Nach Spysheriff Infektion ist firewall deaktiviert

#0
08.04.2006, 01:27
...neu hier

Beiträge: 5
#1 Hallo, Ich habe mir gestern den Spysheriff eingefangen und habe nun mit verschiedenen tools versucht den Knaben zu entfernen. Aber ich kann meinen Windows Firewall (XP SP2) nicht mehr aktivieren.
Ich bin etwas hilflos was hier noch zurückgeblieben ist oder was kaputt gegangen ist.
Für Eure Hilfe wäre ich sehr dankbar.
Ich habe versucht Sabina´s Wünsche an Daten so gut wie möglich zu erfüllen -
Hier der HijackThis Daten

Danke
Logfile of HijackThis v1.99.1
Scan saved at 01:14:02, on 08.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Down2Home\Down2Home.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Opera\Opera.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [GAKDGGc] C:\WINDOWS\bnmshmvc.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [TrayBackup] "C:\Programme\TrayBackup\traybackup.exe" /AUTO
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "c:\windows\servicepackfiles\i386\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Down2Home.lnk = C:\Programme\Down2Home\Down2Home.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Datfindbat
08.04.2006 00:41 269 spupdwxp.log
08.04.2006 00:41 1.158 wpa.dbl
06.04.2006 23:34 50.280 wmedia32.exe
04.04.2006 00:08 78.856 mlfcache.dat

26.03.2006 15:40 314.644 perfh009.dat
26.03.2006 15:40 320.424 perfh007.dat
26.03.2006 15:40 40.972 perfc009.dat
26.03.2006 15:40 49.372 perfc007.dat
26.03.2006 15:40 732.166 PerfStringBackup.INI
25.03.2006 01:15 16 waste.bsr
25.03.2006 01:15 17 lictest.log

16.03.2006 00:18 7.006 jupdate-1.5.0_06-b05.log
09.03.2006 16:21 4.799.320 MRT.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
26.01.2006 20:36 716.800 divxdec.ax
26.01.2006 20:36 574.976 DivX.dll
26.01.2006 20:35 679.936 divx_xx07.dll
26.01.2006 20:35 679.936 divx_xx0c.dll
26.01.2006 20:35 663.552 divx_xx11.dll
24.01.2006 20:08 12.288 DivXWMPExtType.dll
18.01.2006 14:05 57.344 avsda.dll
09.01.2006 21:32 86.016 dpl100.dll
09.01.2006 21:32 593.920 dpuGUI11.dll
09.01.2006 21:32 200.704 dtu100.dll
09.01.2006 21:32 339.968 dpus11.dll
09.01.2006 21:32 57.344 dpv11.dll
09.01.2006 21:32 294.912 dpu10.dll
09.01.2006 21:32 294.912 dpu11.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
06.12.2005 07:02 5.533.696 wmp.dll
05.12.2005 22:51 10.716 dsm_ja.qm
05.12.2005 22:51 15.331 dsm_de.qm
05.12.2005 22:51 15.172 dsm_fr.qm
01.12.2005 05:31 1.492.480 shdocvw.dll
24.11.2005 01:58 1.022.464 browseui.dll
24.11.2005 01:58 3.013.632 mshtml.dll
______________________________________________
08.04.2006 01:11 16.384 ~DFA38E.tmp
08.04.2006 00:53 612 jusched.log
08.04.2006 00:46 0 1bx15.tmp
08.04.2006 00:43 49.152 ~DF9BA4.tmp
08.04.2006 00:43 32.768 ~DFBA2D.tmp
08.04.2006 00:43 32.768 ~DF8B44.tmp
08.04.2006 00:43 224 WCESCOMM.LOG
08.04.2006 00:23 640 WcesView.log
08.04.2006 00:16 49.152 ~DFB691.tmp
08.04.2006 00:15 32.768 ~DFB00C.tmp
08.04.2006 00:15 32.768 ~DFA2FC.tmp
08.04.2006 00:14 49.152 ~DF9D0D.tmp
08.04.2006 00:13 32.768 ~DFC662.tmp
08.04.2006 00:13 32.768 ~DF956A.tmp
07.04.2006 23:46 49.152 ~DF692A.tmp
07.04.2006 23:46 32.768 ~DFCA5.tmp
07.04.2006 23:46 32.768 ~DFF2D9.tmp
______________________________________________
08.04.2006 00:53 375.679 setupapi.log
08.04.2006 00:43 794 win.ini
08.04.2006 00:43 227 system.ini
08.04.2006 00:43 58.571 spupdsvc.log
08.04.2006 00:42 319.911 wmsetup.log
08.04.2006 00:42 963 DtcInstall.log
08.04.2006 00:42 316.640 WMSysPr9.prx
08.04.2006 00:42 0 0.log
08.04.2006 00:41 9.634 setuplog.txt
08.04.2006 00:41 1.832.607 WindowsUpdate.log
08.04.2006 00:41 159 wiadebug.log
08.04.2006 00:41 50 wiaservc.log
08.04.2006 00:40 2.048 bootstat.dat
08.04.2006 00:40 32.622 SchedLgU.Txt
08.04.2006 00:39 625.030 svcpack.log
08.04.2006 00:37 373 cmsetacl.log
08.04.2006 00:37 3.396 sessmgr.setup.log
08.04.2006 00:32 1.178 medctroc.Log
08.04.2006 00:11 6.642 WGA.log
08.04.2006 00:00 116 NeroDigital.ini
07.04.2006 16:48 875.172 ntbtlog.txt
07.04.2006 16:45 776 setupact.log
06.04.2006 23:34 780 hosts
06.04.2006 23:11 0 iPlayer.INI
05.04.2006 23:20 3.192 tm.ini
05.04.2006 23:13 114 tdf.dii
02.04.2006 23:29 36 iltwain.ini
25.03.2006 01:15 16 icon.nbi

25.03.2006 01:15 17 fldebug.log
24.03.2006 00:30 87 setup.log
16.03.2006 00:19 3.623 mozver.dat
24.02.2006 10:18 118.231 iis6.log
24.02.2006 10:18 273.653 comsetup.log
24.02.2006 10:18 171.914 ntdtcsetup.log
24.02.2006 10:18 38.168 ocmsn.log
24.02.2006 10:18 321.598 tsoc.log
24.02.2006 10:18 1.374 imsins.log
24.02.2006 10:18 10.626 KB911927.log
24.02.2006 10:18 455.038 ocgen.log
24.02.2006 10:18 40.774 msgsocm.log
24.02.2006 10:18 773.947 FaxSetup.log
24.02.2006 10:18 23.924 updspapi.log
24.02.2006 10:18 1.374 imsins.BAK
24.02.2006 10:18 6.656 KB911564.log
24.02.2006 10:18 6.908 KB911565.log
24.02.2006 10:17 6.704 KB913446.log
06.02.2006 00:14 378 wmsetup10.log
02.02.2006 01:10 3.752 OEWABLog.txt
11.01.2006 01:12 10.215 KB908519.log
06.01.2006 01:50 11.063 KB912919.log
___________________________________________
08.04.2006 01:29 0 sys.txt
08.04.2006 01:29 16.973 system.txt
08.04.2006 01:27 1.068 systemtemp.txt
08.04.2006 01:27 108.195 system32.txt
08.04.2006 00:43 210 boot.ini
08.04.2006 00:40 1.073.741.824 pagefile.sys
07.04.2006 16:44 482 rapport.txt
Seitenanfang Seitenende
08.04.2006, 22:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Mori

1.
Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\bnmshmvc.exe

poste hier das Ergebnis

--------------------------------------------------------------------
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\SpySheriff]

[-HKEY_CURRENT_USER\Software\SNO2]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpySheriff]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-
"NoThemesTab"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=-
"NoComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoCloseDragDropBands"=-
"NoMovingBands"=-
"NoHTMLWallPaper"=-
"NoChangingWallPaper"=-
3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O4 - HKLM\..\Run: [GAKDGGc] C:\WINDOWS\bnmshmvc.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\windows\servicepackfiles\i386\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

PC neustarten

4.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Rboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\system32\wmedia32.exe
C:\WINDOWS\system32\mlfcache.dat
C:\WINDOWS\hosts

PC neustarten

------------------------------------------------------------------
5.
smitRem
* Laden: SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

6.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "sheriff.reg" auf dem Desktop doppelklicken.

7.
öffne smitRem ,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

--------------------------------------------------------------------
wieder im Normalmodus

8.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

9.
scanne mit bitdefender ScanOnline neu und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 01:46
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Sabina,
herzlichen dank für Deine prompte Antwort. Ich habe mich gleich darüber gemacht und deine Anweisungen durchgeführt. Es wurde so einiges gefunden und entfernt, die Firewall ist aber noch immer deaktiviert.
Blöde Frage: Glaubst Du es könnte helfen das SP2 zu deinstallieren und neu draufzupacken?
Schon mal jetzt herzlichsten Dank und ich finde es klasse, wie schnell Du mir geantwortet hast - Danke

Hier die Posts.,

Scheinbar habe ich gestern mit den Cleanup noch die C:\WINDOWS\bnmshmvc.exe gelöscht, da sie nicht auffindbar ist

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
D:\Eigene Dateien\Software\Viren\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts

______________________________________________

Scanreport Bitdefender
Zu prüfender Pfad: A:\;C:\;D:\;E:\;F:\;G:\;I:\;







Statistik

Zeit
01:31:31

Dateien
405508

Ordner
5076

Boot-Sektoren
5

Archive
8121

Komprimierte Dateien
45637




Ergebnisse

Erkannte Viren
10

Infizierte Dateien
15

verdächtige Dateien
0

Warnungen
0

Desinfiziert
0

Gelöscht
15




Engine-Info

Virensignaturen
363406

Engine info
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Prüf-Plugins
13

Archiv-Plugins
39

Extraktions-Plugins
4

E-Mail-Plugins
6

System-Plugins
1




Prüfeinstellungen

Primäre Aktion
Desinfizieren

Sekundäre Aktion
Löschen

Heuristik
Ja

Warnungen aktivieren
Ja

Zu prüfende Erweiterungen
*;

Auszuschließende Erweiterungen


E-Mails prüfen
Ja

Archive prüfen
Ja

Komprimierte Dateien prüfen
Ja

Dateien prüfen
Ja

Boot-Sektoren prüfen
Ja




Geprüfte Dateien
Status

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\d-aednr1.exe=>(ZIP Sfx o)=>run.exe
Infiziert: Trojan.Downloader.Small.CPC

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\d-aednr1.exe=>(ZIP Sfx o)=>run.exe
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\d-aednr1.exe=>(ZIP Sfx o)=>run.exe
Gelöscht

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\d-aednr1.exe=>(ZIP Sfx o)
Aktualisiert

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\d-aednr1.exe
Aktualisieren fehlgeschlagen

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\e-ne7801.exe=>(ZIP Sfx o)=>run.exe
Infiziert: Trojan.Downloader.Small.CPC

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\e-ne7801.exe=>(ZIP Sfx o)=>run.exe
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\e-ne7801.exe=>(ZIP Sfx o)=>run.exe
Gelöscht

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\e-ne7801.exe=>(ZIP Sfx o)
Aktualisiert

C:\Dokumente und Einstellungen\Internet Surfer\Eigene Dateien\e-ne7801.exe
Aktualisieren fehlgeschlagen

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: WG: Movies][From: Monika]=>Document003.pi
Infiziert: Win32.Sobig.A@mm

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: WG: Movies][From: Monika]=>Document003.pi
Gelöscht

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst
Aktualisiert

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: DIE WICHTIGE MITTEILUNG][From: VOLKSBANKEN RAIFFEISENBANKEN]=>costa.gif
Infiziert: Trojan.Spy.HTML.Bankfraud.M

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: DIE WICHTIGE MITTEILUNG][From: VOLKSBANKEN RAIFFEISENBANKEN]=>costa.gif
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: DIE WICHTIGE MITTEILUNG][From: VOLKSBANKEN RAIFFEISENBANKEN]=>costa.gif
Gelöscht

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst
Aktualisiert

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING][From: VOLKSBANKEN RAIFFEISENBANKEN AG 2006]=>angel.gif
Infiziert: Trojan.Spy.HTML.Bankfraud.M

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING][From: VOLKSBANKEN RAIFFEISENBANKEN AG 2006]=>angel.gif
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING][From: VOLKSBANKEN RAIFFEISENBANKEN AG 2006]=>angel.gif
Gelöscht

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst
Aktualisiert

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: Volksbanken Raiffeisenbanken Online-Banking][From: VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING]=>buff.gif
Infiziert: Trojan.Spy.HTML.Bankfraud.M

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: Volksbanken Raiffeisenbanken Online-Banking][From: VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING]=>buff.gif
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst=>[Subject: Volksbanken Raiffeisenbanken Online-Banking][From: VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING]=>buff.gif
Gelöscht

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst
Aktualisiert

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2H8NIPKX\send_car_int[1].htm
Infiziert: Exploit.Html.Codebase.Exec.Gen

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2H8NIPKX\send_car_int[1].htm
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2H8NIPKX\send_car_int[1].htm
Gelöscht

C:\Program Files\secure32.html
Infiziert: Trojan.SpySheriff.C

C:\Program Files\secure32.html
Desinfektion fehlgeschlagen

C:\Program Files\secure32.html
Gelöscht

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
Infiziert: Trojan.PSW.Agent.F

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
Desinfektion fehlgeschlagen

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
Gelöscht

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100598.exe
Infiziert: Trojan.Spywad.AI

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100598.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100598.exe
Gelöscht

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100639.exe
Infiziert: Trojan.Agent.GN

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100639.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100639.exe
Gelöscht

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100641.exe
Infiziert: Trojan.Spywad.AI

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100641.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP259\A0100641.exe
Gelöscht

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP261\A0101288.dll
Infiziert: Trojan.PSW.Agent.F

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP261\A0101288.dll
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP261\A0101288.dll
Gelöscht

D:\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: WG: Movies][From: Monika.Morawietz]=>Document003.pi
Infiziert: Win32.Sobig.A@mm

D:\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst=>[Subject: WG: Movies][From: Monika.Morawietz]=>Document003.pi
Gelöscht

D:\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst
Aktualisiert

D:\Moni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OVBBQ0P9\send_car_int[1].htm
Infiziert: Exploit.Html.Codebase.Exec.Gen

D:\Moni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OVBBQ0P9\send_car_int[1].htm
Desinfektion fehlgeschlagen

D:\Moni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OVBBQ0P9\send_car_int[1].htm
Gelöscht
Dieser Beitrag wurde am 10.04.2006 um 22:43 Uhr von Mori editiert.
Seitenanfang Seitenende
09.04.2006, 02:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
scane mit Kaspersky (Fullscan) und poste den scanreport
http://virus-protect.org/onlinescan.html

3.
arbeite das bitte ab:
http://virus-protect.org/artikel/tools/regshot.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 22:31
...neu hier

Themenstarter

Beiträge: 5
#5 1, Hier der Kaspersky Scanreport:
C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/01 Mar 2006 02:38 from VOLKSBANKEN RAIFFEISENBANKEN;)IE WICHTIGE.html Infected: Trojan-Spy.HTML.Bankfraud.od skipped

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/02 Mar 2006 16:28 from VOLKSBANKEN RAIFFEISENBANKEN INTERNET BAN.html Infected: Trojan-Spy.HTML.Bankfraud.od skipped

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/17 Mar 2006 18:02 from POSTBANK;)EUTSCHE POSTBANK AG AG INTERNET.html Infected: Trojan-Spy.HTML.Bankfraud.ok skipped

C:\Dokumente und Einstellungen\Moni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst Mail MS Mail: infected - 3 skipped

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll Infected: Trojan-PSW.Win32.Sinowal.d skipped

C:\WINDOWS\system32\frarlbva.exe Infected: Trojan.Win32.Crypt.t skipped

2. Die Vergleichstabelle von Regshot habe ich mal angehängt.

Danke

Seitenanfang Seitenende
09.04.2006, 23:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
loesche mit der Killbox:
http://virus-protect.org/killbox.html

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\WINDOWS\system32\frarlbva.exe

PC neustarten

2.
so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.

3.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2006, 21:08
...neu hier

Themenstarter

Beiträge: 5
#7 1. Die zwei dateien mit Killbox gelöscht.

2. Ewido scan report anbei

Gruß

Seitenanfang Seitenende
10.04.2006, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 da war ja noch so einiges drauf
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

dann gehe in die Registry
Start -Ausfuehren - regedit

aktiviere Windows XP Firewall:

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile

Neuer Wert:
"EnableFirewall"=dword:00000000 --> auf dword:00000001 aendern

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2006, 22:05
...neu hier

Themenstarter

Beiträge: 5
#9 Danke
Die Firewall ist wieder aktiv. Habe trotzdem nochmals das SP2 neu installiert

Hier der Scanreport - Killbox wird als kritisch erkannt
Habe die Cookies schon mal vorsichtshalber von Hand gelöscht
Mfg
Mori

Spyware:spyware/media-motor Windows Registry
Spyware:Cookie/ErrorSafe C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\yhtzuzym.default\cookies.txt[.errorsafe.com/]
Spyware:Cookie/fe.lea.lycos C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\yhtzuzym.default\cookies.txt[.fe.lea.lycos.de/]
Spyware:Cookie/GoStats C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\yhtzuzym.default\cookies.txt[.gostats.com/]
Possible Virus. C:\!KillBox\wmedia32.exe
Spyware:Cookie/ErrorSafe C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\yhtzuzym.default\cookies.txt[]
Spyware:Cookie/fe.lea.lycos C:\Dokumente und Einstellungen\Moni\Anwendungsdaten\Mozilla\Firefox\Profiles\xeygq6dt.default\cookies.txt[]
Spyware:Cookie/WebtrendsLive C:\Dokumente und Einstellungen\Moni\Cookies\moni@statse.webtrendslive[1].txt
Spyware:Cookie/Apmebf C:\Dokumente und Einstellungen\Videoschnitt\Anwendungsdaten\Mozilla\Firefox\Profiles\6pt798dk.default\cookies.txt[]
Potentially unwanted tool:Application/Processor D:\Eigene Dateien\Software\Viren\smitRem\Process.exe
Potentially unwanted tool:Application/Processor D:\Eigene Dateien\Software\Viren\smitRem\smitRem.exe[Process.exe]
Spyware:Cookie/Toplist D:\Moni\Cookies\moni@toplist[1].txt
Spyware:Cookie/Advnt D:\Moni\Cookies\moni@www.advnt01[1].txt
Spyware:Cookie/Xiti D:\Moni\Cookies\moni@xiti[1].txt
Potentially unwanted tool:Application/Processor J:\Eigene Dateien\Software\Viren\smitRem\Process.exe
Potentially unwanted tool:Application/Processor J:\Eigene Dateien\Software\Viren\smitRem\smitRem.exe[Process.exe]
Dieser Beitrag wurde am 11.04.2006 um 22:39 Uhr von Mori editiert.
Seitenanfang Seitenende
12.04.2006, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 loesche das ; C:\!KillBox\wmedia32.exe

nun sollte wieder alles in Ordnung sein
p.s. den Registry-Eintrag von media-motor kann ich nicht einordnen...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: