habe Trojan.zlob

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.06.2006, 16:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 svidi

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

.......................................................................................................................

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\icima.dll
C:\WINDOWS\system32\f68bd5c3.exe
C:\WINDOWS\system32\hvnwm.dll
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\Downloaded Program Files\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\gdnUS2218.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html
download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip
1. doppelklick smitfraudfix.cmd
2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
4. doppelklick smitfraudfix.cmd
5. schreibe: 2
6. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.06.2006, 13:51
Member

Beiträge: 13
#17 hallo,

Logfile of HijackThis v1.99.1
Scan saved at 13:26:45, on 09.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\f68bd5c3.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\Brmfrmps.exe
c:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\DOKUME~1\Stephan\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programme\SystemDoctor 2006 Free\sd2006.exe -scan
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [f68bd5c3.exe] C:\WINDOWS\system32\f68bd5c3.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [f68bd5c3.exe] C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\f68bd5c3.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - c:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - c:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - c:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\olilrwnn

*******************

Script file located at: \??\C:\WINDOWS\bwgfltia.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at c:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\stdole3.tlb deleted successfully.
File C:\WINDOWS\system32\simpole.tlb deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\atmclk.exe deleted successfully.
File C:\WINDOWS\system32\dcomcfg.exe deleted successfully.
File C:\WINDOWS\system32\icima.dll deleted successfully.
File C:\WINDOWS\system32\f68bd5c3.exe deleted successfully.
File C:\WINDOWS\system32\hvnwm.dll deleted successfully.
File C:\WINDOWS\system32\regperf.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\gdnUS2218.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gdnUS2218.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\gdnUS2218.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


bis hierhin klappt alles.aber wenn ich smitfraudfic.cmd öffne kann ich keine 1 eingeben und der hintergrund wird rot!habe die scriptblockierung von norton deaktiviert.geht aber trotzdem nicht?

was soll ich jetzt tun?

gruß svidi
Seitenanfang Seitenende
09.06.2006, 14:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok
* öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.
suche smitfiles.txt und poste die Textdatei
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.06.2006, 15:28
Member

Beiträge: 13
#19 also der scan ist jetz beendet.es wurde wohl nichts deinstalliert.jedenfalls gibt es keine textdatei!

gruß svidi
Seitenanfang Seitenende
09.06.2006, 15:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 **
suche smitfiles.txt -> es muss sie geben !

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.06.2006, 11:59
Member

Beiträge: 13
#21 hallo,
habe die datei gefunden!

smitRem © log file
version 3.0

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\Dokumente und Einstellungen\Stephan\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

Security Toolbar


~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

stdole3.tlb
amcompat.tlb
nscompat.tlb
1024 dir
ld****.tmp
hp***.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1528 'explorer.exe'
Killing PID 1528 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN! ;)


~~~ Upon reboot ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ;) ~~~~


der scan report:


Incident Status Location

Adware:Adware/SystemDoctor Not disinfected c:\windows\system32\f68bd5c3.exe
Adware:adware/swimsuitnetwork Not disinfected c:\windows\system32\MYDLL.dll
Adware:adware/emediacodec Not disinfected c:\programme\Media-Codec
Adware:Adware/SystemDoctor Not disinfected C:\avenger\backup.zip[avenger/f68bd5c3.exe]
Adware:Adware/SpywareQuake Not disinfected C:\avenger\backup.zip[avenger/hvnwm.dll]
Adware:Adware/SpywareQuake Not disinfected C:\avenger\backup.zip[avenger/icima.dll]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@2o7[1].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@adtech[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@atdmt[2].txt
Spyware:Cookie/cs.sexcounter Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@cs.sexcounter[2].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@hitbox[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@mediaplex[1].txt
Spyware:Cookie/SexList Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@sexlist[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@tradedoubler[2].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Stephan\Desktop\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Stephan\Desktop\smitRem.exe[smitRem/Process.exe]
Adware:Adware/SystemDoctor Not disinfected C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\f68bd5c3.exe
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\Cookies\stephan@adtech[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\Cookies\stephan@as1.falkag[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Programme\AOL 9.0\download\smitRem\Process.exe
Adware:Adware/EMediaCodec Not disinfected C:\Programme\Media-Codec\uninst.exe
Adware:Adware/SecurityError Not disinfected C:\RECYCLER\NPROTECT\00598427.exe
Adware:Adware/SecurityError Not disinfected C:\RECYCLER\NPROTECT\00598431.exe
Adware:Adware/SecurityError Not disinfected C:\RECYCLER\NPROTECT\00598438.exe
Adware:Adware/SecurityError Not disinfected C:\RECYCLER\NPROTECT\00598601.exe
Adware:Adware/SecurityError Not disinfected C:\RECYCLER\NPROTECT\00598653.exe
Adware:Adware/SecurityError Not disinfected C:\RECYCLER\NPROTECT\00599226.exe
Adware:Adware/SecurityError Not disinfected C:\RECYCLER\NPROTECT\00599406.exe
Adware:Adware/SecurityError Not disinfected C:\RECYCLER\NPROTECT\00600239.exe
Potentially unwanted tool:Application/SystemDoctor2006 Not disinfected C:\RECYCLER\NPROTECT\00601467.dll
Potentially unwanted tool:Application/SystemDoctor2006 Not disinfected C:\RECYCLER\NPROTECT\00601471.exe
Potentially unwanted tool:Application/ErrorSafe Not disinfected C:\RECYCLER\NPROTECT\00601474.exe
Potentially unwanted tool:Application/SystemDoctor2006 Not disinfected C:\RECYCLER\NPROTECT\00601475.exe
Potentially unwanted tool:Application/SystemDoctor2006 Not disinfected C:\RECYCLER\NPROTECT\00601476.exe
soll ich jetzt die systemherstellung wieder aktivieren?

gruß svidi
Seitenanfang Seitenende
10.06.2006, 12:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 1.
loesche die alte spyfalcon.zip und auch die spyfalcon.reg

2.
neuladen (ist was veraendert)
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

c:\windows\system32\f68bd5c3.exe
c:\windows\system32\MYDLL.dll
C:\RECYCLER\NPROTECT\00598427.exe
C:\RECYCLER\NPROTECT\00598431.exe
C:\RECYCLER\NPROTECT\00598438.exe
C:\RECYCLER\NPROTECT\00598601.exe
C:\RECYCLER\NPROTECT\00598653.exe
C:\RECYCLER\NPROTECT\00599226.exe
C:\RECYCLER\NPROTECT\00599406.exe
C:\RECYCLER\NPROTECT\00600239.exe
C:\RECYCLER\NPROTECT\00601467.dll
C:\RECYCLER\NPROTECT\00601471.exe
C:\RECYCLER\NPROTECT\00601474.exe
C:\RECYCLER\NPROTECT\00601475.exe
C:\RECYCLER\NPROTECT\00601476.exe
C:\avenger\backup.zip

PC neustarten

4.
deinstalliere:
C:\Programme\Media-Codec

----------

5.
scanne noch einmal mit panda und poste das log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.06.2006, 11:20
Member

Beiträge: 13
#23 hallo,

hier das log:


Incident Status Location

Adware:Adware/SystemDoctor Not disinfected c:\windows\system32\f68bd5c3.exe
Adware:Adware/SystemDoctor Not disinfected C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\f68bd5c3.exe
Adware:Adware/SecurityError Not disinfected C:\!KillBox\00598427.exe
Adware:Adware/SecurityError Not disinfected C:\!KillBox\00598431.exe
Adware:Adware/SecurityError Not disinfected C:\!KillBox\00598438.exe
Adware:Adware/SecurityError Not disinfected C:\!KillBox\00598601.exe
Adware:Adware/SecurityError Not disinfected C:\!KillBox\00598653.exe
Adware:Adware/SecurityError Not disinfected C:\!KillBox\00599226.exe
Adware:Adware/SecurityError Not disinfected C:\!KillBox\00599406.exe
Adware:Adware/SecurityError Not disinfected C:\!KillBox\00600239.exe
Potentially unwanted tool:Application/SystemDoctor2006 Not disinfected C:\!KillBox\00601467.dll
Potentially unwanted tool:Application/SystemDoctor2006 Not disinfected C:\!KillBox\00601471.exe
Potentially unwanted tool:Application/ErrorSafe Not disinfected C:\!KillBox\00601474.exe
Potentially unwanted tool:Application/SystemDoctor2006 Not disinfected C:\!KillBox\00601475.exe
Potentially unwanted tool:Application/SystemDoctor2006 Not disinfected C:\!KillBox\00601476.exe
Adware:Adware/SystemDoctor Not disinfected C:\!KillBox\backup.zip[avenger/f68bd5c3.exe]
Adware:Adware/SpywareQuake Not disinfected C:\!KillBox\backup.zip[avenger/hvnwm.dll]
Adware:Adware/SpywareQuake Not disinfected C:\!KillBox\backup.zip[avenger/icima.dll]
Adware:Adware/SystemDoctor Not disinfected C:\!KillBox\f68bd5c3.exe
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@2o7[1].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@adtech[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@as-eu.falkag[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@atdmt[2].txt
Spyware:Cookie/cs.sexcounter Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@cs.sexcounter[2].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@hitbox[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@mediaplex[1].txt
Spyware:Cookie/SexList Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@sexlist[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@tradedoubler[2].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Stephan\Desktop\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Stephan\Desktop\smitRem.exe[smitRem/Process.exe]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\Cookies\stephan@adtech[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\Cookies\stephan@as1.falkag[1].txt
Adware:Adware/EMediaCodec Not disinfected C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~nsu.tmp\Au_.exe
soll ich die systemwiederherstellung aktivieren?und kann ich das blau als hintergrund entfernen?

gruß svidi
Seitenanfang Seitenende
11.06.2006, 13:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 svidi

mal sehen, ob wir das wieder hinbekommen, denn du hast dir mit dem laden dieser Faktetools den Rechner zerstoert..... (ich muss geschlafen haben...dass ich das nicht gleich gesehen habe... ;)
http://virus-protect.org/artikel/spyware/system_doctor.html

1.
loeschen:
c:\windows\system32\f68bd5c3.exe
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\f68bd5c3.exe
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\SystemDoctorFreeSetup.exe
C:\Dokumente und Einstellungen\Stephan\LokaleEinstellungen\Temp\h91746.exe

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SystemDoctor 2006 Free

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

SystemDoctor

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyBro

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.06.2006, 19:40
Member

Beiträge: 13
#25 hallo,

diese datei ging nicht zu löschen! c:\windows\system32\f68bd5c3.exe



hier die logs:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 12.06.2006 19:34:03 for strings:
; 'systemdoctor 2006 free'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SystemDoctor 2006 Free\\sd2006.exe"="Main module of SystemDoctor 2006"
"C:\\Programme\\SystemDoctor 2006 Free\\unins000.exe"="Setup/Uninstall"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 12.06.2006 19:36:28 for strings:
; 'systemdoctor 2006 free'
; 'systemdoctor'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\Microsoft\Search Assistant\ACMru\5603]
"002"="SystemDoctorFreeSetup.exe"

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SystemDoctor 2006 Unregistered Version]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SystemDoctor 2006 Free\\sd2006.exe"="Main module of SystemDoctor 2006"
"C:\\Programme\\SystemDoctor 2006 Free\\unins000.exe"="Setup/Uninstall"

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 12.06.2006 19:37:40 for strings:
; 'systemdoctor 2006 free'
; 'systemdoctor'
; 'spybro'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser]

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\RemoteConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\Signatures]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\Microsoft\Search Assistant\ACMru\5603]
"002"="SystemDoctorFreeSetup.exe"

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SystemDoctor 2006 Unregistered Version]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\Microsoft\Windows\CurrentVersion\Run]
"SpyBrowser"="C:\\Programme\\SpyBro\\SpyBro.exe /autostart"

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SystemDoctor 2006 Free\\sd2006.exe"="Main module of SystemDoctor 2006"
"C:\\Programme\\SystemDoctor 2006 Free\\unins000.exe"="Setup/Uninstall"

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\Antivirus]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\General]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\GuardOptions]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\GuardOptions\EnabledMonitors]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\Monitors]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\RemoteConfig]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\ScanOptions]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\ScanOptions\CustomScan]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\ScanOptions\SelectedFolders]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\ScanOptions\StartupCustomScan]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\Scheduler]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\Scheduler\CustomScan]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\Scheduler\Event 0]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\Startup]

[HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser\Statistics]

; End Of The Log...


auf alle fälle sage ich jetzt schon mal danke für die hilfe!ansonsten würde ich hilflos vor meinem pc sitzen!!!


gruß svidi
Seitenanfang Seitenende
13.06.2006, 00:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programme\SystemDoctor 2006 Free\sd2006.exe -scan
O4 - HKLM\..\Run: [f68bd5c3.exe] C:\WINDOWS\system32\f68bd5c3.exe
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - HKCU\..\Run: [f68bd5c3.exe] C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\f68bd5c3.exe
PC neustarten

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Antispy
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Antispy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Antispy
HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser

Files to delete:
C:\Programme\SpyBro\SpyBro.exe
C:\Programme\SpyBro\Antispy.sys
C:\Programme\SpyBro\LawEnforcer.dll
C:\Programme\SpyBro\unins000.exe
C:\WINDOWS\unins000.dat
C:\WINDOWS\unins000.exe
C:\Programme\SystemDoctor 2006 Free\sd2006.exe
C:\Programme\SystemDoctor 2006 Free\unins000.exe
c:\programme\systemdoctor 2006 free\activate.exe
c:\programme\systemdoctor 2006 free\insthelp.exe
c:\programme\systemdoctor 2006 free\order.dll
c:\programme\systemdoctor 2006 free\updater.exe
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\SystemDoctorFreeSetup.exe
C:\WINDOWS\system32\f68bd5c3.exe
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\f68bd5c3.exe
C:\Dokumente und Einstellungen\Stephan\LokaleEinstellungen\Temp\h91746.exe
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~nsu.tmp\Au_.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger,was erscheint

**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken)

**
loesche:
C:\Programme\SystemDoctor 2006 Free -> auch aus Start/Programme - rausloeschen !
C:\Programme\SpyBro
c:\programme\Media-Codec

«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.06.2006, 20:59
Member

Beiträge: 13
#27 hallo,

die ersten 3 einträge sind leider nicht bei hijackthis zu finden?
soll ich nur die anderen 3 löschen?


gruß svidi
Seitenanfang Seitenende
13.06.2006, 22:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 wenn sie nicht zu finden sind, dann kannst du sie nicht fixen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.06.2006, 15:16
Member

Beiträge: 13
#29 hallo,

hier ist das avenger log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\upxstjgb

*******************

Script file located at: \??\C:\WINDOWS\system32\esxoppyw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Antispy deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Antispy deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Antispy not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Antispy failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Antispy
Status: 0xc0000034



Could not open file C:\Programme\SpyBro\SpyBro.exe for deletion
Deletion of file C:\Programme\SpyBro\SpyBro.exe failed!

Could not process line:
C:\Programme\SpyBro\SpyBro.exe
Status: 0xc000003a



Could not open file C:\Programme\SpyBro\Antispy.sys for deletion
Deletion of file C:\Programme\SpyBro\Antispy.sys failed!

Could not process line:
C:\Programme\SpyBro\Antispy.sys
Status: 0xc000003a



Could not open file C:\Programme\SpyBro\LawEnforcer.dll for deletion
Deletion of file C:\Programme\SpyBro\LawEnforcer.dll failed!

Could not process line:
C:\Programme\SpyBro\LawEnforcer.dll
Status: 0xc000003a



Could not open file C:\Programme\SpyBro\unins000.exe for deletion
Deletion of file C:\Programme\SpyBro\unins000.exe failed!

Could not process line:
C:\Programme\SpyBro\unins000.exe
Status: 0xc000003a



File C:\WINDOWS\unins000.dat not found!
Deletion of file C:\WINDOWS\unins000.dat failed!

Could not process line:
C:\WINDOWS\unins000.dat
Status: 0xc0000034



File C:\WINDOWS\unins000.exe not found!
Deletion of file C:\WINDOWS\unins000.exe failed!

Could not process line:
C:\WINDOWS\unins000.exe
Status: 0xc0000034



Could not open file C:\Programme\SystemDoctor 2006 Free\sd2006.exe for deletion
Deletion of file C:\Programme\SystemDoctor 2006 Free\sd2006.exe failed!

Could not process line:
C:\Programme\SystemDoctor 2006 Free\sd2006.exe
Status: 0xc000003a



Could not open file C:\Programme\SystemDoctor 2006 Free\unins000.exe for deletion
Deletion of file C:\Programme\SystemDoctor 2006 Free\unins000.exe failed!

Could not process line:
C:\Programme\SystemDoctor 2006 Free\unins000.exe
Status: 0xc000003a



Could not open file c:\programme\systemdoctor 2006 free\activate.exe for deletion
Deletion of file c:\programme\systemdoctor 2006 free\activate.exe failed!

Could not process line:
c:\programme\systemdoctor 2006 free\activate.exe
Status: 0xc000003a



Could not open file c:\programme\systemdoctor 2006 free\insthelp.exe for deletion
Deletion of file c:\programme\systemdoctor 2006 free\insthelp.exe failed!

Could not process line:
c:\programme\systemdoctor 2006 free\insthelp.exe
Status: 0xc000003a



Could not open file c:\programme\systemdoctor 2006 free\order.dll for deletion
Deletion of file c:\programme\systemdoctor 2006 free\order.dll failed!

Could not process line:
c:\programme\systemdoctor 2006 free\order.dll
Status: 0xc000003a



Could not open file c:\programme\systemdoctor 2006 free\updater.exe for deletion
Deletion of file c:\programme\systemdoctor 2006 free\updater.exe failed!

Could not process line:
c:\programme\systemdoctor 2006 free\updater.exe
Status: 0xc000003a



File C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\SystemDoctorFreeSetup.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\SystemDoctorFreeSetup.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\SystemDoctorFreeSetup.exe
Status: 0xc0000034

File C:\WINDOWS\system32\f68bd5c3.exe deleted successfully.
File C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\f68bd5c3.exe deleted successfully.


Could not open file C:\Dokumente und Einstellungen\Stephan\LokaleEinstellungen\Temp\h91746.exe for deletion
Deletion of file C:\Dokumente und Einstellungen\Stephan\LokaleEinstellungen\Temp\h91746.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Stephan\LokaleEinstellungen\Temp\h91746.exe
Status: 0xc000003a



File C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~nsu.tmp\Au_.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~nsu.tmp\Au_.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~nsu.tmp\Au_.exe
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser deleted successfully.


Registry key HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser not found!
Deletion of registry key HKEY_USERS\S-1-5-21-1722000219-1094615704-688755064-1008\Software\SpyBrowser failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
14.06.2006, 15:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: