SpyFalcon 2.0 - DatfindBat

#0
02.05.2006, 09:25
...neu hier

Beiträge: 3
#1 Guten Morgen,

Danke vorerst mal an Sabina für die umfassenden Hilfestellungen zum o.g. Thema. Habe bereits wie unter http://virus-protect.org/artikel/spyware/spyfalcon.html beschrieben die ersten 13 Schritte durchgeführt. Da ich nun beim Schritt mit der datfindbat angekommen bin, ich allerdings das logfile nicht "richtig lesen" kann, bitte ich um eure Hilfe. Zudem hatte ich das Probelem, dass einige, anscheinend infizierte Dateien (bei vorherigen Schritten) nicht löschbar waren - selbst im abgesicherten Modus nicht! Diese waren:
C:\WINDOWS\system32\dcomcfg.exe
und
C:\WINDOWS\system32\winnkw32.dll

Im Anhang die Txt-Files der Datfindbat.

_______________________________

So ich nochmal,

da ich nicht genau weiß, welche Infos für Euch interessant sein könnten oder was ihr noch wissen müsst, hänge ich hier einfach mal sämtliche logfiles an, die mir die einzelnen Programme ausspucken.
Bin imer noch beim 13. Schritt und komm so langsam ins Schwitzen, weil ich nicht genau weiß ob ich wirklich alles richtig mache. Sprich, mir ist nicht klar, wozu die ganzen Logfiles, wo ich doch (noch?) gar nix mit anfange?! Zudem irritiert mich, dass bei mir der REGISTRY SEARCH eben nur die Registry durchscannt, in Sabinas Anleitung (URL s.o.) aber am Ende noch Dokumente u Einstellungen sowie System32 usw. aufgeführt sind.

Mach ich was verkehrt?! Danke vielmals für die Unterstützung. Ihr seid meine letzte Hilfe.
Danke vielmals für eure Hilfe. Bis denn.

MH

-----
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 02.05.2006 10:30:35 for strings:
; 'spyfalcon'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseFiles]
"File5"="C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1 Website.lnk"
"File6"="C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1.lnk"
"File7"="C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\Uninstall SpyFalcon 3.1.lnk"
"File8"="C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SASDIFSV\FilesToDelete]
"File5"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1 Website.lnk"
"File6"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1.lnk"
"File7"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\Uninstall SpyFalcon 3.1.lnk"
"File8"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SASDIFSV\FilesToDelete]
"File5"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1 Website.lnk"
"File6"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1.lnk"
"File7"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\Uninstall SpyFalcon 3.1.lnk"
"File8"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SASDIFSV\FilesToDelete]
"File5"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1 Website.lnk"
"File6"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1.lnk"
"File7"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\Uninstall SpyFalcon 3.1.lnk"
"File8"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]

[HKEY_USERS\S-1-5-21-2366685372-65163250-1398395862-1143\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\TEMP\\saE1.exe"="SpyFalcon Installer"
"C:\\Programme\\SpyFalcon\\SpyFalcon.exe"="Anti- spyware and adware"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]

; End Of The Log...
----

Hier nun noch das Silentrunner Logfile. Ich hoffe schwer, dass ich hier nicht gegen die Boardregeln in irgendeiner Art und Weise verstoße??! Wenn doch, sorry vielmals und bitte korrigiert mich ;-):
----Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Saar" = ""C:\WINDOWS\SKS~1\javaw.exe" -vt mt" [null data]
"Lreeb" = "C:\WINDOWS\system32\**stem\m*config.exe" (unwritable string) [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"dcomcfg.exe" = "dcomcfg.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "C:\WINDOWS\system32\mobsync.exe /logon" [MS]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"OfficeScanNT Monitor" = ""C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" ["Trend Micro Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"AdobeVersionCue" = "C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" ["Adobe Sytems"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
"routcnf" = "C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive" [file not found]
"CallBumping" = "cbpopw.exe" [null data]
"Google Desktop Search" = ""C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup" [null data]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{b0398eca-0bcd-4645-8261-5e9dc70248d0}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\hp9AFD.tmp" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}" = "Twain"
-> {HKCU...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\twain32.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided)
-> {HKLM...CLSID} = "SABShellExecuteHook Class"
\InProcServer32\(Default) = "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"]
INFECTION WARNING! winnkw32\DLLName = "winnkw32.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "CWolf" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe" ["Adobe Systems Inc."]
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"D-Link AirPlus G+ Wireless Adapter Utility" -> shortcut to: "C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE" ["D-Link"]
"hpoddt01.exe" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#hp psc 1000 series#1142620449" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1000 series#1142620449"" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [file not found]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [file not found]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
OfficeScanNT Echtzeitsuche, ntrtscan, "C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe" ["Trend Micro Inc."]
OfficeScanNT Listener, tmlisten, "C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe" ["Trend Micro Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
WinSuite Fax Monitor\Driver = "wsfaxmon.dll" [null data]

