Brauche Unterstützung wg. Trojaner Swizzor_A

#16 surf

es scheint ein Trojaner zu sein, der ueber eine Mail auf den PC gekommen ist.
(ich vermute ein Goldrun...obwohl im Roorkitrevealer nichts zu sehen ist)

Loesche also den Swizzor und poste den scanreport vom Panda, vielleicht findet der noch was...
__________
MfG Sabina

rund um die PC-Sicherheit

#17 hallo sabina,

hier der scan-report von panda.......

Incident Status Location

Adware:adware/gator Not disinfected C:\GatorPatch.log
Spyware:spyware/searchcentrix Not disinfected Windows Registry
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@adtech[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@as1.falkag[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@sel.as-eu.falkag[2].txt
Dialerialer.LN Not disinfected C:\avp.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\activeowns.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\boobactive.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\CloseMess.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\Licenseextra.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\seek 1.exe
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Mozilla\Firefox\Profiles\skbwxfdl.default\cookies.txt[]
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\Army math drive blue.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\flbkxdqi.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\hvxeqafb.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\lbjlqtot.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\license book slow.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\llwflmtp.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\pocdcpwt.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\qfgjtchj.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\sirnedki.exe
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Mozilla\Firefox\Profiles\vkkjc3l4.Standard-Benutzer\cookies.txt[]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@adtech[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@as1.falkag[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@sel.as-eu.falkag[2].txt
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\347cb6.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01EROTIF\upAYB_unk[1].int
Adware:Adware/SaveNow Not disinfected C:\Programme\DAEMON Tools\SetupDTSB.exe
Adware:Adware/Lop Not disinfected C:\Programme\HiJackThis\backups\backup-20060414-211738-991.dll
Adware:Adware/CWS.Aboutblank Not disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDMNCDIN\m[1].bin


unabhängig davon gibt es im verzeichnis c:\windows\system32 eine d3dlg.dll.vir, antivir moniert sie ständig .......enthält eine signatur des backdoorprogramms bds/agent.ac

wo und wie kann ich den swizzor löschen?

gruß surf

#18 surf

arbeite das alles ab:..alle Punkte !
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen ist:

C:\WINDOWS\System32\d3dlg.dll
C:\WINDOWS\System32\d3dlg.dll.vir
C:\avp.exe
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\347cb6.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View
C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDMNCDIN
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01EROTIF

wende unbedingt den CleanUp an , Counterspy, DrWeb und noch mal den Panda zum Ueberpruefen

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text i
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Danke für die Hilfe!! Habe alles so gemacht wie beschrieben:

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 64B7-02EB

Verzeichnis von C:\WINDOWS\system32

15.04.2006 23:46 0 asfiles.txt
15.04.2006 23:44 2.550 Uninstall.ico
15.04.2006 23:44 1.406 Help.ico
15.04.2006 23:44 30.590 pavas.ico
15.04.2006 23:32 2.206 wpa.dbl
26.03.2006 11:28 305.454 perfh009.dat
26.03.2006 11:28 37.896 perfc009.dat
26.03.2006 11:28 45.876 perfc007.dat
26.03.2006 11:28 310.140 perfh007.dat
26.03.2006 11:28 705.468 PerfStringBackup.INI
13.03.2006 03:35 188.200 FNTCACHE.DAT
10.03.2006 20:08 2.388 lvcoinst.log
26.02.2006 16:03 100 LuResult.txt
14.02.2006 10:20 550.120 LegitCheckControl.dll
09.02.2006 19:23 98.304 CmdLineExt.dll
07.02.2006 22:28 4.513.120 MRT.exe
18.01.2006 14:05 57.344 avsda.dll

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 64B7-02EB

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

17.04.2006 22:36 240 datFind-1.zip
17.04.2006 22:35 240 datFind.zip
17.04.2006 22:29 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11042.html
17.04.2006 22:28 16.384 ~DFE6AB.tmp
17.04.2006 22:28 36.549 LVCOMSX.LOG
17.04.2006 22:28 512 ~DFF765.tmp
17.04.2006 22:28 16.384 ~DFF74E.tmp
17.04.2006 22:27 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}17880.html
...
...
..

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 64B7-02EB

Verzeichnis von C:\WINDOWS

17.04.2006 22:35 1.560.091 WindowsUpdate.log
17.04.2006 22:28 0 0.log
17.04.2006 22:28 159 wiadebug.log
17.04.2006 22:28 50 wiaservc.log
17.04.2006 22:28 54.156 QTFont.qfn
17.04.2006 22:28 2.048 bootstat.dat
17.04.2006 22:27 32.642 SchedLgU.Txt
17.04.2006 22:26 1.409 QTFont.for
16.04.2006 17:34 180.485 setupact.log
16.04.2006 16:35 107.132 UninstallThunderbird.exe
16.04.2006 16:35 10.323 mozver.dat
16.04.2006 16:35 632 win.ini
16.04.2006 16:10 227 system.ini
15.04.2006 23:44 801.928 setupapi.log
23.03.2006 20:38 601 MPIO.ini
13.03.2006 03:35 922 spupdsvc.log
13.03.2006 03:33 15.792 ocmsn.log
13.03.2006 03:33 133.988 tsoc.log
13.03.2006 03:33 364.691 iis6.log
13.03.2006 03:33 12.922 KB913446.log
13.03.2006 03:33 62.553 ntdtcsetup.log
13.03.2006 03:33 104.307 comsetup.log
13.03.2006 03:33 14.314 tabletoc.log
13.03.2006 03:33 1.374 imsins.log
13.03.2006 03:33 20.119 MedCtrOC.log
13.03.2006 03:33 148.864 ocgen.log
13.03.2006 03:33 14.417 msgsocm.log
13.03.2006 03:33 49.354 netfxocm.log
13.03.2006 03:33 276.042 FaxSetup.log
13.03.2006 03:33 96.940 msmqinst.log
13.03.2006 03:32 1.374 imsins.BAK
13.03.2006 03:32 14.527 KB911564.log
13.03.2006 03:32 13.032 wmsetup.log
13.03.2006 03:32 17.161 KB911927.log
13.03.2006 03:32 18.243 updspapi.log
13.03.2006 03:32 14.264 KB911565.log
13.03.2006 03:32 17.225 KB912919.log
13.03.2006 03:32 16.536 KB908519.log
13.03.2006 03:31 19.729 KB905915.log
13.03.2006 03:31 8.133 KB910437.log
13.03.2006 03:31 12.224 KB896424.log
13.03.2006 03:27 7.752 WGA.log
13.03.2006 03:08 116 NeroDigital.ini
10.03.2006 20:00 101 msxmlcab.log
10.03.2006 20:00 316.640 WMSysPr9.prx
10.03.2006 19:59 81.920 bwUnin-6.1.4.68-8876480L.exe
26.02.2006 16:07 14.297 LUINSTALL.LOG
29.01.2006 22:31 183.296 NDNuninstall7_22.exe
18.01.2006 21:24 183.296 NDNuninstall7_14.exe

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 64B7-02EB

Verzeichnis von c:\

17.04.2006 22:42 0 dirdat.txt
17.04.2006 22:40 8.104 system.txt
17.04.2006 22:40 14.333 systemtemp.txt
17.04.2006 22:40 104.125 system32.txt
17.04.2006 22:28 805.306.368 pagefile.sys
16.04.2006 16:10 211 boot.ini
10.03.2006 19:59 183 LogiSetup.log
09.03.2006 13:23 5.335 CtDrvStp.log
09.03.2006 13:21 227 CtDrvIns.log

#20 sabina

so, alles abgearbeitet. seit ein paar stunden ist antivir verdächtig ruhig. war es das etwa? :-))

hier der inhalt der findjobs.bat:

Verzeichnis von C:\WINDOWS\tasks

23.03.2006 22:10 <DIR> .
23.03.2006 22:10 <DIR> ..
17.04.2006 23:00 282 AE5747D891E0F94C.job
18.08.2001 14:00 65 desktop.ini
17.04.2006 17:24 6 SA.DAT
17.04.2006 22:25 402 Symantec NetDetect.job
4 Datei(en) 755 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Wolfgang\Desktop

gruß surf

#21 surf

ºº
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AE5747D891E0F94C.job
del AE5747D891E0F94C.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

ºº
ueberpruefe mit Panda-Online... ob alles sauber ist
Loesche manuell, was noch angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#22 LadyPeanut

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml
R3 - Default URLSearchHook is missing
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll --> das musst du mit LSPfix loeschen !!!
O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)
O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [Close Flaw Mail Up] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\debugtickcloseflaw\BROWSEBIN.exe
O4 - HKCU\..\Run: [Plus save] C:\DOKUME~1\ADMINI~1\ANWEND~1\IDOLSL~1\Inter User.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000

PC neustarten

Deinstalliere:
MessengerPlus! 3 + Sponsorprogeamm
C:\Programme\NewDotNet
C:\Programme\Accoona

loeschen:
C:\WINDOWSNDNuninstall7_22.exe
C:\WINDOWSNDNuninstall7_14.exe

------------------------------------------------------------------------

arbeite das alles ab:
http://virus-protect.org/artikel/spyware/lop1.html

Cleanup

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
muss leer sein !!! (siehe Log von Datfindbat)

Counterspy (nach dem Scan alles auf remove stellen)...auch die P2P-Programme...., Dr.Web-> alles loeschen oder umbenennen lassen... und Onlinescan Panda (alles manuell loeschen)

--------------------

wenn alles abgearbeitet und sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text i
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hab das gleiche Problem, hier ist mein logfile. Vielen Dank!

Logfile of HijackThis v1.99.1
Scan saved at 20:37:40, on 17.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\utorrent.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {46743B26-AA59-7FE6-5889-088B415FED0E} - C:\DOKUME~1\ADMINI~1\ANWEND~1\MEETVG~1\peak wma.exe
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CWebDirObj Object - {C003C49F-53E4-4A72-B7D6-0B2B9997392F} - C:\WINNT\webdir.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [for five error 16] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bleh bike for five\Clockokay.exe
O4 - HKCU\..\Run: [loadname] C:\DOKUME~1\ADMINI~1\ANWEND~1\ROADAB~1\funk bias.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C864DBE1-FCDD-43E2-9E7D-7C7DD06674E1}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9AB539A-E15F-4A17-A473-0A66E1FA4A6A}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

#24 Julia1912

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {46743B26-AA59-7FE6-5889-088B415FED0E} - C:\DOKUME~1\ADMINI~1\ANWEND~1\MEETVG~1\peak wma.exe
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: CWebDirObj Object - {C003C49F-53E4-4A72-B7D6-0B2B9997392F} - C:\WINNT\webdir.dll

O4 - HKLM\..\Run: [for five error 16] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bleh bike for five\Clockokay.exe
O4 - HKCU\..\Run: [loadname] C:\DOKUME~1\ADMINI~1\ANWEND~1\ROADAB~1\funk bias.exe

PC neustarten

loesche:
C:\WINNT\webdir.dll
C:\WINNT\ounost.exe --> falls du die exe findest

deinstalliere:
C:\Programme\INSTAFINK

arbeite das alles ab:
http://virus-protect.org/artikel/spyware/lop1.html

Cleanup ,Counterspy (nach dem Scan alles auf remove stellen)...auch die P2P-Programme...., Dr.Web-> alles loeschen oder umbenennen lassen... und Onlinescan Panda (alles manuell loeschen)

--------------------

wenn alles abgearbeitet und sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

------

Zitat

C:\WINDOWS\webdir.dll Adware:Adware/Ucmore
http://www.sophos.com/virusinfo/analyses/trojdropperam.html
n alert from NAV that says: Object: C:\WINDOWS\webdir.dll; Virus: Trojan Horse;

C:\WINDOWS\system32\webdir.dll infected by "not-a-virus:AdWare.Webdir.a
C:\WINDOWS\ounost.exe infected by "not-a-virus:AdWare.Webdir.a

__________
MfG Sabina

rund um die PC-Sicherheit

#25 Habe alles soweit durchgeführt:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: A08E-9383

Verzeichnis von C:\WINNT\tasks

23.03.2006 10:36 <DIR> .
23.03.2006 10:36 <DIR> ..
14.04.2006 17:24 412 1-Klick-Wartung.job
18.04.2006 14:00 284 A594EE9E918B6A32.job
20.06.2003 14:00 65 desktop.ini
18.04.2006 12:10 6 SA.DAT
4 Datei(en) 767 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop

#26 Julia1912

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINNT\tasks
attrib -r -s -h A594EE9E918B6A32.job
del A594EE9E918B6A32.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Ok, vielen Dank für deine schnelle Hilfe ;-)

#28 sabina,

du bist genial. :-)) seit 2 tagen ist antivir total ruhig ......... die 2 mistviehcher sind scheinbar gekillt. vielen, vielen dank für deine hilfe.

gruß surf