Home » Viren, Trojaner & Malware Forum » SpywareQuake + PurityScan » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

SpywareQuake + PurityScan

Thema ist geschlossen!

28.03.2006, 15:14

TheSeeker

...neu hier

Beiträge: 5

#1 hi! Also seit wenigeb minuten kommt bei mir daert eine medlung von einem programm, ass mir sagt, ich hätte viren und solle doch mal ihrenk kostenlosen scan lkaufen lassen, aber das programm ist bei mir nciht installiert und den prozess dazu finde ich leider auch nicht, kann nur einen screenshot bieten ^^.

mfg

seeker

P.S. wenn ich mit der maus über das icon gehe steht da als Name: Virus Alert!

Anhang: screen.JPG

28.03.2006, 18:31

Sabina

Ehrenmitglied

Beiträge: 29434

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Hijackthis -->
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

29.03.2006, 13:51

TheSeeker

...neu hier

Themenstarter

Beiträge: 5

#3 So, das sind jetzt alle Logs, die du haben wolltest, hoffentlich kannste mir helfen, denn das nervt

Verzeichnis von C:\WINDOWS\system32

08.08.2063 07:50 5.501 ktdgci32.dll
29.03.2006 14:16 4.948 ncompat.tlb
29.03.2006 13:49 32.781 ldA958.tmp
28.03.2006 21:57 6.656 interf.tlb
28.03.2006 21:57 36.864 hpC10D.tmp
28.03.2006 20:49 36.864 hp4DCE.tmp
28.03.2006 20:49 17.436 nvctrl.exe
28.03.2006 14:19 10.184 mssearchnet.exe
28.03.2006 14:19 36.864 hpD22.tmp
28.03.2006 14:19 176.128 stickrep.dll
28.03.2006 14:19 4.286 ot.ico
28.03.2006 14:19 4.286 ts.ico
28.03.2006 14:17 15.685 dfrgsrv.exe
28.03.2006 14:17 49.152 AdService.dll
27.03.2006 18:22 2 wapitr.exe
27.03.2006 18:21 154 AdService.bat
27.03.2006 18:21 17.408 winmyy32.dll
26.03.2006 17:38 380.350 perfh009.dat
26.03.2006 17:38 52.764 perfc009.dat
26.03.2006 17:38 63.580 perfc007.dat
26.03.2006 17:38 391.000 perfh007.dat
26.03.2006 17:38 898.018 PerfStringBackup.INI
23.03.2006 14:14 2.422 wpa.dbl
28.01.2006 01:18 34.308 BASSMOD.dll
23.01.2006 15:36 429 datFind.bat
30.12.2005 01:47 219.648 uxtheme.dll

Verzeichnis von C:\WINDOWS

29.03.2006 14:47 192 mousom.ini
29.03.2006 14:40 50 wiaservc.log
29.03.2006 14:40 157 wiadebug.log
29.03.2006 13:49 5.492.574 ntbtlog.txt
29.03.2006 13:41 0 0.log
29.03.2006 13:40 2.048 bootstat.dat
28.03.2006 22:11 32.638 SchedLgU.Txt
28.03.2006 22:11 1.646.847 WindowsUpdate.log
28.03.2006 14:54 858 win.ini
28.03.2006 14:54 435 system.ini
27.03.2006 18:21 1.000.441 setupapi.log
25.03.2006 20:32 116 NeroDigital.ini
21.03.2006 02:43 57.472 wmsetup.log
09.03.2006 23:56 63.088 Directx.log
27.02.2006 11:26 311 nsw.log
27.02.2006 00:43 758 Sof2.INI
27.02.2006 00:17 93 netsend.ini
26.02.2006 17:46 287 wmsetup10.log
12.02.2006 18:39 190.662 setupact.log
01.02.2006 02:28 192 winamp.ini
15.01.2006 14:06 107.132 UninstallFirefox.exe
15.01.2006 14:05 8.797 mozver.dat
12.01.2006 18:02 156 Clony2.ini
02.01.2006 14:18 121 GEARInstall.log
30.12.2005 01:50 8.565 FlyakiteRestore.txt
27.12.2005 14:15 58 f36bee0bb2f8d57d98092a4b53567d23.ini
27.12.2005 14:06 169 RtlRack.ini
27.12.2005 14:02 1.728 Ascd_tmp.ini
26.12.2005 17:18 61 ClonyCDs.ini
25.12.2005 16:50 22 Wininit.ini

Verzeichnis von C:\DOKUME~1\THESEE~1\LOKALE~1\Temp

29.03.2006 14:46 512 ~DF5053.tmp
29.03.2006 14:46 16.384 ~DF5045.tmp
29.03.2006 14:46 512 ~DF5035.tmp
29.03.2006 14:46 16.384 ~DF5027.tmp
29.03.2006 14:46 512 ~DF5017.tmp
29.03.2006 14:46 16.384 ~DF5009.tmp
29.03.2006 14:46 512 ~DF4FF5.tmp
29.03.2006 14:46 16.384 ~DF4FE3.tmp
29.03.2006 14:46 16.384 ~DF4C72.tmp
29.03.2006 14:46 512 ~DF4C62.tmp
29.03.2006 14:46 16.384 ~DF4C54.tmp
29.03.2006 14:46 512 ~DF4C80.tmp
29.03.2006 14:46 512 ~DF4C44.tmp
29.03.2006 14:46 16.384 ~DF4C36.tmp
29.03.2006 14:46 512 ~DF4C26.tmp
29.03.2006 14:46 16.384 ~DF4C18.tmp
29.03.2006 14:46 16.384 ~DF476F.tmp
29.03.2006 14:46 512 ~DF477D.tmp
29.03.2006 14:46 16.384 ~DF4751.tmp
29.03.2006 14:46 512 ~DF4741.tmp
29.03.2006 14:46 16.384 ~DF4733.tmp
29.03.2006 14:46 512 ~DF475F.tmp
29.03.2006 14:46 512 ~DF4723.tmp
29.03.2006 14:46 16.384 ~DF4715.tmp
29.03.2006 14:46 16.384 ~DF3743.tmp
29.03.2006 14:46 16.384 ~DF303F.tmp
29.03.2006 14:46 512 ~DF304D.tmp
29.03.2006 14:36 103.591 log.txt
29.03.2006 13:49 32.723 SQLanguage.ini
25.03.2006 19:09 118 0CF6E057.TMP
23.01.2006 15:36 429 datFind.bat
31 Datei(en) 372.893 Bytes
0 Verzeichnis(se), 2.041.802.752 Bytes frei

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC15-0A77

Verzeichnis von C:\

29.03.2006 14:49 0 sys.txt
29.03.2006 14:49 9.373 system.txt
29.03.2006 14:48 1.759 systemtemp.txt
29.03.2006 14:48 107.320 system32.txt
29.03.2006 13:39 805.306.368 pagefile.sys
28.03.2006 14:54 232 boot.ini
23.01.2006 15:36 429 datFind.bat
06.03.2005 02:10 36 cheaters.log
26.02.2005 18:03 47.564 NTDETECT.COM
26.02.2005 18:03 251.184 ntldr
26.02.2005 16:32 0 IO.SYS
26.02.2005 16:32 0 CONFIG.SYS
26.02.2005 16:32 0 MSDOS.SYS
26.02.2005 16:32 0 AUTOEXEC.BAT
18.05.2003 14:25 3 temp.txt
29.08.2002 14:00 4.952 bootfont.bin
16 Datei(en) 805.729.220 Bytes
0 Verzeichnis(se), 2.041.802.752 Bytes frei