----

Dann hab ich noch ne Frage zu den bereits gelöschten Dateien (unter Schritt 4 KILLBOX): Ist das normalm, dass die nun immer wieder auftauchen in den Logfiles - mit veränderten Werten. Ich habe sie doch bereits eliminiert!

Danke vielmals.

Dieser Beitrag wurde am 02.05.2006 um 10:54 Uhr von MataHari editiert.
Seitenanfang Seitenende
02.05.2006, 13:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 MataHari

Gehe in die Registry
Start-Ausfuehren - regedit

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Saar <--loeschen
Lreeb <--loeschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
dcomcfg.exe <--loeschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
"{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}" = "Twain" --> loeschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{b0398eca-0bcd-4645-8261-5e9dc70248d0} --> loeschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
winnkw32.dll --> loeschen

------------------------------------------------------------------------

Laden und alles auf dem Desktop entpacken:

**
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

**
BFU (Brute Force Uninstaller) kann man hier herunterladen: --> http://www.merijn.org/files/bfu.zip

**
spyfalcon.bfu
http://virus-protect.org/artikel/bfu/spyfalcon.zip (entpacken) -> Datei spyfalcon.bfu

-----------------------------------------------------------------

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\DOKUME~1\cwolf\LOKALE~1\Temp\ppinfo.dat
C:\WINDOWS\TEMP\saE1.exe
C:\DOKUME~1\cwolf\LOKALE~1\Temp\ppv5exc.dat
C:\DOKUME~1\cwolf\LOKALE~1\Temp\pploc.dat
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\YAXUninst.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\hp9C97.tmp
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\winnkw32.dll
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\mtuninst.exe

Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)

3.
Öffne den Brute Force Uninstaller
* - klicke auf --> --> und suche die spyfalcon.bfu (unter Desktop) --> öffnen
* show log after script ends (anhaken)
* Execute klicken

4.
öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

boote wieder in den normalmodus

5.
deaktiviere die Systemwiederherstellung (XP) (nach der Reinigung wieder aktivieren)

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Reinigung wieder aktivieren )

6.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

----------

auf dem PC befindet sich auch ein Purityscan, deshalb sehen wir dann weiter, wenn alles abgearbeitet ist.

"Saar" = ""C:\WINDOWS\SKS~1\javaw.exe" -vt mt"
"Lreeb" = "C:\WINDOWS\system32\**stem\m*config.exe"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 14:32
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Sabina,

bin nun durch alle Steps hindurch. Und hab mir "irgendwie" helfen können 8-)
nach mehrmaligem Durchscannen mit div. Online-Scannern, glaube ich nun behaupten zu können, dass ich viren- und trojanerfrei bin. Hab zwar des öfteren gelesen, dass sich beim ein oder anderen wieder etwas eingeschlichen hat, hoffe aber dies nicht mitmachen zu müssen.
Möchte mich bei Dir und Deiner außerordentlichen Hilfe einfach mal bedanken. Super Klasse, was Du da machst. Merci bien.

Liebe Grüsse

PS: Scanne nun nochmal miteScan drüber. Wenn der auch nix mehr findet, dann sollte es doch das gewesen sein, oder?
Seitenanfang Seitenende
02.05.2006, 14:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 nach dem , was ich gesehen habe...solltest du alle Punkte (siehe oben) abarbeiten..schon wegen dem Purityscan
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 17:08
...neu hier

Themenstarter

Beiträge: 3
#5 Okay. Dann werde ich mich mal dahinter klemmen und das abarbeiten. Werde mich dann allerdings erst heute (Spät-)Abend bzw. morgen melden.

DAnke einstweilen und bis denn ...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: