Problem mit Spy Falcon + Adware.ClickSpring/PuritySCAN |
||
---|---|---|
#0
| ||
15.03.2006, 02:10
Ehrenmitglied
Beiträge: 29434 |
||
|
||
15.03.2006, 02:12
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
zwiebelförst
hier ist neben dem SpyFalcon noch ein Adware.ClickSpring/PuritySCAN auf dem PC, Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.03.2006, 10:11
...neu hier
Beiträge: 3 |
#3
Hier der HijackThis Log:
Logfile of HijackThis v1.99.1 Scan saved at 10:06:06, on 15.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\SSEMBL~1\svchost.exe C:\WINDOWS\system32\??mantec\?xplorer.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\Azureus\Azureus.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\DOKUME~1\PASCAL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Wwmc] "C:\WINDOWS\SSEMBL~1\svchost.exe" -vt mt O4 - HKCU\..\Run: [Dbmpmk] C:\WINDOWS\system32\??mantec\?xplorer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131740138854 O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {D2296475-B79C-44A9-9B2C-32B5DC6B8B45} (PhotosCtrlDE Class) - http://de.photos.groups.yahoo.com/ocx/de/yexplorer1_9de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{59BA9FBC-8FB7-4D79-A838-D584C70B0A87}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A801533E-1F94-4FF8-A6F3-990751042A3B}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CDB0E1A5-8FB6-44FC-A039-BB5B47B88BE4}: NameServer = 192.168.1.1 O20 - Winlogon Notify: winjtb32 - winjtb32.dll (file missing) O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
|
|
||
15.03.2006, 10:34
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
zwiebelförst
Start > Ausfuehren --> reinschreiben --> cmd.exe and ok. kopiere rein und poste alles, was im Texteditor erscheint > dir /s /a "c:\?xplorer*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\SSEMBL~1*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\winjtb32*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\wnscpsv*.*" > c:\find.txt & start notepad c:\find.txt ------------------------------------------------------------------------- spyfalcon http://virus-protect.org/artikel/spyware/spyfalcon.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.03.2006, 13:22
...neu hier
Beiträge: 3 |
#5
dir /s /a "c:\?xplorer*.*" > c:\find.txt & start notepad c:\find.txt
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A042-7C40 Verzeichnis von c:\WINDOWS 10.08.2004 13:00 1.035.264 explorer.exe 10.08.2004 13:00 80 explorer.scf 2 Datei(en) 1.035.344 Bytes Verzeichnis von c:\WINDOWS\Prefetch 14.03.2006 22:54 39.294 ?XPLORER.EXE-0DF9A27C.pf 1 Datei(en) 39.294 Bytes Verzeichnis von c:\WINDOWS\system32\dllcache 10.08.2004 13:00 1.035.264 explorer.exe 1 Datei(en) 1.035.264 Bytes Verzeichnis von c:\WINDOWS\system32\??mantec 02.03.2006 16:55 405.504 ?xplorer.exe 1 Datei(en) 405.504 Bytes Anzahl der angezeigten Dateien: 5 Datei(en) 2.515.406 Bytes 0 Verzeichnis(se), 80.679.276.544 Bytes frei dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A042-7C40 Verzeichnis von c:\WINDOWS\system32 10.08.2004 13:00 14.336 svchost.exe 1 Datei(en) 14.336 Bytes Verzeichnis von c:\WINDOWS\system32\dllcache 10.08.2004 13:00 14.336 svchost.exe 1 Datei(en) 14.336 Bytes Verzeichnis von c:\WINDOWS\?ssembly 13.03.2006 11:43 71.168 svchost.exe 1 Datei(en) 71.168 Bytes Anzahl der angezeigten Dateien: 3 Datei(en) 99.840 Bytes 0 Verzeichnis(se), 80.676.978.688 Bytes frei dir /s /a "c:\SSEMBL~1*.*" > c:\find.txt & start notepad c:\find.