Spysearch!!! wie löschen??

#1 hallo,
hab im forum nix über spysearch gefunden, nur spyfalcon, spyaxe usw.....
wie gehe ich gegen den vor??

danke für eure bemühungen

XAm

hab auch schonmal die datfind-dateien.
die helfen vielleicht

Verzeichnis von C:\WINDOWS\system32

14.03.2006 19:29 5.032 ncompat.tlb
14.03.2006 18:20 2.206 wpa.dbl
14.03.2006 17:50 27.661 ldC275.tmp
14.03.2006 17:50 12.513 OODBS.lor
14.03.2006 13:19 10.028 mssearchnet.exe
12.03.2006 19:23 15.157 dfrgsrv.exe
10.03.2006 02:28 254.272 FNTCACHE.DAT
09.03.2006 22:11 16.832 amcompat.tlb
09.03.2006 22:11 23.392 nscompat.tlb
09.03.2006 22:10 2.272 w95inf16.dll
09.03.2006 22:10 4.608 w95inf32.dll
08.03.2006 17:32 15.360 BASSMOD.dll
07.03.2006 21:50 196.608 avisynth.dll
07.03.2006 21:50 414.272 DivXc32f.dll
07.03.2006 21:50 240.400 DivX_c32.ax
07.03.2006 21:50 414.272 DivXc32.dll
07.03.2006 21:50 291.408 DivXa32.acm
07.03.2006 21:50 33.280 HUFFYUV.DLL
06.03.2006 02:17 5.632 pndx5032.dll
06.03.2006 02:17 6.656 pndx5016.dll
06.03.2006 02:17 278.528 pncrt.dll
14.02.2006 09:20 550.120 LegitCheckControl.DLL
02.02.2006 03:46 3.613 qtplugin.log
01.02.2006 16:33 7.006 jupdate-1.5.0_06-b05.log
01.02.2006 16:21 3.534 jupdate-1.5.0_03-b07.log

01.02.2006 15:42 2.173.952 osxboot.exe
01.02.2006 15:39 219.648 uxtheme.dll
01.02.2006 14:14 255 spupdwxp.log
01.02.2006 13:25 25.065 wmpscheme.xml
01.02.2006 13:21 237 $winnt$.inf
01.02.2006 13:15 2.951 CONFIG.NT
01.02.2006 13:14 488 logonui.exe.manifest
01.02.2006 13:14 488 WindowsLogon.manifest
01.02.2006 13:14 749 sapi.cpl.manifest
01.02.2006 13:14 749 wuaucpl.cpl.manifest
01.02.2006 13:14 749 nwc.cpl.manifest
01.02.2006 13:14 749 cdplayer.exe.manifest
01.02.2006 13:14 749 ncpa.cpl.manifest
01.02.2006 13:13 21.740 emptyregdb.dat
01.02.2006 13:11 0 h323log.txt
18.01.2006 13:05 57.344 avsda.dll


Verzeichnis von C:\WINDOWS

14.03.2006 19:15 184.905 setupact.log
14.03.2006 19:10 5.541 iis6.log
14.03.2006 19:10 27.719 comsetup.log
14.03.2006 19:10 24.065 tsoc.log
14.03.2006 19:10 1.374 imsins.log
14.03.2006 19:10 15.912 ntdtcsetup.log
14.03.2006 19:10 3.318 ocmsn.log
14.03.2006 19:10 10.796 KB905915.log
14.03.2006 19:10 41.413 ocgen.log
14.03.2006 19:10 2.983 msgsocm.log
14.03.2006 19:10 50.518 FaxSetup.log
14.03.2006 19:10 1.471 setupapi.log
14.03.2006 19:10 1.806 updspapi.log
14.03.2006 18:50 1.125 winamp.ini
14.03.2006 18:18 1.027.497 setupapi.log.0.old
14.03.2006 17:52 409.433 WindowsUpdate.log
14.03.2006 17:50 2.048 bootstat.dat
14.03.2006 15:01 916.074 ntbtlog.txt
14.03.2006 14:57 10.934 SchedLgU.Txt
13.03.2006 02:29 1.374 imsins.BAK
13.03.2006 02:29 6.925 KB893803v2.log
13.03.2006 02:23 6.651 KB898461.log
10.03.2006 02:27 407 wiadebug.log
10.03.2006 02:26 46.326 wmsetup.log
10.03.2006 02:26 4.102 DirectX.log
10.03.2006 01:27 50 wiaservc.log
09.03.2006 22:14 0 0.log
09.03.2006 20:08 67 cdplayer.ini
05.03.2006 19:03 107.132 UninstallFirefox.exe
05.03.2006 19:02 6.348 mozver.dat
02.02.2006 13:59 2.982 DPINST.LOG
02.02.2006 13:43 17.973 dasetup.log
02.02.2006 13:42 316.640 WMSysPr9.prx
02.02.2006 03:26 525 win.ini
01.02.2006 15:42 11.671 RestoreFlyakiteOSX.txt
01.02.2006 15:34 1.452 COM+.log
01.02.2006 14:55 242 wmsetup10.log
01.02.2006 14:49 107.132 UninstallThunderbird.exe
01.02.2006 14:48 0 nsreg.dat
01.02.2006 14:32 59 WINPHONE.INI
01.02.2006 14:27 245 SBWIN.INI
01.02.2006 14:15 28.992 spupdsvc.log
01.02.2006 14:15 360 DtcInstall.log
01.02.2006 14:15 1.174 OEWABLog.txt
01.02.2006 14:14 740.176 setuplog.txt
01.02.2006 14:13 405.837 svcpack.log
01.02.2006 14:07 1.980 ModemLog_SoftV92 Data Fax Modem.txt
01.02.2006 14:06 200 cmsetacl.log
01.02.2006 14:05 1.330 sessmgr.setup.log
01.02.2006 14:01 573 medctroc.Log
01.02.2006 13:39 231 system.ini
01.02.2006 13:27 616 chipset.log
01.02.2006 13:22 8.192 REGLOCS.OLD
01.02.2006 13:19 3.406 xpsp1hfm.log
01.02.2006 13:19 23.483 Q331953.log
01.02.2006 13:18 21.812 Q327979.log
01.02.2006 13:18 19.432 Q816979.log
01.02.2006 13:18 17.809 Q329048.log
01.02.2006 13:17 15.853 Q329909.log
01.02.2006 13:17 14.344 Q816982.log
01.02.2006 13:17 13.017 Q815485.log
01.02.2006 13:16 9.024 Q811789.log
01.02.2006 13:16 7.641 Q816981.log
01.02.2006 13:16 5.220 Q813862.log
01.02.2006 13:16 3.535 Q328213.log
01.02.2006 13:15 1.831 Q810890.log
01.02.2006 13:15 0 control.ini
01.02.2006 13:15 299.552 WMSysPrx.prx
01.02.2006 13:15 4.161 ODBCINST.INI
01.02.2006 13:15 280 Windows Update.log
01.02.2006 13:14 749 WindowsShell.Manifest
01.02.2006 13:13 37 vbaddin.ini
01.02.2006 13:13 36 vb.ini
01.02.2006 13:08 0 Sti_Trace.log
01.02.2006 13:06 1.348 regopt.log
01.02.2006 13:05 0 setuperr.log


