vbsys2.dll Trojaner gefunden, wie entferne ich ihn?

#1 Hallöchen!

Bin neu hier und brauche direkt Hilfe. Habe mittels Norton den Trojaner vbsys2.dll bei mir entdeckt und möchte ihn gerne entfernen. HijackThis habe ich bereits heruntergeladen, weiß nur nicht, wo ich die Häkchen setzen muss. Könnt ihr mir helfen? Vielen lieben Dank schon mal.

psykolara

Hier der Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:37:59, on 10.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\YEDIEx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\FinePixViewer\QuickDCF.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
C:\Dokumente und Einstellungen\Sarah&Aydin\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - (no file)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [system32] C:\WINDOWS\system32\system32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O15 - Trusted Zone: *.p0rt2.com
O15 - Trusted Zone: http://secure.gestrip.com (HKLM)
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O15 - Trusted Zone: http://update.randhi.com (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl29bd.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: YEDIEx - Unknown owner - C:\WINDOWS\system32\YEDIEx.exe

#2 psykolara

ich weiss nicht, ob es Sinn macht diesen P2P-verseuchten Rechner zu saeubern...

1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [system32] C:\WINDOWS\system32\system32.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O15 - Trusted Zone: *.p0rt2.com
O15 - Trusted Zone: http://secure.gestrip.com (HKLM)
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O15 - Trusted Zone: http://update.randhi.com (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer)
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl29bd.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll

PC neustarten

2.
Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!
Vielen Dank für deine Hilfe. Weiß auch nicht, wie ich mir das alles eingefangen habe. Habe immerhin Norton Firewall inkl. Antivirus laufen. So, ich hoffe, ich mache jetzt alles richtig. Hier die Textdateien:

Verzeichnis von C:\WINDOWS\system32

08.02.2006 06:23 4.513.120 MRT.exe
05.02.2006 22:23 1.158 wpa.dbl
31.01.2006 14:35 91.904 S32EVNT1.DLL
06.01.2006 11:27 381.190 perfh009.dat
06.01.2006 11:27 392.166 perfh007.dat
06.01.2006 11:27 53.412 perfc009.dat
06.01.2006 11:27 64.294 perfc007.dat
06.01.2006 11:27 875.368 PerfStringBackup.INI
05.01.2006 22:02 0 Netaps.txt
04.01.2006 04:35 68.096 webclnt.dll
02.01.2006 09:13 3.013.632 mshtml.dll
29.12.2005 17:59 239.144 FNTCACHE.DAT
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll


Verzeichnis von C:\

11.03.2006 12:28 0 systemtemp.txt
11.03.2006 12:27 103.501 system32.txt
11.03.2006 12:26 1.918 sys.txt
11.03.2006 12:24 12.604 system.txt
11.03.2006 12:12 778.248.192 pagefile.sys
11.03.2006 12:03 2.791 DirDPF.txt
11.03.2006 12:03 2 DirDPFCns.txt
02.01.2006 09:13 14 config.sy_
20.11.2005 12:20 1.120 INSTALL.LOG

Verzeichnis von C:\WINDOWS

11.03.2006 12:13 0 0.log
11.03.2006 12:12 159 wiadebug.log
11.03.2006 12:12 1.681.711 WindowsUpdate.log
11.03.2006 12:12 50 wiaservc.log
11.03.2006 12:12 2.048 bootstat.dat
11.03.2006 12:11 32.570 SchedLgU.Txt
10.03.2006 23:17 644 GatorUninstaller.log
10.03.2006 23:11 214.452 setupact.log
10.03.2006 21:01 1.005.815 setupapi.log
02.03.2006 13:00 349.449 wmsetup.log
18.02.2006 11:48 30.066 spupdsvc.log
18.02.2006 11:30 105.410 iis6.log
18.02.2006 11:30 1.374 imsins.log
18.02.2006 11:30 139.257 ntdtcsetup.log
18.02.2006 11:30 230.866 comsetup.log
18.02.2006 11:30 264.255 tsoc.log
18.02.2006 11:30 31.230 ocmsn.log
18.02.2006 11:30 10.645 KB911927.log
18.02.2006 11:30 344.548 ocgen.log
18.02.2006 11:30 34.089 msgsocm.log
18.02.2006 11:30 671.795 FaxSetup.log
18.02.2006 11:29 23.738 updspapi.log
18.02.2006 11:29 1.374 imsins.BAK
18.02.2006 11:29 9.349 KB911564.log
18.02.2006 11:29 9.823 KB911565.log
18.02.2006 11:28 6.640 KB913446.log
21.01.2006 22:03 35 A5W.INI
21.01.2006 22:01 7.688 Run32A50.mch
12.01.2006 10:19 10.078 KB908519.log
06.01.2006 11:29 2.894 COM+.log
06.01.2006 10:49 11.051 KB912919.log
02.01.2006 09:12 549 switchagreement.txt
02.01.2006 09:12 1 twainx.bin
02.01.2006 09:12 149 KB842252.log
28.12.2005 19:11 509 ODBC.INI
28.12.2005 19:03 663 win.ini
13.12.2005 19:14 10.417 KB910437.log
13.12.2005 19:14 16.346 KB905915.log

Verzeichnis von C:\

11.03.2006 12:28 0 sys.txt
11.03.2006 12:28 12.604 system.txt
11.03.2006 12:28 1.918 systemtemp.txt
11.03.2006 12:27 103.501 system32.txt
11.03.2006 12:12 778.248.192 pagefile.sys
11.03.2006 12:03 2.791 DirDPF.txt
11.03.2006 12:03 2 DirDPFCns.txt
02.01.2006 09:13 14 config.sy_
20.11.2005 12:20 1.120 INSTALL.LOG
15.09.2005 20:11 573.440 kmd.exe
15.09.2005 19:20 1.934.096 dMC-r11.exe
15.09.2005 19:04 14.180.277 GXT222_Setup.exe
28.08.2005 16:08 1.332 _Sid.txt
10.10.2004 08:47 211 boot.ini
10.10.2004 08:33 47.564 NTDETECT.COM
10.10.2004 08:33 251.184 ntldr
28.05.2004 09:39 781.592 WindowsXP-KB840374-x86-DEU.EXE
22.05.2004 16:46 3.815 log.txt
05.05.2004 20:42 14 win2.log
03.05.2004 22:10 1.152.772 DI-614_QIG_de_160403.zip
03.05.2004 22:09 471.651 di614plus_qig_de_installation2kxp_090103.zip
03.05.2004 20:47 101 FxSasser.log
03.05.2004 20:22 151.696 FxSasser.exe
03.05.2004 20:09 2.715.928 WindowsXP-KB835732-x86-DEU.EXE
03.05.2004 20:04 340.776 Windows-KB841720-ENU.exe
06.02.2004 16:17 16.384 hpqimgrc.resources.dll
08.12.2003 12:58 183 SWSTAMP.TXT
03.12.2003 07:41 0 CONFIG.SYS
03.12.2003 07:41 0 AUTOEXEC.BAT
03.12.2003 07:41 0 MSDOS.SYS
03.12.2003 07:41 0 IO.SYS
29.08.2002 13:00 4.952 bootfont.bin
24.05.2001 12:59 162.304 UNWISE.EXE
33 Datei(en) 801.160.414 Bytes
0 Verzeichnis(se), 30.787.616.768 Bytes frei

#4

Zitat

2.
Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

dann beginnt die Reinigung...........
(eingefangen hast du dir das alles, oder fast alles durch die P2P-Programme)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hier der Text, Sabina.

Gruß, psykolara

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.02.2006 13:14 231.072 avsniff.dll
22.02.2006 13:11 878 avsniff.inf
22.02.2006 13:14 198.304 avsniffdlgs.dll
22.02.2006 13:07 537.704 AXXPEE.dll
22.02.2006 13:11 241 CabSA.inf
08.03.2006 01:00 2.390 catalog.dat
04.01.2006 11:35 <DIR> CONFLICT.1
08.03.2006 01:00 6.899 ecbootil.vxd
22.02.2006 13:07 42.112 ecmldr32.dll
08.03.2006 01:00 288.376 ecmsvr32.dll
11.03.2004 11:35 1.271 erma.inf
22.02.2006 13:09 6.850 navapi.vxd
22.02.2006 13:09 201.896 navapi32.dll
08.03.2006 01:00 124.584 naveng32.dll
08.03.2006 01:00 788.136 navex32a.dll
21.10.2005 15:09 130 proto.inf
22.02.2006 13:14 161.480 rufsi.dll
08.03.2006 01:00 97.392 scrauth.dat
30.12.2005 17:07 147 startbf.inf
26.02.2004 12:41 3.888 swflash.inf
08.03.2006 01:00 14 symaveng.cat
08.03.2006 01:00 901 symaveng.inf
08.03.2006 01:00 44.311 tcdefs.dat
08.03.2006 01:00 946.527 tcscan7.dat
08.03.2006 01:00 271.197 tcscan8.dat
08.03.2006 01:00 531.130 tcscan9.dat
08.03.2006 01:00 453 tinf.dat
08.03.2006 01:00 148 tinfidx.dat
08.03.2006 01:00 1.957 tinfl.dat
08.03.2006 01:00 49.149 tscan1.dat
08.03.2006 01:00 1.237 tscan1hd.dat
08.03.2006 01:00 5.516 v.grd
08.03.2006 01:00 2.242 v.sig
08.03.2006 01:00 106.244 virscan.inf
08.03.2006 01:00 945.060 virscan1.dat
08.03.2006 01:00 561.112 virscan2.dat
08.03.2006 01:00 145.424 virscan3.dat
08.03.2006 01:00 320.086 virscan4.dat
08.03.2006 01:00 2.200.784 virscan5.dat
08.03.2006 01:00 387.239 virscan6.dat
08.03.2006 01:00 3.336.658 virscan7.dat
08.03.2006 01:00 1.498.106 virscan8.dat
08.03.2006 01:00 3.117.925 virscan9.dat
08.03.2006 01:00 32 virscant.dat
10.03.2006 21:18 2.072 vscanmsx.dat
08.03.2006 01:00 224 zdone.dat
45 Datei(en) 17.169.498 Bytes

#6 psykolara

1.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\kmd.exe
C:\WINDOWS\GatorUninstaller.log
C:\WINDOWS\system32\system32.exe
C:\WINDOWS\Downloaded Program Files\StarInstall.ocx

C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll
C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll
C:\Programme\Gemeinsame Dateien\CMEII\GController.dll
C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll
C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll
C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll
C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll
C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll
C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll
C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE

C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

PC neustarten

**
1) Start
2) Start - Einstellungen - Systemsteuerung - Software
3) deinstalliere: "RX Bar"
4) deinstalliere: "InstaFinderK"
5) deinstalliere: "Need2Find Bar"
6) deinstalliere: "MyWay"
7) deinstalliere: "P2P Networking" (das ist vielleicht nicht in der Liste vorhanden, in diesem Fall suche es im System und deinstalliere es
8) deinstalliere: "Kazaa 3.0"

loeschen:
C:\Programme\RXToolBar
C:\Programme\MyWay
C:\WINDOWS\system32\P2P Networking
C:\Programme\Gemeinsame Dateien\GMT
C:\Programme\Gemeinsame Dateien\CMEII

Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

lade den Firefox (Browser) und surfe nur noch mit ihm (der IE bleibt fuer die Windowsupdates)
http://virus-protect.org/firefox.html

-----------------------------------------------------------------------------------

http://virus-protect.org/artikel/spyware/rxbar.html
http://virus-protect.org/artikel/spyware/gain.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Der Scanreport ist zu lang, kann ihn nicht hier reinkopieren. Was soll ich jetzt machen? Einen neuen Scan? Konnte übrigens auch nicht alle Programme entfernen bzw. finden, weder über Software noch über Suchen der Dateien. Lade jetzt erst mal Firefox runter.

#8 du hast unten eine moeglichkeit, den scanreport als Anhang zu posten
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Da hätte ich auch drauf kommen können ;-)) Im Anhang der Bericht als Word-Dokument.

#10 nun scanne noch mal, solange, bis alles sauber bleibt, dann mache einen Onlinescan mit Panda und berichte vom scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hier der Bericht von Panda:

Incident
Status Location

Dialer:dialer.abr Not disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\startbf.inf
Dialer:dialer.xd Not disinfected C:\WINDOWS\switchagreement.txt
Spyware:spyware/altnet Not disinfected C:\PROGRAM FILES\Altnet
Potentially unwanted tool:application/myway Not disinfected HKEY_LOCAL_MACHINE\SOFTWARE\MYWAY
Adware:adware/looksmart Not disinfected Windows Registry
Adware:Adware/CWS Not disinfected C:\Dokumente und Einstellungen\Sarah&Aydin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Counter.class-762d722b-296dc6f6.class
Dialerialer.ABR Not disinfected C:\WINDOWS\Downloaded Program Files\startbf.inf

#12 psykolara

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

1.
Gehe in die Registry
Start--> Ausfuehren --> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\MYWAY --> loeschen

2.
manuell leeren:
C:\Dokumente und Einstellungen\Sarah&Aydin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\

3.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\Downloaded Program Files\startbf.inf
C:\WINDOWS\DOWNLOADED PROGRAM FILES\startbf.inf
C:\WINDOWS\switchagreement.txt
C:\PROGRAM FILES\Altnet

das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

poste dann den report
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hier der report:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qnyosofr

*******************

Script file located at: \??\C:\WINDOWS\dadugefh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Downloaded Program Files\startbf.inf deleted successfully.


File C:\WINDOWS\DOWNLOADED PROGRAM FILES\startbf.inf not found!
Deletion of file C:\WINDOWS\DOWNLOADED PROGRAM FILES\startbf.inf failed!

Could not process line:
C:\WINDOWS\DOWNLOADED PROGRAM FILES\startbf.inf
Status: 0xc0000034

File C:\WINDOWS\switchagreement.txt deleted successfully.


Error: C:\PROGRAM FILES\Altnet is a folder, not a file!
Deletion of file C:\PROGRAM FILES\Altnet failed!

Could not process line:
C:\PROGRAM FILES\Altnet
Status: 0xc00000ba


Completed script processing.

*******************

Finished! Terminate.

#14 loesche manuell, falls du es findest, oder kopiere es in die Killbox
http://virus-protect.org/killbox.html

C:\PROGRAM FILES\Altnet
C:\WINDOWS\DOWNLOADED PROGRAM FILES\startbf.inf
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Das erste konnte ich manuell löschen, das zweite nicht und auch Killbox gibt die Meldung:
PendingFileRenameOperations Registry Data has been Removed by External Process!
wenn ich versuche, das zweite damit zu entfernen. Was nun?