tibs dialer, trojan downloader ruin deskwizz |
||
---|---|---|
#0
| ||
08.04.2006, 19:19
Member
Beiträge: 11 |
||
|
||
08.04.2006, 21:33
Ehrenmitglied
Beiträge: 29434 |
#2
Garret
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop --> hier kopieren ------------------------------------------------------------- deine TCP-Verbindung...geht in die Ukraine.... O17 - HKLM\System\CCS\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70 das ist der Wareout........ Zitat % Information related to '85.255.112.0 - 85.255.127.255' __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 14:15
Member
Themenstarter Beiträge: 11 |
#3
Danke vorerst.
a)cleanup ausgeführt. b) log 1: Datentr„ger in Laufwerk C: ist Windows XP Volumeseriennummer: A8E4-9AC4 Verzeichnis von C:\WINDOWS\system32 09.04.2006 13:55 311.604 perfh009.dat 09.04.2006 13:55 39.992 perfc009.dat 09.04.2006 13:55 48.156 perfc007.dat 09.04.2006 13:55 316.594 perfh007.dat 09.04.2006 13:55 723.744 PerfStringBackup.INI 08.04.2006 18:25 2.550 Uninstall.ico 08.04.2006 18:25 1.406 Help.ico 08.04.2006 18:25 30.590 pavas.ico 06.04.2006 21:24 2.206 wpa.dbl 17.03.2006 07:01 43.520 CmdLineExt03.dll 10.03.2006 02:10 4.799.320 MRT.exe 28.02.2006 16:20 3.056 qtplugin.log 23.02.2006 11:22 57.344 avsda.dll 19.02.2006 15:21 21.840 SIntfNT.dll 19.02.2006 15:21 17.212 SIntf32.dll 19.02.2006 15:21 12.067 SIntf16.dll 03.02.2006 15:52 8.192 ssiefr.EXE 03.02.2006 15:52 492.544 WRLogonNtf.dll 03.02.2006 15:52 17.920 wrlzma.dll 21.01.2006 11:50 8.704 Thumbs.db 07.01.2006 11:42 16.832 amcompat.tlb 07.01.2006 11:42 23.392 nscompat.tlb log 2: (da ist nichts drinnen) Datentr„ger in Laufwerk C: ist Windows XP Volumeseriennummer: A8E4-9AC4 Verzeichnis von C:\DOKUME~1\Mike\LOKALE~1\Temp log 3: Datentr„ger in Laufwerk C: ist Windows XP Volumeseriennummer: A8E4-9AC4 Verzeichnis von C:\WINDOWS 09.04.2006 13:51 0 0.log 09.04.2006 13:51 1.380.190 WindowsUpdate.log 09.04.2006 13:51 157 wiadebug.log 09.04.2006 13:51 50 wiaservc.log 09.04.2006 13:51 2.048 bootstat.dat 08.04.2006 21:26 32.628 SchedLgU.Txt 08.04.2006 18:25 32 pavsig.txt 08.04.2006 18:09 1.355 win.ini 08.04.2006 18:09 249 system.ini 08.04.2006 10:14 671.942 setupapi.log 06.04.2006 22:19 54.156 QTFont.qfn 02.04.2006 11:49 1.409 QTFont.for 26.03.2006 17:47 201.776 wmsetup.log 25.03.2006 14:00 72 WININIT.INI 17.03.2006 16:46 490 SIERRA.INI 25.02.2006 10:29 739.826 ntbtlog.txt 25.02.2006 10:23 22.619 KB913446.log 19.02.2006 21:04 87.738 Directx.log 18.02.2006 11:18 29.856 spupdsvc.log 17.02.2006 23:43 32.315 ocmsn.log 17.02.2006 23:43 1.374 imsins.log 17.02.2006 23:43 788.711 iis6.log 17.02.2006 23:43 235.072 comsetup.log 17.02.2006 23:43 25.963 tabletoc.log 17.02.2006 23:43 282.972 tsoc.log 17.02.2006 23:43 140.234 ntdtcsetup.log 17.02.2006 23:43 21.751 KB911927.log 17.02.2006 23:43 315.534 ocgen.log 17.02.2006 23:43 29.714 msgsocm.log 17.02.2006 23:43 90.182 netfxocm.log 17.02.2006 23:43 37.424 medctroc.Log 17.02.2006 23:43 560.270 FaxSetup.log 17.02.2006 23:43 200.226 msmqinst.log 17.02.2006 23:43 24.231 updspapi.log 17.02.2006 23:43 1.374 imsins.BAK 17.02.2006 23:43 15.358 KB911564.log 17.02.2006 23:43 15.696 KB911565.log 17.02.2006 22:07 825 XCL_LOG.TXT 03.02.2006 15:53 478.720 WRUninstall.dll 21.01.2006 11:51 76.288 Thumbs.db 15.01.2006 20:04 810 Rtcw.INI 11.01.2006 21:16 10.172 KB908519.log log 4: Datentr„ger in Laufwerk C: ist Windows XP Volumeseriennummer: A8E4-9AC4 Verzeichnis von C:\ 09.04.2006 14:08 0 sys.txt 09.04.2006 14:07 11.620 system.txt 09.04.2006 14:06 129 systemtemp.txt 09.04.2006 14:01 101.275 system32.txt 08.04.2006 18:09 211 boot.ini 25.02.2006 18:40 360 sound_bank_log.txt 25.02.2006 18:37 3.450 bink_log.txt Den f-secure beta trial habe ich 2 mal durchlaufen lassen. No items found, habe aber keine txt-Datei auf dem Desktop. Vielen Dank |
|
|
||
09.04.2006, 14:46
Ehrenmitglied
Beiträge: 29434 |
#4
Garret
es ist nichts mehr zu finden..nur die verstellte TCP-Verbindung wenn du sie fixt, musst du nach Neustart eine neue Internetverbindung erstellen öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O17 - HKLM\System\CCS\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}: NameServer = 85.255.114.62 85.255.112.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70 O17 - HKLM\System\CS2\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70 PC neustarten Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt arbeite smitfraud ab und poste beide Logs http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 16:46
Member
Themenstarter Beiträge: 11 |
#5
Hallo Sabina
beim hijack habe ich das zweite nicht gefunden und die anderen drei gefixt. Fixwareout: Fixwareout ver 1.003 Last edited 2/15/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh ... Random Runs removed from HKLM REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool Smitfraud: mitFraudFix v2.28 Scan done at 16:46:35,12, So 09.04.2006 Run from C:\Dokumente und Einstellungen\Mike\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Mike\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" [HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Ich habe alles so gemacht wie beschrieben, habe aber immer noch die Internetverbindung, obwohl ich diese doch neu einrichten müsste! Danke weiterhin für deine Mühe |
|
|
||
09.04.2006, 17:04
Ehrenmitglied
Beiträge: 29434 |
#6
1.
poste das neue Log vom HijackThis 2. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1} in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 18:05
Ehrenmitglied
Beiträge: 29434 |
#7
netbios deaktivieren
http://fortgeschrittene.support-direkt.de/netbios_anleitung.php Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {BBA72A76-A34A-4FAC-97B1-20051DD42BA5} in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 18:14
Ehrenmitglied
Beiträge: 29434 |
#8
1.
netbios deaktivieren http://fortgeschrittene.support-direkt.de/netbios_anleitung.php 2. Fixe mit dem HijackThis: O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}: NameServer = 85.255.114.62 85.255.112.70 PC neustarten 3. dann ueberpruefe, ob deine TCP-Verbindung nach erstellen einer neuen Internetverbindung korrekt ist. (mit HijackThis) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 18:38
Member
Themenstarter Beiträge: 11 |
#9
Ok. erledigt.
Habe Internet-Verbindung manuell gelöscht und wieder neu eingerichtet, doch es scheint wieder da zu sein: Logfile of HijackThis v1.99.1 Scan saved at 18:38:28, on 9.4.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Webroot\Washer\wwDisp.exe C:\WINDOWS\system32\wwSecure.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\Programme\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: (no name) - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - (no file) O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://mikefolie.myphotoalbum.com/EasyUploadTool.cab O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4734/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}: NameServer = 193.12.150.2 212.247.152.2 O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe |
|
|
||
09.04.2006, 18:48
Ehrenmitglied
Beiträge: 29434 |
#10
es ist wieder in Ordnung buegel noch mal mit zwei drei Onlinescannern ueber das System http://virus-protect.org/onlinescan.html Zitat inetnum: 193.12.0.0 - 193.15.255.255 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 18:59
Member
Themenstarter Beiträge: 11 |
#11
Hallo Sabina,
Werde nun noch alle möglichen scanner durchrattern lassen. Das blöde Adware.adware: deswizz ist leider immer noch da, aber da werde ich wohl in ein anderes Forum müssen. Meine volle Hochachtung vor deiner Leistung und ein herzliches Danke!! |
|
|
||
09.04.2006, 19:10
Ehrenmitglied
Beiträge: 29434 |
#12
wieso in ein anderes Forum muessen ?
schreib mir den Pfad der Malware, oder welcher Scanner es wie/wo anzeigt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 19:19
Member
Themenstarter Beiträge: 11 |
#13
Dachte, da es ein adware ist..müßte ich unter spyware, aber das ist es ja nicht..
also, der Panda scanner findet es, sonst keiner. ALs Standort ist windows registry angegeben, sonst nix. Der spysweeper findet noch das cookie 20/net.cookie unter dok und einstellungen/mike/cookies/mike@msnportal.112.207(1).txt Und plötzlich meldet der ANtivir: C:\System Volume Information\_restore{BA8E2DA5-6D66-4686-8503-69A4F0522CAC}\RP263\A0222091.exe sowie: SPR/Processor.20 Dieser Beitrag wurde am 09.04.2006 um 20:01 Uhr von Garret editiert.
|
|
|
||
09.04.2006, 22:42
Ehrenmitglied
Beiträge: 29434 |
#14
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 2. cookie + SPR/Processor.20 sind ungefaehrlich 3. den Registryeintrag, da kann ich auch nichts machen, denn ich kenne die genannte Adware nicht. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2006, 19:13
Member
Themenstarter Beiträge: 11 |
||
|
||
bin technisch unbegabt und brauche Hilfe. Habe eine Menge online-Scanner und andere Programme durchrattern lassen. DIe meisten finden nichts, aber Spyswweper findet einmal einen tibs.dialer und einmal troja downloader ruin. Einmal das ein dann wieder das andere.??? .
Der Panda online scan findet Adware: adware.deskwizz in der Windows registry .
Zudem taucht immer wieder ein spyware cokkie falkaq auf, obwohl ich es lösche.
Weder ewido, ANtivir, adaware, Spybot usw. finden diese und ich kann sie nicht löschen.
Was kann ich tun?
mein log:
Logfile of HijackThis v1.99.1
Scan saved at 18:29:33, on 8.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Webroot\Washer\wwDisp.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://mikefolie.myphotoalbum.com/EasyUploadTool.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4734/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}: NameServer = 85.255.114.62 85.255.112.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe