Tr\Swizzor.A. so eine verdammte sche...

#76 go-to-guy

fixe die dll erst eimal mit HijackThis, dann scanne mit Counterspy und Panda und kopiere hier die Scanreporte. (also nichts loeschen....)
__________
MfG Sabina

rund um die PC-Sicherheit

#77 Silent Jay

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AA6056A6916BCB26.job
del AA6056A6916BCB26.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

mache einen Olinescan mit Trend-Micro/HouseCall (geht mit dem Firefox)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#78 fenriz

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {9D683F1D-FA6C-57FB-6289-CDF563C5887B} - C:\DOKUME~1\SEB~1.FEN\ANWEND~1\THISBL~1\Dead dart.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Upload draw ford free] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\book store upload draw\Poll Name.exe
O4 - HKCU\..\Run: [list itch] C:\DOKUME~1\SEB~1.FEN\ANWEND~1\blahaxis\BinRdrAnte.exe
O20 - AppInit_DLLs: MsgPlusLoader.dll

PC neustarten

1. deinstalliere MessengerPlus! 3+ Sponsorprogramm

2. arbeite das alles ab:
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen (in deinem Fall ist

C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\book store upload draw
C:\Dokumente und Einstellungen\SEB~1.FEN\Anwendungsdaten\blahaxis
C:\Dokumente und Einstellungen\SEB~1.FEN\Anwendungsdaten\THISBL....

Cleanup, Counterspy (nach dem scan alles auf *remove stellen und Panda-Online (alles manuell loeschen)

----------------------------------


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#79 joejoe

da hast du dir neben dem Swizzor noch ein Fake-Tool eingefangen.....

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Spyware Cleaner

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {B2F6DFFF-2AD0-BB3D-5C97-F1E73D7C5948} - C:\DOKUME~1\JO\ANWEND~1\MEALBA~1\cakedvd.exe
O4 - HKLM\..\Run: [cash gpl that meta] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EggsSoftCashGpl\StopDownload.exe
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Programme\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [Draw vc] C:\DOKUME~1\JO\ANWEND~1\TONSBO~1\2PlanPlay.exe
O23 - Service: SpywareCleanerService - Unknown owner - C:\Programme\Spyware Cleaner\SCService.exe (file missing)

PC neustarten

dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#80 @Sabina

Hi Du! Ich bin's leider schon wieder. Mein System schien gestern und heute morgen nach den Aktionen "clean" zu sein, doch gerade hat AntiVir wieder Alarm bzgl. SWIZZOR.A geschlagen...

Gefundene Dateien:

C:\System Volume Information\_restore{AE4CB45A-6FAC-4F7F-8510-569902A4A7F0}\RP348\A0145160.exe

C:\System Volume Information\_restore{AE4CB45A-6FAC-4F7F-8510-569902A4A7F0}\RP346\A0144133.exe


Ergebnis von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:21:32, on 16.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\ati2evxx.exe
C:\WINNT\CatPC\CatSvc\CatService.Exe
C:\Program Files\Siemens\CAT Bulletin Board\CBBS.exe
C:\Program Files\Trusted Applications\CORINA\Corina_service.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\System32\logonuser.exe
C:\WINNT\System32\Suss.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Eicon\Diva\Divamon.exe
C:\Program Files\Siemens\CAT Bulletin Board\CBB.exe
C:\WINNT\System32\Atiptaxx.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\CryptoEx Security Suite\Common Files\CexTray.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\CryptoEx Security Suite\Volume\CexVolumeWatcher.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\NETSWI~1\NETSWT~1.EXE
C:\WINNT\System32\ctfmon.exe
C:\Program Files\Steganos AntiDialer 6\guard.exe
D:\Casio\Plauto.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Eicon\Diva\CGServer.exe
C:\PROGRA~1\Eicon\Diva\DITASK.EXE
C:\PROGRA~1\Eicon\Diva\CGServer.exe
C:\PROGRA~1\Eicon\Diva\watch.exe
C:\PROGRA~1\Eicon\Diva\diinfo.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Hellwig\Web-Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.siemens.net/cgi-bin/iesearch.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = AG Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.net-a-porter.com/cgi-bin/NETAPORTER.storefront
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von SBS Version 7.3
F2 - REG:system.ini: UserInit=CatUInit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\Program Files\Ahead\\Nero\NeroCheck.exe
O4 - HKLM\..\Run: [DiTask.exe] "C:\Program Files\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Program Files\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Program Files\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Program Files\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [cryptoex] C:\WINNT\system32\wscript.exe "C:\Program Files\CryptoEx Security Suite\PolicyUpdate.vbs"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] C:\Program Files\OfficeScan NT\pccntmon.exe -HideWindow
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [DirXconnect settings] C:\\PROGRA~1\SIEMENS\DIRXDI~1\dxdSetup.exe -silent -dxcsettings
O4 - HKLM\..\Run: [Distiller] C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - HKLM\..\Run: [1. User Settings] C:\WINNT\CATPC\CCF\User.exe
O4 - HKLM\..\Run: [CryptoEXVolume] "C:\Program Files\CryptoEx Security Suite\Common Files\\CexTray.exe" -StartTray
O4 - HKLM\..\Run: [CexVolumeManager] "C:\Program Files\CryptoEx Security Suite\Volume\CexVolumeManager.exe" /Automount
O4 - HKLM\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [hopewindowkindokay] C:\Documents and Settings\All Users\Application Data\inside debug hope window\CAKE SOAP.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [NetSwitcher Tray Application] C:\PROGRA~1\NETSWI~1\NETSWT~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [CatUserRun] wscript.exe "C:\Program Files\CatPC\CatLogon\CatUserRun.vbe"
O4 - HKCU\..\Run: [Steganos AntiDialer 6] "C:\Program Files\Steganos AntiDialer 6\guard.exe" /start
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Loader supervisory.lnk = D:\Casio\Plauto.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Program Files\Preispiraten 2.0b\preispiraten2.exe
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O15 - Trusted Zone: *.sap.com
O15 - Trusted Zone: *.sap.com (HKLM)
O16 - DPF: {01516EAA-CC39-4477-9500-87CB12F72AFD} (Livelink Explorer Activator) - https://www.teamworks.at/Livelinksupport/webexp/llexpld.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8112FBD1-CCF9-11D2-8CA3-00104B72D644} (LLExplorer.LLExplorer20) - http://knowledgemotion.sbs.de/Livelinksupport/webexp/llexplorer20.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.3) - http://prora2.mchh.siemens.de:9011/class/jre13i.exe
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - https://www.teamworks.at/Livelinksupport/webexp/isetup.cab
O16 - DPF: {B24F0664-7DDA-40B6-B38C-A4FD68DE8685} - http://scotty.cp.siemens.de/des4s5/Install/en/US/CentraDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ww901.siemens.net
O17 - HKLM\Software\..\Telephony: DomainName = ww901.siemens.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{B24E3015-A78B-441F-A7B4-BE52430DE66A}: NameServer = 213.191.74.19 213.191.92.87
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ww901.siemens.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = x
½
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ww901.siemens.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = x
½
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = x
½
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe
O23 - Service: CAT Service (CATService) - Siemens AG - C:\WINNT\CatPC\CatSvc\CatService.Exe
O23 - Service: CAT Bulletin Board (CBBS) - Unknown owner - C:\Program Files\Siemens\CAT Bulletin Board\CBBS.exe
O23 - Service: Corina - Siemens Business Services GmbH & Co OHG SBS SI SWE3 - C:\Program Files\Trusted Applications\CORINA\Corina_service.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Logon User Service (LogonUserService) - Guardeonic Solutions AG - C:\WINNT\System32\logonuser.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\Ora81\bin\ONRSD.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


Was muss ich machen damit der Schweinehund endlich verschwindet...?
Bringt es was, die Systemwiederherstellung ("System Volume Information") für eine Weile zu deaktivieren? Wie hier beschrieben:

Klicken Sie auf: -> Start -> Systemsteuerung -> System -> Systemwiederherstellung
Aktivieren Sie die Checkbox "Systemwiederherstellung auf allen Laufwerken deaktivieren" und bestätigen Sie diese Eingabe, indem Sie den "OK-Button" drücken. Das Programm "Systemwiederherstellung" löscht alle alten Einträge, die sich irgendwo auf der Festplatte angesammelt haben.

Übrigens: Im Verzeichnis:
C:\Documents and Settings\All Users\Application Data\... ist nichts von "Inside Debug Hope Window" zu finden (Ansicht: Alle Order eingeblendet)...?!?

PleaseHelpMe

__________
PleaseHelpMe

#81 PleaseHelpMe

nun ja...wenn du alles auf meiner Seite abgearbeitet haettest...
http://virus-protect.org/artikel/spyware/lop1.html
da steht es...als letzter Punkt beschrieben....

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://virus-protect.org/systemwiederherstellung.html
dann wieder aktivieren

2.
Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [hopewindowkindokay] C:\Documents and Settings\All Users\Application Data\inside debug hope window\CAKE SOAP.exe

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#82 Mach ich!!!
Vor was muss ich im HiJack this noch die "Löschhaken" setzen?
Danach dann wieder "Cleanup", "Counterspy", "Panda" durchführen...?

PleaseHelpMe
__________
PleaseHelpMe

#83 du bist zu schnell ich habe regidiert ... ..siehe oben
dann buegel noch mal mit Panda drueber, das reicht....
__________
MfG Sabina

rund um die PC-Sicherheit

#84 Alles klaro!!!
Also nach Hijack und restart die ganzen Prüf-/Lösch-Schritte nochmal..?

Sorry - Die Zeile mit Panda hatte ich überlesen....

PleaseHelpMe
__________
PleaseHelpMe

#85 Sabina,

wo steckst Du ))

Ich brauche Deine Hilfe

#86 Erstmal ein hallo von mir Leute....

Mein Bruder hat diesen TR/Swizzor.a auch drauf....
Hab auch dieses HijackThis gestartet und hat das hier rausgespuckt....

da ich null plan habe wie ich vorgehen muss bitte ich um Hilfe....
danke im voraus....

Logfile of HijackThis v1.99.1
Scan saved at 13:54:34, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Razer\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Razer\razertra.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Razer\razerofa.exe
D:\Spiele\snes\Soldier of Fortune II - Double Helix\SoF2mp_min.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Anestis\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D700009-9820-0397-FD30-4FCBF8DF2AC3} - C:\DOKUME~1\Anestis\ANWEND~1\SEEKBU~1\TrustVga.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Active long bib license] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eq ante active long\way sixth.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096058177250
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10CB19F5-F0BD-4F7F-B06D-3CD79993B25B}: NameServer = 192.168.181.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{10CB19F5-F0BD-4F7F-B06D-3CD79993B25B}: NameServer = 192.168.181.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#87 Achilleus

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {6D700009-9820-0397-FD30-4FCBF8DF2AC3} - C:\DOKUME~1\Anestis\ANWEND~1\SEEKBU~1\TrustVga.exe
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Active long bib license] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eq ante active long\way sixth.exe

PC neustarten

1. deinstalliere MessengerPlus! 3+ Sponsorprogramm

2. arbeite das alles ab:
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen (in deinem Fall ist.

C:\Dokumente und Einstellungen\Anestis\Anwendungsdaten\SEEKBU...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eq ante active long

den dritte im Bunde..kann ich nicht sehen..

Cleanup, Counterspy (nach dem scan alles auf *remove stellen und Panda-Online (alles manuell loeschen)

----------------------------------


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#88 @Sabina

By the way... Echt klasse, wie du hier die Welt rettest...!

Frohe Ostern....


__________
PleaseHelpMe

#89 @Sabina
Also Panda hat irgendwie das gefunden

Muss ich jetzt unter abgesicherten Modus da löschen ?????

#90 Achilleus

loesche:

C:\Dokumente und Einstellungen\Anestis\Anwendungsdaten\Close software bits
C:\Programme\Save\ACM.dll
C:\Programme\Save\saveupdate.exe
C:\Programme\Save
C:\WINDOWS\NDNuninstall7_22.exe

dann wende im abgesicherten Modus unbedingt den CleanUp an
http://virus-protect.org/cleanup.html
so werden alle Viren in den temporaeren Dateien geloescht.

dann scanne noch mal mit Panda, zum Ueberpruefen
http://virus-protect.org/onlinescan.html
+

wende die reg-Datei an (so wie beschrieben)
http://virus-protect.org/artikel/spyware/save.html

----------------


Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Anwendungsdaten\Close software bits\DeletePeakMultiHold.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Anwendungsdaten\Close software bits\ekqmentd.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Anwendungsdaten\Close software bits\Optionviewdefy.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Anwendungsdaten\Close software bits\xhnxscrz.exe
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Anestis\Anwendungsdaten\Mozilla\Firefox\Profiles\k1hyo1bb.default\cookies.txt.old[]
Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Anestis\Cookies\anestis@weborama[2].txt
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Desktop\backups\backup-20060416-143333-760.dll
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Lokale Einstellungen\Temp\1b17f4.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Lokale Einstellungen\Temp\56b624.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Lokale Einstellungen\Temp\faad3.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Anestis\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8ZTR744N\upAYB_unk[1].int
Adware:Adware/SaveNow Not disinfected C:\Programme\Save\ACM.dll
Adware:Adware/SaveNow Not disinfected C:\Programme\Save\saveupdate.exe
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected C:\Weisseradler-Script 1.071\Moo.dll
Spyware:Spyware/New.net Not disinfected C:\WINDOWS\NDNuninstall7_22.exe
Virus:Bck/Dumador.CU Disinfected C:\WINDOWS\system32\drivers\etc\HOSTS.bak
__________
MfG Sabina

rund um die PC-Sicherheit