Verzeichnis von C:\

14.03.2006 19:31 0 sys.txt
14.03.2006 19:30 6.514 system.txt
14.03.2006 19:30 124 systemtemp.txt
14.03.2006 19:29 97.465 system32.txt
14.03.2006 19:14 3.371 smitfiles.txt
14.03.2006 17:50 1.610.612.736 pagefile.sys
13.03.2006 23:39 231 boot.ini
09.03.2006 22:19 3.790 cltest.txt
09.03.2006 22:15 5.472 CLDMA.LOG
09.03.2006 17:13 2.468 LoadLogTextFormat.txt
03.02.2006 10:10 31.597.989 AVG7QT.DAT
01.02.2006 14:03 47.564 NTDETECT.COM
01.02.2006 14:03 251.184 ntldr
01.02.2006 13:15 0 CONFIG.SYS
01.02.2006 13:15 0 MSDOS.SYS
01.02.2006 13:15 0 IO.SYS
01.02.2006 13:15 0 AUTOEXEC.BAT


hier noch die logfile von hijackthis



Logfile of HijackThis v1.99.1
Scan saved at 19:35:10, on 14.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Y'z Dock 0.8.3 Basic\YzDock.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Rainmeter\Rainmeter.exe

C:\Programme\SearchSpy\SearchSpyIndexer\SearchSpyIndex.exe
C:\Programme\SearchSpy\SearchSpyMenu.exe

C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pinnaclede.custhelp.com/cgi-bin/pinnaclede.cfg/php/enduser/popup
_adp.php?p_sid=undefined&p_lva=undefined&p_li=undefined&p_faqid=10630&p_
created=1094572754&p_sp=undefined
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\max\LOKALE~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [YzDock] C:\Programme\Y'z Dock 0.8.3 Basic\YzDock.exe
O4 - HKCU\..\Run: [Skype. The whole world can talk for free.] C:\Programme\Skype\Phone\Skype.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#2 xam

poste das noch, dann beginnt die Reinigung

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SearchSpy

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 so hier ist es....doch das spysearch is garnicht dabei....hab manuell im abgesicherten modus etwas löschen können....vielleicht ist ja jetzt weg?
doch der die das smsearchnet is noch da.


; Results at 14.03.2006 22:54:39 for strings:
; 'spysearch'
; 'mssearchnet'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"kernel32.dll"="C:\\WINDOWS\\system32\\mssearchnet.exe"

[HKEY_USERS\S-1-5-21-57989841-1788223648-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"d"="C:\\WINDOWS\\system32\\mssearchnet.exe"

[HKEY_USERS\S-1-5-21-57989841-1788223648-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"b"="C:\\WINDOWS\\system32\\mssearchnet.exe"

[HKEY_USERS\S-1-5-21-57989841-1788223648-725345543-1004\Software\Neuber GbR\Security Task Manager\Cache]
"C:\\WINDOWS\\system32\\mssearchnet.exe"="32"

; End Of The Log...

#4 xam

Lade und auf dem Desktop entpacken:

CleanUp --> http://virus-protect.org/cleanup.html

SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

smitfraudfix -->
http://virus-protect.org/artikel/tools/smitfrautfix.html
----------------------------------------------------------------------------------------


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"kernel32.dll"=-

avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldC275.tmp
C:\WINDOWS\system32\OODBS.lor
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\dfrgsrv.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

deinstallieren/oder loeschen
C:\Programme\SearchSpy

C:\Programme\SearchSpy\SearchSpyIndexer\SearchSpyIndex.exe
C:\Programme\SearchSpy\SearchSpyIndexer
C:\Programme\SearchSpy\SearchSpyMenu.exe

1* CleanUp anwenden

2* öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

3* scanne mit smitfraudfix

. doppelklick smitfraudfix.cmd
. klicke 2
. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o

falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o

----------------------------------------------------------------------------------

poste alle scanberichte von allen drei scannern
__________
MfG Sabina

rund um die PC-Sicherheit