Logfile of HijackThis v1.99.1
Scan saved at 13:51:33, on 29.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
J:\Programme\DynDNS Updater\DynDNS.exe
J:\PROGRA~1\THUNDE~1\THUNDE~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
J:\Programme\Mousometer\mousometer.exe
C:\WINDOWS\System32\svchost.exe
J:\PROGRA~1\FIREFOX\FIREFOX.EXE
J:\downloads\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - J:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpC10D.tmp
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - J:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [DynDNS Updater] "J:\Programme\DynDNS Updater\DynDNS.exe"
O4 - Startup: Mousometer.lnk = J:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://J:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - J:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - J:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - J:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - J:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - J:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109430674593
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {ED28050F-D713-43BA-A376-DCC5C35407D5} - http://entimg.msn.com/client/msnmusax2822.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{37A9BB3C-9682-45D2-8DD1-D926D57964F6}: NameServer = 217.237.150.141,217.237.150.97
O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - TuneUp Software GmbH - (no file)

Dieser Beitrag wurde am 29.03.2006 um 14:50 Uhr von TheSeeker editiert.

29.03.2006, 15:12

Sabina

Ehrenmitglied

Beiträge: 29434

#4 TheSeeker

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

C:\WINDOWS\system32\ktdgci32.dll
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldA958.tmp
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hpC10D.tmp
C:\WINDOWS\system32\hp4DCE.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\hpD22.tmp
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\AdService.dll
C:\WINDOWS\system32\wapitr.exe
C:\WINDOWS\system32\AdService.bat
C:\WINDOWS\system32\winmyy32.dll
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\YAXUninst.exe

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpC10D.tmp
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll

PC neustarten

arbeite das ganz genau ab, (nur die Killbox nicht mehr...denn das ist ja schon erledigt )
http://virus-protect.org/artikel/spyware/spywarequake.html

dann berichte, oder frage, wenn etwas nicht klappt

... und poste den scanreport vom Kaspersky-Onlinescn
das ist wichtig, denn ich nehme an, dass auch ein PurityScan [27.03.2006 18:22 2 wapitr.exe]

auf dem System ist...und Kaspersky wird ihn erkennen.
Danach sind noch andere Schritte zur Reinigung notwendig !
__________
MfG Sabina

rund um die PC-Sicherheit

29.03.2006, 19:49

TheSeeker

...neu hier

Themenstarter

Beiträge: 5

#5 Scan Statistics
Total number of scanned objects 1411
Number of viruses found 8
Number of infected objects 13
Number of suspicious objects 0
Duration of the scan process 00:00:38

Infected Object Name Virus Name Last Action
C:\!KillBox\dfrgsrv.exe Infected: Trojan-Downloader.Win32.Zlob.jm skipped
C:\!KillBox\hpD22.tmp Infected: Trojan-Downloader.Win32.Zlob.jk skipped
C:\!KillBox\interf.tlb Infected: Trojan-Downloader.Win32.Zlob.jp skipped
C:\!KillBox\ldA958.tmp Infected: Trojan-Downloader.Win32.Zlob.jm skipped
C:\!KillBox\mssearchnet.exe Infected: Trojan-Downloader.Win32.Zlob.is skipped
C:\!KillBox\nvctrl.exe Infected: Trojan-Downloader.Win32.Zlob.jp skipped
C:\!KillBox\stickrep.dll Infected: Trojan.Win32.Agent.qf skipped
C:\!KillBox\winmyy32.dll Infected: Trojan-Downloader.Win32.Small.cml skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Win Tool Copy File\BIKECOPY.exe Infected: Trojan-Downloader.Win32.Swizzor.de skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Win Tool Copy File\Defaulthide.exe Infected: Trojan-Downloader.Win32.Swizzor.de skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Win Tool Copy File\Inside Hold.exe Infected: Trojan-Downloader.Win32.Swizzor.de skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Win Tool Copy File\second film.exe Infected: Trojan-Downloader.Win32.Swizzor.de skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Win Tool Copy File\Surf Info.exe Infected: Trojan-Downloader.Win32.Swizzor.cr skipped
Scan was interrupted by user!

so, das war der erste scan, die dats habe ich dann ale mit der killbox gelöscht und der komplett scan läuft gerade. den eben habe ich eben ausversehen abgebrochen.

29.03.2006, 19:57

Sabina

Ehrenmitglied

Beiträge: 29434

#6 TheSeeker

loeschen:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Win Tool Copy File

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

29.03.2006, 20:28

TheSeeker

...neu hier

Themenstarter

Beiträge: 5

#7 Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target Critical Areas
C:\WINDOWS
C:\DOKUME~1\THESEE~1\LOKALE~1\Temp\
Scan Statistics
Total number of scanned objects 16043
Number of viruses found 1
Number of infected objects 1
Number of suspicious objects 0
Duration of the scan process 00:15:03

Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\wuauclt10.exe Infected: Trojan-Dropper.Win32.Pakes skipped
Scan process completed.

so, 2. scan ist fertig.l habe aber nur critical areas scannen lassen, war das ok??

so, das ist der text aus der datei:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC15-0A77

Verzeichnis von C:\WINDOWS\tasks

26.12.2005 17:02 <DIR> .
26.12.2005 17:02 <DIR> ..
24.03.2006 18:15 404 1-Klick-Wartung.job
29.03.2006 20:00 274 AF9C4A2D9187FB99.job
09.03.2006 17:08 354 At3.job
08.03.2006 17:08 348 At4.job
07.03.2006 17:08 356 At5.job
15.03.2006 17:08 356 At6.job
29.08.2002 14:00 65 desktop.ini
29.03.2006 19:38 6 SA.DAT
8 Datei(en) 2.163 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\TheSeeker\Desktop

29.03.2006, 20:31

Sabina

Ehrenmitglied

Beiträge: 29434

#8 TheSeeker

1.
loeschen:
C:\WINDOWS\system32\wuauclt10.exe

2.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AF9C4A2D9187FB99.job
del AF9C4A2D9187FB99.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

3.
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
der wird die Reste der LOP-Verseuchung finden

----------------------------------------------------------------------
dann berichte auch, ob die Warnung/das Icon in der Taskleiste weg ist.
__________
MfG Sabina

rund um die PC-Sicherheit

29.03.2006, 22:45

TheSeeker

...neu hier

Themenstarter

Beiträge: 5

#9 Incident Status Location

Adware:Adware/Adservice Not disinfected C:\!KillBox\AdService.dll
Adware:Adware/Lop Not disinfected C:\!KillBox\BIKECOPY.exe
Adware:Adware/Lop Not disinfected C:\!KillBox\Defaulthide.exe
Adware:Adware/Lop Not disinfected C:\!KillBox\Inside Hold.exe
Adware:Adware/Lop Not disinfected C:\!KillBox\second film.exe
Adware:Adware/Lop Not disinfected C:\!KillBox\Surf Info.exe
Adware:Adware/WUpd Not disinfected C:\!KillBox\wuauclt10.exe
Adware:adware/securityerror Not disinfected C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\Mozilla\Firefox\Profiles\kf6nets3.default\cookies.txt[]
Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\Mozilla\Firefox\Profiles\kf6nets3.default\cookies.txt[43733127]
Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\Mozilla\Firefox\Profiles\kf6nets3.default\cookies.txt[]
Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\Mozilla\Firefox\Profiles\kf6nets3.default\cookies.txt[43733127]
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\Mozilla\Firefox\Profiles\kf6nets3.default\cookies.txt[]
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\OPTIONPART\euecnags.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\OPTIONPART\gndqccju.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\OPTIONPART\kemxjkls.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\OPTIONPART\khkktfet.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\OPTIONPART\mioxmxxc.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\OPTIONPART\tfxgdgbc.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\OPTIONPART\uibagfhr.exe
Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Eigene Dateien\ICQ Lite\175588187\pascal_232664297\SmileyCentralFFSetup2.0.4.0.exe
Adware:Adware/StartPage.AQA Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Eigene Dateien\ICQ Lite\175588187\Stevy_248542991\nk 5.5 updated 12-9-05\nk hack.dll
Adware:Adware/StartPage.AQA Not disinfected C:\Dokumente und Einstellungen\TheSeeker\Eigene Dateien\ICQ Lite\175588187\Stevy_248542991\nk 5.5 updated 12-9-05\nk hack.exe
Virus:W32/Gaobot.KIT.worm Disinfected C:\Programme\AVPersonal\INFECTED\chkfile.VIR
Virus:W32/Gaobot.KIT.worm Disinfected C:\Programme\AVPersonal\INFECTED\chkfile.VIR00
Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\Programme\Uninstall My Web Search.dll
Adware:Adware/WinAD Not disinfected J:\Programme\Firefox\plugins\npzango.dll
Potentially unwanted tool:Application/Processor Not disinfected J:\Programme\smitrem\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected J:\downloads\smitRem.exe[Process.exe]
Virus

elwin.1759 Disinfected J:\Tools\SIMIK\SIMIK.VIR
Adware:Adware/StartPage.AQA Not disinfected J:\Cheats\nk 5.5 updated 12-9-05\nk hack.dll
Adware:Adware/StartPage.AQA Not disinfected J:\Cheats\nk 5.5 updated 12-9-05\nk hack.exe

so, habe auch direkt alles geshreddert. das iscon und die meldung sind schon seit einem der ersten säuberungsschritte weg, die du mir gesagt hast. das war sehr sehr schnell weg, aber so konnte ich ejtzt noch den restlichen driss entfernen. thx

mfg

Seeker

P.S. is noch irgendwas zu tun??

29.03.2006, 23:10

Sabina

Ehrenmitglied

Beiträge: 29434

#10 TheSeeker

loesche mit der Killbox:

C:\Programme\Uninstall My Web Search.dll
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
J:\Cheats\nk 5.5 updated 12-9-05\nk hack.dll
J:\Cheats\nk 5.5 updated 12-9-05\nk hack.exe
J:\Programme\Firefox\plugins\npzango.dll

loesche alles in der Killbox
C:\!KillBox\

manuell loeschen:

C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\TheSeeker\Anwendungsdaten\OPTIONPART
C:\Dokumente und Einstellungen\TheSeeker\Eigene Dateien\ICQ Lite\175588187\Stevy_248542991\nk 5.5 updated 12-9-05\nk hack.dll
C:\Dokumente und Einstellungen\TheSeeker\Eigene Dateien\ICQ Lite\175588187\Stevy_248542991\nk 5.5 updated 12-9-05\nk hack.exe

dann scanne noch mal zur Ueberpruefung...dann sollte alles wieder sauber sein

__________
MfG Sabina

rund um die PC-Sicherheit

02.04.2006, 18:36

Taaketroll

...neu hier

Beiträge: 4

#11 Hallo, ich hab`n ähnliches Problem und wollte nicht extra `nen neuen Thread erstellen, deswegen füg ich mal`n paar Logs hier ein und hoffe, ihr könnt mir helfen. Ich könnte natürlich einfach hier im Forum lesen und wild drauf los löschen, aber dann weiß ich ja nicht, ob ich nicht was übersehen habe oder versehentlich zuviel lösche. Deshalb hier meine Logs mit Bitte um Hilfe:

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 18:25:12, on 02.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\TEXTware\HotKey\TWALINK.EXE
C:\Programme\StarOffice7\program\soffice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Opera75\opera.exe
C:\sichern\Tools\KillBox\KillBox.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\sichern\Tools\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics S lang=DE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: HotKey.lnk = C:\Programme\TEXTware\HotKey\TWALINK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123310564500
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138730641453
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7AAD59-E381-4BF9-AF31-26A41C65A7FB}: NameServer = 192.168.2.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E48957C-E12E-444B-814B-5C3A7F5D7812}: NameServer = 192.168.2.2
O20 - Winlogon Notify: winghy32 - C:\WINDOWS\SYSTEM32\winghy32.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

datfindbat log1:

Verzeichnis von C:\WINDOWS\system32

02.04.2006 18:07 4.940 ncompat.tlb
02.04.2006 18:07 4.286 ot.ico
02.04.2006 18:07 10.184 mssearchnet.exe
02.04.2006 18:07 4.286 ts.ico
02.04.2006 17:25 28.996 nvapps.xml
02.04.2006 17:25 29.709 ld6A43.tmp
02.04.2006 17:25 111.162 OODBS.lor
02.04.2006 16:19 6.144 interf.tlb
02.04.2006 16:19 31.232 hp7791.tmp
02.04.2006 16:03 31.232 hpC07.tmp
02.04.2006 16:03 16.568 nvctrl.exe
02.04.2006 16:03 176.128 stickrep.dll
02.04.2006 16:02 156.160 oins.exe
02.04.2006 16:02 145 AdServ.bat
02.04.2006 16:01 15.525 dfrgsrv.exe
02.04.2006 16:01 11.891 winghy32.dll
02.04.2006 16:01 11.891 AdServ.dll
02.04.2006 10:51 11.954 wpa.dbl
27.03.2006 16:06 381.238 perfh009.dat
27.03.2006 16:06 53.268 perfc009.dat
27.03.2006 16:06 392.356 perfh007.dat
27.03.2006 16:06 64.216 perfc007.dat
27.03.2006 16:06 901.274 PerfStringBackup.INI
25.03.2006 10:33 237.552 FNTCACHE.DAT
13.03.2006 17:45 0 nmp.log
13.03.2006 17:41 0 _nvidia_xxx_.log
13.03.2006 17:15 2.153 app_filter_ui.log
10.03.2006 20:09 2.194.176 kernel1.exe
10.03.2006 02:10 4.799.320 MRT.exe
15.02.2006 19:26 57.864 GDIPFONTCACHEV1.DAT
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 20:03 8.632 spmsg.dll
08.02.2006 17:28 10.518.528 RTLCPL.exe
07.02.2006 20:27 7.006 jupdate-1.5.0_06-b05.log
06.02.2006 18:09 18.780.160 alsndmgr.cpl
03.02.2006 09:43 2.332.368 d3dx9_29.dll
03.02.2006 09:42 230.096 xactengine2_0.dll
03.02.2006 09:41 14.032 x3daudio1_0.dll
30.01.2006 21:22 4.704 KGyGaAvL.sys
21.01.2006 18:09 3.873 jupdate-1.4.2_08-b03.log
14.01.2006 16:01 11.954 wpa.bak
10.01.2006 14:38 135.168 RtlCPAPI.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll

log2:

Verzeichnis von C:\DOKUME~1\Lord\LOKALE~1\Temp

02.04.2006 17:55 16.384 ~DFDCD1.tmp
02.04.2006 17:25 16.384 ~DFF804.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 25.105.125.376 Bytes frei

log3:

Verzeichnis von C:\WINDOWS

02.04.2006 17:25 0 0.log
02.04.2006 17:25 1.420.211 WindowsUpdate.log
02.04.2006 17:25 2.048 bootstat.dat
02.04.2006 17:14 1.245.308 ntbtlog.txt
02.04.2006 17:13 32.440 SchedLgU.Txt
02.04.2006 17:13 402 TEXTWARE.INI
02.04.2006 17:11 116 NeroDigital.ini
02.04.2006 16:02 39.424 mtuninst.exe
02.04.2006 16:02 50.870 setupapi.log
02.04.2006 16:02 39.424 YAXUninst.exe
01.04.2006 21:41 23 BlendSettings.ini
31.03.2006 09:37 1.409 QTFont.for
31.03.2006 09:37 54.156 QTFont.qfn
28.03.2006 09:12 119.663 DirectX.log
21.03.2006 15:34 20.656 wmsetup.log
19.03.2006 05:32 322 wiadebug.log
18.03.2006 09:42 50 wiaservc.log
18.03.2006 04:01 691 win.ini
17.03.2006 16:46 60.416 ALCFDRTM.VER
13.03.2006 20:37 169 RtlRack.ini
13.03.2006 20:02 7.799 WGA.log
13.03.2006 18:04 1.083.345 setupapi.log.1.old
13.03.2006 17:45 109 nmp.log
13.03.2006 17:45 0 _nvidia_xxx_.log
13.03.2006 17:34 0 Path.idx
28.02.2006 19:53 506 LUINSTALL.LOG
28.02.2006 19:49 843 MININU.LOG
16.02.2006 11:08 1.125 winamp.ini
16.02.2006 10:46 29.769 spupdsvc.log
16.02.2006 02:53 72.629 iis6.log
16.02.2006 02:53 108.310 comsetup.log
16.02.2006 02:53 100.233 ntdtcsetup.log
16.02.2006 02:53 1.374 imsins.log
16.02.2006 02:53 24.223 ocmsn.log
16.02.2006 02:53 185.146 tsoc.log
16.02.2006 02:53 6.837 KB913446.log
16.02.2006 02:53 163.007 ocgen.log
16.02.2006 02:53 23.861 msgsocm.log
16.02.2006 02:53 460.229 FaxSetup.log
16.02.2006 02:52 1.374 imsins.BAK
16.02.2006 02:52 8.621 KB911564.log
16.02.2006 02:52 10.976 KB911927.log
16.02.2006 02:52 29.106 updspapi.log
16.02.2006 02:52 8.625 KB911565.log
15.02.2006 19:20 69.632 uinst001.exe
31.01.2006 19:58 400 ODBC.INI
14.01.2006 16:01 37.997 setuplog.txt
14.01.2006 15:19 8.192 REGLOCS.OLD
14.01.2006 14:48 690 OEWABLog.txt
11.01.2006 18:44 10.096 KB908519.log
11.01.2006 16:08 577.536 soundman.exe
06.01.2006 09:01 11.072 KB912919.log
03.01.2006 00:10 106 wininit.ini
02.01.2006 23:50 4.096 d3dx.dat

Verzeichnis von C:\

02.04.2006 18:31 0 sys.txt
02.04.2006 18:30 10.174 system.txt
02.04.2006 18:29 334 systemtemp.txt
02.04.2006 18:29 105.349 system32.txt
02.04.2006 17:25 1.610.612.736 pagefile.sys
28.02.2006 17:32 7.437 hijackthis.log

Ich hoffe, das hilft euch (und dadurch auch mir) weiter. Falls noch was benötigt wird, einfach sagen.
Danke!

02.04.2006, 18:50

Sabina

Ehrenmitglied

Beiträge: 29434

#12 Taaketroll

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\kernel1.exe

Bericht hier posten

-------------------------------------------------------------------

arbeite das ab:
http://virus-protect.org/artikel/spyware/spywarequake.html

PUNKT 4

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ld6A43.tmp
C:\WINDOWS\system32\OODBS.lor
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hp7791.tmp
C:\WINDOWS\system32\hpC07.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\AdServ.bat
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\winghy32.dll
C:\WINDOWS\system32\AdServ.dll
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\mtuninst.exe
C:\WINDOWS\setupapi.log
C:\WINDOWS\YAXUninst.exe

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O20 - Winlogon Notify: winghy32 - C:\WINDOWS\SYSTEM32\winghy32.dll

PC neustarten

poste dann bitte den Report vom Kaspersky, denn ich kann keinen Purityscan sehen , vielleicht hilft der scanner
__________
MfG Sabina

rund um die PC-Sicherheit

02.04.2006, 19:24

Taaketroll

...neu hier

Beiträge: 4

#13 Hi Sabina,

kernel1.exe konnt ich nicht durchsuchen lassen (Browser: Opera), denn da kam folgendes:

"ERROR
The requested URL could not be retrieved

While trying to retrieve the URL: http://www.virustotal.com/flash/envio_sav_anonimo

The following error was encountered:
The request or reply is too large.

If you are making a POST or PUT request, then your request body (the thing you are trying to upload) is too large. If you are making a GET request, then the reply body (what you are trying to download) is too large. These limits have been established by the Internet Service Provider who operates this cache. Please contact them directly if you feel this is an error.

Your cache administrator is webmaster."

Mit IE ging`s auch nicht, aber ich versuch`s später nochmal.

"Die Seite kann nicht angezeigt werden.
Die gewünschte Seite ist zurzeit nicht verfügbar. Möglicherweise sind technische Schwierigkeiten aufgetreten oder Sie sollten die Browsereinstellungen überprüfen. ..."

Den Rest hab ich gemacht, bis auf Kaspersky. Das is`n Antivirusprogramm, oder? Ich schau mal, ob ich das im Netz als Online Version oder Trial finde. Das hab ich nämlich noch nicht. Ich hab nur Ad-Aware SE Personal und Spybot. Aber schonmal vielen Dank für die schnelle Hilfe!

Dieser Beitrag wurde am 02.04.2006 um 20:03 Uhr von Taaketroll editiert.

02.04.2006, 22:58

Sabina

Ehrenmitglied

Beiträge: 29434

#14 Taaketroll

du sollst einen Onlinescan mit kaspersky machen

http://virus-protect.org/onlinescan.html
ist auch so auf meiner SpywareQueke-Seite angegeben

Natuerlich gibt es auch den Antivirenscanner per Tool, aber im Moment reicht der Onlinescanner.
__________
MfG Sabina

rund um die PC-Sicherheit

03.04.2006, 01:34

Taaketroll

...neu hier

Beiträge: 4

#15 Okay, ich hab meine kernel1.exe bei virustotal "manuell" als Mail zum Scan eingeschickt, da das senden immer noch nicht geklappt hat, und bekam folgende Antwort:

Server responseResults of a file scanThis is a report processed by VirusTotal on 04/02/2006 at 23:29:10 (CET) after scanning the file "kernel1.exe" file.AntivirusVersionUpdateResult
AntiVir6.34.0.1404.02.2006no virus found
Avast4.6.695.004.01.2006no virus found
AVG38603.31.2006no virus found
Avira6.34.0.5404.02.2006no virus found
BitDefender7.204.02.2006no virus found
CAT-QuickHeal8.0003.31.2006no virus found
ClamAVdevel-2006020204.02.2006no virus found
DrWeb4.3304.02.2006no virus found
eTrust-InoculateIT23.71.11804.02.2006no virus found
eTrust-Vet12.4.214503.31.2006no virus found
Ewido3.504.02.2006no virus found
Fortinet2.71.0.004.02.2006no virus found
F-Prot3.16c03.30.2006no virus found
Ikarus0.2.59.004.01.2006no virus found
Kaspersky4.0.2.2404.02.2006no virus found
McAfee473103.31.2006no virus found
NOD32v21.146704.02.2006no virus found
Norman5.70.1003.31.2006no virus found
Panda9.0.0.404.02.2006no virus found
Sophos4.04.004.02.2006no virus found
Symantec8.004.02.2006no virus found
TheHacker5.9.7.12304.01.2006no virus found
UNA1.8303.30.2006no virus found
VBA323.10.504.02.2006no virus found

Das Protokoll von Kaspersky (hab mir ne Trial Version runtergeladen) häng ich an. Die gefundenen Dateien sind größtenteils welche, die schon in Quarantäne sind, wenn ich das richtig verstehe. 8 Dateien wurden gelöscht, aber steht ja alles im Report. Den Kaspersky Onlinescanner brauch ich dann wohl nicht mehr unbedingt durchlaufen lassen oder? Die Critical Areas sind in Ordnung, meint der grad.
Vielen Dank für deine kompetente Hilfe, Sabina. Freut mich, dass ich wieder einiges dazugelernt hab. Ich bin sehr froh, dass ich die Schädlinge los bin. Sollten noch welche vorhanden sein, dann hab ich die bisher noch nicht entdeckt. Muss ich noch irgendwas machen?

Anhang: Report03.04.06.zip

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2