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A042-7C40 Verzeichnis von c:\WINDOWS 13.03.2006 11:43 <DIR> ?ssembly 0 Datei(en) 0 Bytes Verzeichnis von c:\WINDOWS\?ssembly 13.03.2006 11:43 <DIR> ?ssembly 0 Datei(en) 0 Bytes Anzahl der angezeigten Dateien: 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 80.673.972.224 Bytes frei dir /s /a "c:\winjtb32*.*" > c:\find.txt & start notepad c:\find.txt Datei wurde nicht gefunden. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A042-7C40 dir /s /a "c:\wnscpsv*.*" > c:\find.txt & start notepad c:\find.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A042-7C40 Verzeichnis von c:\WINDOWS\system32 13.03.2006 11:43 2 wnscpsv.exe 1 Datei(en) 2 Bytes Anzahl der angezeigten Dateien: 1 Datei(en) 2 Bytes 0 Verzeichnis(se), 80.670.105.600 Bytes frei |
|
|
||
15.03.2006, 16:54
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
zwiebelförst
0. deaktiviere im Taskmanager: C:\WINDOWS\SSEMBL~1\svchost.exe C:\WINDOWS\system32\??mantec\?xplorer.exe 1. avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klick im Avenger --> das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten poste mir unbedingt den scanreport !!!!!!!!!!!! 2. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKCU\..\Run: [Wwmc] "C:\WINDOWS\SSEMBL~1\svchost.exe" -vt mt O4 - HKCU\..\Run: [Dbmpmk] C:\WINDOWS\system32\??mantec\?xplorer.exe PC neustarten 3. suche/loesche (im abgesicherten Modus c:\WINDOWS\system32\??mantec c:\WINDOWS\?ssembly 4. arbeite smitfraud.fix ab und poste mir die 2 scanreports http://virus-protect.org/artikel/tools/smitfrautfix.html 5. wenn das erledigt ist, scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.03.2006, 20:23
...neu hier
Beiträge: 3 |
#7
Hier schonmal den Avenger Report. Der rest folgt.
******************* Script file located at: \??\C:\uxqiahcd.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file c:\WINDOWS\?ssembly\svchost.exe for deletion Deletion of file c:\WINDOWS\?ssembly\svchost.exe failed! Could not process line: c:\WINDOWS\?ssembly\svchost.exe Status: 0xc0000033 File c:\WINDOWS\SSEMBL~1\svchost.exe deleted successfully. File c:\WINDOWS\system32\wnscpsv.exe deleted successfully. File c:\WINDOWS\system32\Uninstall.ico deleted successfully. File c:\WINDOWS\system32\Help.ico deleted successfully. File c:\WINDOWS\system32\ldBF2F.tmp not found! Deletion of file c:\WINDOWS\system32\ldBF2F.tmp failed! Could not process line: c:\WINDOWS\system32\ldBF2F.tmp Status: 0xc0000034 File C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx not found! Deletion of file C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx failed! Could not process line: C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx Status: 0xc0000034 File C:\WINDOWS\YAXUninst.exe not found! Deletion of file C:\WINDOWS\YAXUninst.exe failed! Could not process line: C:\WINDOWS\YAXUninst.exe Status: 0xc0000034 File c:\WINDOWS\system32\LuResult.txt deleted successfully. File c:\WINDOWS\system32\wnscpsv.exe not found! Deletion of file c:\WINDOWS\system32\wnscpsv.exe failed! Could not process line: c:\WINDOWS\system32\wnscpsv.exe Status: 0xc0000034 File c:\WINDOWS\system32\winjtb32.dll not found! |
|
|
||
16.03.2006, 10:24
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
hattest du schon manuell einiges geloescht ??..der Avenger hat einiges nicht mehr gefunden..........
arbeite smitfraud.fix ab und poste mir die 2 scanreports http://virus-protect.org/artikel/tools/smitfrautfix.html wenn das erledigt ist, scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ PurityScan/Winservs.exe http://virus-protect.org/artikel/spyware/purity.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit