.exe O4 - HKLM\..\Run: [atl_helper] KeywordFinder.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O4 - HKCU\..\Run: [ABCXYZ] ms-its.exe O4 - HKCU\..\Run: [zxc] bhoserv.exe O4 - HKCU\..\Run: [Serviceprocess] StartCpl.exe O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU) O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU) PC neustarten winpfind (poste das Log) http://virus-protect.org/winpfind.html Download f-secure-Beta Trial--> poste den scanreport http://www.f-secure.com/blacklight/ Zitat Manipulierte Internetverbindung zu: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.02.2006, 14:22
Member
Themenstarter Beiträge: 11 |
#4
Hallo!
Erstmal Danke fuer eure Hilfe. Das Problem ist, dass ich den winpfind-scanner nur mit Problemmeldung oeffnen kann. soll ich dennoch das f-secure-Beta trial downloaden? |
|
|
|
|
|
|
09.02.2006, 14:32
Ehrenmitglied
Beiträge: 29434 |
#5
ja, poste alles, was du schaffst
 Alternative zum Winpfind--> Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.02.2006, 14:52
Member
Themenstarter Beiträge: 11 |
#6
Dank dir, dann will ich mal, hoffentlich hilft es weiter:
"Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Synchronization Manager" = "mobsync.exe /logon" [MS] "SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."] "SiS Tray" = "C:\WINNT\system32\sistray.EXE" ["Silicon Integrated Systems Corporation"] "SiS KHooker" = "C:\WINNT\system32\khooker.exe" [file not found] "PCTVOICE" = "pctspk.exe" [empty string] "NeroCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" [null data] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] "Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"] "dscService" = "C:\WINNT\system32\USBPlug.exe" ["Acer Inc."] "dmydb.exe" = "C:\WINNT\system32\dmydb.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{A4DF5659-0801-4A60-9607-1C48695EFDA9}" = "Ordner HP Share-to-Web" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL" ["Hewlett-Packard"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csxdm.exe" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Default executables: -------------------- .SCR: HKLM\SOFTWARE\Classes\AutoCADScriptFile\shell\open\command\ INFECTION WARNING! "Default" = "C:\WINNT\NOTEPAD.EXE "%1"" [MS] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "NoBandCustomize"=dword:00000001 [disables toolbar status changes in Internet Explorer|View|Toolbars] {User Configuration|Administrative Templates|Windows Components| Internet Explorer|Toolbars|Disable customizing browser toolbars} Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINNT\DEI-Logo.jpg" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "SCRNSAVE.EXE" = "C:\WINNT\system32\ssmarque.scr" [MS] Startup items in "Administrator" & "All Users" startup folders: --------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe" [null data] "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" Miscellaneous IE Hijack Points ------------------------------ C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://192.168.0.1:3128/ken2000.html Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] AVM KEN Klient, KEN Client Service, "C:\Programme\KEN!\KENCLI.EXE" ["AVM Berlin"] C-DillaSrv, C-DillaSrv, "C:\WINNT\system32\DRIVERS\CDANTSRV.EXE" ["C-Dilla Ltd"] COM+-Ereignissystem, EventSystem, "C:\WINNT\system32\svchost.exe -k netsvcs" {"C:\WINNT\system32\es.dll" [null data]} Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzlnt04\Driver = "hpzlnt04.dll" ["HP"] PDF Port\Driver = "C:\WINNT\system32\pdfports.dll" [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 32 seconds, including 11 seconds for message boxes) |
|
|
|
|
|
|
09.02.2006, 16:21
Ehrenmitglied
Beiträge: 29434 |
#7
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.02.2006, 09:52
Member
Themenstarter Beiträge: 11 |
#8
Ok, hier die Blacklight-Daten. Ich denke mal, ich soll die rot markierten files oben löschen, aber wie mache ich das? auch mit silent runners? Merci!
02/10/06 10:52:08 [Info]: BlackLight Engine 1.0.30 initialized 02/10/06 10:52:08 [Info]: OS: 5.0 build 2195 (Service Pack 4) 02/10/06 10:52:08 [Note]: 7019 4 02/10/06 10:52:08 [Note]: 7005 0 02/10/06 10:52:10 [Note]: 7006 0 02/10/06 10:52:10 [Note]: 7011 972 02/10/06 10:52:10 [Note]: FSRAW library version 1.7.1014 02/10/06 10:52:26 [Info]: Hidden file: C:\WINNT\system32\wbem\wbemtest.exe 02/10/06 10:52:26 [Note]: 10002 1 02/10/06 10:52:31 [Info]: Hidden file: C:\WINNT\system32\dmcsi.exe 02/10/06 10:52:31 [Note]: 7002 32 02/10/06 10:52:31 [Note]: 7003 1 02/10/06 10:52:31 [Note]: 10002 1 02/10/06 10:52:31 [Info]: Hidden file: C:\WINNT\system32\favset.exe 02/10/06 10:52:31 [Note]: 10002 1 02/10/06 10:52:32 [Info]: Hidden file: C:\WINNT\system32\filesafer23.exe 02/10/06 10:52:32 [Note]: 10002 1 02/10/06 10:52:32 [Info]: Hidden file: C:\WINNT\system32\howiper.exe 02/10/06 10:52:32 [Note]: 10002 1 02/10/06 10:52:33 [Info]: Hidden file: C:\WINNT\system32\pppcgm.exe 02/10/06 10:52:33 [Note]: 10002 1 02/10/06 10:52:35 [Info]: Hidden file: C:\WINNT\system32\sphlp32.exe 02/10/06 10:52:35 [Note]: 10002 1 02/10/06 10:52:36 [Info]: Hidden file: C:\WINNT\system32\csmsm.exe 02/10/06 10:52:36 [Note]: 7002 32 02/10/06 10:52:36 [Note]: 7003 1 02/10/06 10:52:36 [Note]: 10002 1 Ok, hier die Daten vom datfindbat, ich hoffe, es sind die richtigen, sehen irgendwie seltsam aus :-) Ich hab den Cleander einmal laufen lassen und und ihn genau nach vorschrift eingestellt. Er hat aber ziemlich viel geloescht, kann aber nix schief gegangen sein, oder? Danke fuer die Muehe! cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls pause cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls pause cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls pause cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit [/img] Dieser Beitrag wurde am 10.02.2006 um 10:07 Uhr von DJ Niveau editiert.
|
|
|
|
|
|
|
10.02.2006, 11:12
Ehrenmitglied
Beiträge: 29434 |
#9
DJ Niveau
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe) Dann lass Blaklight den Rechner neu starten. umbenannten Dateien, sie heissen jetzt z.B. C:\WINDOWS\system32\hlmicro.exe.ren anstatt C:\WINDOWS\system32\hlmicro.exe Zitat scan --> next none auf rename ändern------------------------------------------------------------------------- Zip-Datei: entzippe datFind.zip http://virus-protect.org/zip/datFind.zip http://virus-protect.org/datfindbat.html fuehre die datfindbat noch mal aus...aber lade die zip-Datei __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.02.2006, 11:25
Member
Themenstarter Beiträge: 11 |
#10
Das sind die letzten drei monate, ich hoffe, diesmal stimmt es. Die anderen Daten habe ich umbenannt und neu gestartet, ist das Thema jetzt erledigt?
04.02.2006 10:46 19.012 wmpscheme.xml 02.02.2006 21:08 705 dgprpsetup.exe 02.02.2006 21:08 654.111 filesafer23.exe.ren 02.02.2006 21:07 5.120 favset.exe.ren 02.02.2006 21:07 45.568 pppcgm.exe.ren 02.02.2006 21:07 4.608 sphlp32.exe.ren 02.02.2006 21:07 155.648 jfxzx.dll 02.02.2006 21:07 3.072 howiper.exe.ren 02.02.2006 21:07 51.200 csmsm.exe.ren 31.01.2006 19:10 227.208 FNTCACHE.DAT |
|
|
|
|
|
|
10.02.2006, 12:08
Ehrenmitglied
Beiträge: 29434 |
#11
wir sind noch laaaaaaange nicht fertig
 wir haben noch nicht mal begonnenund was soll das... ich wollte 4 logs sehen , nicht nur eins ...und ich wollte drei Monate sehen.Arbeite bitte korrekt...und lasse dir nicht alles einzeln aus dem PC ziehen... so kann ich nichts machen................. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.02.2006, 12:53
Member
Themenstarter Beiträge: 11 |
#12
Na ja, fuer eine PC-Null wie mich ist der ganze Datendschungel erstmal zuviel und muss geordnet werden...aber ok, ich geb mir Muehe :-) Das hier ist das, was mir datfindbat liefert, die letzten drei Monate, die verzeichnet sind. Und es sind vier Listen...dann hoff ich mal, dass das die noetigen Listen (oder Logs?) sind. Tschuldigung fuer die nervenaufreibenende arbeit :-)
Datentr„ger in Laufwerk C: ist Festplatte Datentr„gernummer: CCE8-C6F8 Verzeichnis von C:\WINNT\system32 04.02.2006 10:46 19.012 wmpscheme.xml 02.02.2006 21:08 705 dgprpsetup.exe 02.02.2006 21:08 654.111 filesafer23.exe.ren 02.02.2006 21:07 5.120 favset.exe.ren 02.02.2006 21:07 45.568 pppcgm.exe.ren 02.02.2006 21:07 4.608 sphlp32.exe.ren 02.02.2006 21:07 155.648 jfxzx.dll 02.02.2006 21:07 3.072 howiper.exe.ren 02.02.2006 21:07 51.200 csmsm.exe.ren 31.01.2006 19:10 227.208 FNTCACHE.DAT 09.12.2004 00:34 274.432 USBPlug.exe 22.11.2004 19:47 143.360 PhotoSTOR Screen Saver.scr 04.11.2004 13:49 1.409 tmp6BB0F.FOT 04.11.2004 13:49 1.409 tmp78B0F.FOT 04.11.2004 13:49 1.409 tmp84B0F.FOT 04.11.2004 13:49 1.409 tmpA0B0F.FOT 04.11.2004 13:49 1.409 tmpD9A0F.FOT 04.11.2004 13:49 1.409 tmpE5A0F.FOT 31.08.2004 07:48 264.704 hlvdd.dll 30.08.2004 08:54 1.536 TrueSoft.dat 29.08.2004 11:15 16.384 Perflib_Perfdata_1f8.dat Datentr„ger in Laufwerk C: ist Festplatte Datentr„gernummer: CCE8-C6F8 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 10.02.2006 12:25 222 jusched.log 23.01.2006 15:36 429 datFind.bat 2 Datei(en) 651 Bytes 0 Verzeichnis(se), 15.665.594.368 Bytes frei Datentr„ger in Laufwerk C: ist Festplatte Datentr„gernummer: CCE8-C6F8 Verzeichnis von C:\WINNT 10.02.2006 12:23 32.556 SchedLgU.Txt 09.02.2006 08:33 4.456 rdt.ini 08.02.2006 21:46 742 ModemLog_SoftK56 Data Fax.txt 04.02.2006 10:47 956 wmsetup.log 04.02.2006 10:46 527 win.ini 04.02.2006 10:46 316.640 WMSysPr9.prx 02.02.2006 21:07 6.400 balloon.wav 02.02.2006 20:56 533.990 setupapi.log 31.01.2006 16:16 142.820 Directx.log 31.01.2006 13:39 1.367.796 ShellIconCache 18.01.2006 15:23 162.559 DEI-Logo.jpg 14.01.2006 12:34 36 iltwain.ini 13.01.2006 11:12 760 ODBC.INI 06.01.2006 17:58 169 RtlRack.ini 16.03.2005 18:03 81.928 Windows Update.log Datentr„ger in Laufwerk C: ist Festplatte Datentr„gernummer: CCE8-C6F8 Verzeichnis von C:\ 10.02.2006 13:55 0 sys.txt 10.02.2006 13:54 6.777 system.txt 10.02.2006 13:53 347 systemtemp.txt 10.02.2006 13:53 88.407 system32.txt 10.02.2006 12:24 524.288.000 pagefile.sys 05.05.2004 09:05 5.766 CLDMA.LOG 05.05.2004 07:19 0 IO.SYS 05.05.2004 07:19 0 AUTOEXEC.BAT 05.05.2004 07:19 0 MSDOS.SYS 05.05.2004 07:19 0 CONFIG.SYS 05.05.2004 07:14 192 boot.ini 20.06.2003 14:00 150.528 arcldr.exe 20.06.2003 14:00 34.724 NTDETECT.COM 20.06.2003 14:00 163.840 arcsetup.exe 20.06.2003 14:00 216.096 ntldr 15 Datei(en) 524.954.677 Bytes 0 Verzeichnis(se), 15.665.582.080 Bytes frei |
|
|
|
|
|
|
10.02.2006, 13:57
Ehrenmitglied
Beiträge: 29434 |
#13
DJ Niveau
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4--------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: C:\WINNT\system32\dgprpsetup.exe C:\WINNT\system32\filesafer23.exe.ren C:\WINNT\system32\favset.exe.ren C:\WINNT\system32\pppcgm.exe.ren C:\WINNT\system32\sphlp32.exe.ren C:\WINNT\system32\jfxzx.dll C:\WINNT\system32\csxdm.exe C:\WINNT\system32\dmydb.exe C:\WINNT\system32\howiper.exe.ren C:\WINNT\RtlRack.ini C:\WINNT\rdt.ini C:\WINNT\balloon.wav PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken deinstalliere/loesche: C:\Programme\UnSpyPC nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) Download FixWareout: Fixwareout Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -------------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O17 - HKLM\System\CCS\Services\Tcpip\..\{3EE85DEB-8ED5-4469-A357-F73829BFFA1B}: NameServer = 85.255.114.44,85.255.112.180 O17 - HKLM\System\CS1\Services\Tcpip\..\{3EE85DEB-8ED5-4469-A357-F73829BFFA1B}: NameServer = 85.255.114.44,85.255.112.180 O17 - HKLM\System\CS2\Services\Tcpip\..\{3EE85DEB-8ED5-4469-A357-F73829BFFA1B}: NameServer = 85.255.114.44,85.255.112.180 PC neustarten du musst nun eine neue Internetverbindung erstellen...deine ist korrumpiert und wurde mit dem Fixen geloescht Counterspy--> http://virus-protect.org/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport) ---------------------------------------------------------------------------- Zitat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.02.2006, 16:22
Member
Themenstarter Beiträge: 11 |
#14
so, erstmal das:
Fixwareout ver 1.003 Last edited 1/12/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\iscmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... C:\WINNT\SYSTEM32\CSMSME~1.REN C:\WINNT\SYSTEM32\DMCSIE~1.REN »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool |
|
|
|
|
|
|
10.02.2006, 18:18
Ehrenmitglied
Beiträge: 29434 |
#15
poste dann noch den scanreport vom counterspy + das neue Log vom HijacktHis
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe wirklich keine Ahnung von Computern und hab mir irgendwo dieses unspypc eingefangen. Koennt ihr mir dabei Anfaengergerecht helfen?
Vielen Dank, Martin
Ich hab schon ein wenig vorgearbeitet:
Logfile of HijackThis v1.99.1
Scan saved at 21:31:06, on 08.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\sistray.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINNT\system32\USBPlug.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.deiahl.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.1:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 132.195.89.100:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R3 - URLSearchHook: (no name) - {6088FF2E-998F-5345-4D93-575B4AFA0449} - UserSp1.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\jfxzx.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\jfxzx.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\system32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [dscService] C:\WINNT\system32\USBPlug.exe
O4 - HKLM\..\Run: [XTermInit] teqq32.exe
O4 - HKLM\..\Run: [atl_helper] KeywordFinder.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [ABCXYZ] ms-its.exe
O4 - HKCU\..\Run: [zxc] bhoserv.exe
O4 - HKCU\..\Run: [Serviceprocess] StartCpl.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.1:3128/ken2000.html
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EE85DEB-8ED5-4469-A357-F73829BFFA1B}: NameServer = 85.255.114.44,85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{3EE85DEB-8ED5-4469-A357-F73829BFFA1B}: NameServer = 85.255.114.44,85.255.112.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{3EE85DEB-8ED5-4469-A357-F73829BFFA1B}: NameServer = 85.255.114.44,85.255.112.180
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE