Home » Viren, Trojaner & Malware Forum » Tr\Swizzor.A. so eine verdammte sche... » Themenansicht

Tr\Swizzor.A. so eine verdammte sche...
#0
09.05.2006, 15:38
Noir
Member

Beiträge: 23
#151 Vielen Dank für die Hilfe Sabina es klappt wieder alles einwandfrei! Highjack und Panda haben auch nix mehr angezeigt.

Hätte das ohne dich net hingekriegt.
Danke !
Seitenanfang Seitenende
09.05.2006, 16:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#152 mcausevic

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

CleanUp
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {3F45B402-1310-C4D1-FF11-27559CF831A9} - C:\DOKUME~1\Nancy\ANWEND~1\INSIDE~1\ENC 64.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Amok Beep Deaf Inter] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Exit Else Amok Beep\Boobbarb.exe
O4 - HKCU\..\Run: [heart ante] C:\DOKUME~1\Nancy\ANWEND~1\NURBPL~1\ACTIVE SAFE TIME.exe
PC neustarten

arbeite das ab:
http://virus-protect.org/artikel/spyware/lop1.html

1.
deinstalliere MessengerPlus3 + Sponsor

2.
loeschen (im abgesicherten Modus)

C:\Dokumente und Einstellungen\Nancy\ANWEND~1\NURBPL.......... (ist nicht die vollstaendige Bezeichnung)
C:\Dokumente und Einstellungen\Nancy\ANWEND~1\INSIDE............
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Exit Else Amok Beep\

----------------

Counterspy (nach dem scan alles auf *remove setzen)
**
scanne mit dr.web
**
Onlinescan-Panda (alles manuell loeschen)
**
noch mal cleanup anwenden

-------

wenn alles sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2006, 16:27
mcausevic
...neu hier

Beiträge: 3
#153 Hallo ? sabina ? noch da ?

ich dreh hier echt bald durch, msn kann ich seit wochen nich öffnen, ich glaube ich hab mir den mist mit dem msn plus eingefangen
Seitenanfang Seitenende
09.05.2006, 21:04
panta rhei
Member

Beiträge: 13
#154 hi liebe sabina,


hier erst mal die scan-ergebnisse von ewido:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:59:59, 09.05.2006
+ Report-Checksumme: A4EA5B6F

+ Scanergebnis:

HKLM\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38\\HardwareID -> Adware.HyperBar : Fehler beim Säubern
HKU\S-1-5-21-1214440339-113007714-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\
CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} -> Adware.SpyFalcon : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-113007714-725345543-1004\Software\Classes\CLSID\
{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} -> Adware.SpyFalcon : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-113007714-725345543-1004_Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} -> Adware.SpyFalcon : Gesäubert mit Backup
C:\Dokumente und Einstellungen\rider\Cookies\rider@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\rider\Cookies\rider@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\rider\Cookies\rider@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\rider\Cookies\rider@atdmt[1].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\rider\Cookies\rider@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\rider\Cookies\rider@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\rider\Cookies\rider@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\rider\Cookies\rider@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert mit Backup


::Report Ende



........und dannn das ergenis vom scan danach im abgesicherten modus!

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:28:22, 09.05.2006
+ Report-Checksumme: 3F4106E6

+ Scanergebnis:

HKLM\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38\\HardwareID -> Adware.HyperBar : Fehler beim Säubern


::Report Ende


soll ich die quarantäne löschen ?

am besten lade ich mir service pack 2 jetzt auch runter, oder?
Seitenanfang Seitenende
09.05.2006, 23:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#155

Zitat

mcausevic postete
Hallo ? sabina ? noch da ?

ich dreh hier echt bald durch, msn kann ich seit wochen nich öffnen, ich glaube ich hab mir den mist mit dem msn plus eingefangen
genau...deshalb sollst du auch alles abarbeiten, was ich oben geschrieben habe ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2006, 23:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#156 panta rhei

gehe in die Registry
Start-Ausfuehren - regedit

bearbeiten - suchen - HardwareID

HKLM\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38\\HardwareID
--> loeschen

PC neustarten

poste das Log von Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 09:26
panta rhei
Member

Beiträge: 13
#157 hi sabina,

wenn ich das mache: bearbeiten - suchen - HardwareID

kommt unter hardware ID nur: hewlett-packarddeskj589d

mehr nicht
Seitenanfang Seitenende
10.05.2006, 11:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#158

Zitat

panta rhei postete
hi sabina,
wenn ich das mache: bearbeiten - suchen - HardwareID
kommt unter hardware ID nur: hewlett-packarddeskj589d
mehr nicht
dann lass es wie es ist...ehe wir was falsches loeschen...
Nun poste bitte das neue Log vom HijackThis + die 4 Logs von datfindbat...zur Ueberpruefung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 11:12
panta rhei
Member

Beiträge: 13
#159 liebe sabina,


habe jetzt manuell in der registry im ordner

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02

einen unterordner gefunden:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38

in dem eine datei HardwareID heisst, mit eben dieser zeichenfolge als wert

hilft uns das weiter?? z.b manuell löschen, oder so?

dies als antwort auf deine letzte mail (siehe unten)
Seitenanfang Seitenende
10.05.2006, 11:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#160 wenn du einen Eintrag, gleich mit der Warnung vom ewido findest...dann loesche ihn.
+
poste HijackThis
+
poste das Log von Winpfind
http://virus-protect.org/winpfind.html
+
die 4 Logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 12:51
panta rhei
Member

Beiträge: 13
#161 liebe sabina,

ich weiss jetzt nicht, soll ich diesen eintrag umbennen oder löschen?? oder es ganz sein lassen??

bei ewido kommt immer wieder im registry-scan dieser eintrag:

HKLM\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38\\HardwareID -> Adware.HyperBar : Fehler beim Säubern

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02

einen unterordner gefunden:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38

das ist identisch, aber wenn ich den eintarg in der registry löschen möcchte, habe einen wdh-zeitpunkt vorher eingestellt zur sicherheit, --> dannn sacht das system:

nicht alle werte können gelöscht werden, also vielleicht ändern..
wenn ich auf ändern klicke, kommt das:

PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02
PCI\VEN_1813&DEV_4000&SUBSYS_000116BE
PCI\VEN_1813&DEV_4000&CC_078000
PCI\VEN_1813&DEV_4000&CC_0780


ich blick da gar nicht mehr durch, sorry
Seitenanfang Seitenende
10.05.2006, 14:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#162 panta rhei

lasse es denn, wir wissen nicht, was es wirklich ist...vielleicht sogar die NVIDIA-Karte (hast du eine ? )

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 16:28
panta rhei
Member

Beiträge: 13
#163 sabina,

ich hab übrigens eine nvidia karte. hier der text:


Datentr„ger in Laufwerk C: ist PROGRAMS
Volumeseriennummer: 0045-4A22

Verzeichnis von C:\WINDOWS\tasks

24.09.2004 22:40 <DIR> .
24.09.2004 22:40 <DIR> ..
18.08.2001 14:00 65 desktop.ini
10.05.2006 16:16 6 SA.DAT
2 Datei(en) 71 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\rider\Desktop
Seitenanfang Seitenende
10.05.2006, 20:27
vd12
Member

Beiträge: 11
#164 vielen dank für alles sabina ;)
Seitenanfang Seitenende
10.05.2006, 20:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#165 panta rhei

der Task ist in Ordnung.
wenn du willst, mache noch einen Onlinescan mit Kaspersky..ich hoffe, nun klappt es....
http://virus-protect.org/onlinescan.html
aber im Grunde muesste wieder alles o.k. sein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: