UnSpyPC hat sich installiert - wie entfernen?

#0
11.05.2006, 10:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 poste dann also den report vom ewido + das neue Log vom HijackThis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.05.2006, 16:53
Member

Themenstarter

Beiträge: 15
#17

Zitat

Sabina postete
poste dann also den report vom ewido + das neue Log vom HijackThis ;)
hallo Sabina,

mal auf diesem Weg:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 05:57:54, 11.05.2006
+ Report-Checksumme: 7C8471F0

+ Scanergebnis:

C:\WINDOWS\SYSTEM32\DMQKH.EXE.ren -> Trojan.Pakes : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\CSBTO.EXE.ren -> Downloader.Agent.uj : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\FILESA~1.EXE.ren -> Hijacker.Small : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\PPPCGM.EXE.ren -> Adware.Msnagent : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@atdmt[1].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@sel.as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP135\A0049947.EXE -> Adware.Msnagent : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP135\A0049948.exe -> Hijacker.Small : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP135\A0049949.EXE -> Trojan.Pakes : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP135\A0049950.EXE -> Downloader.Agent.uj : Gesäubert mit Backup


::Report Ende

Logfile of HijackThis v1.99.1
Scan saved at 16:52:51, on 13.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE
c:\programme\t-online\t-online_software_6\browser\browser.exe
c:\programme\t-online\t-online_software_6\browser\dlman.exe
C:\DOKUME~1\velten\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pages.ebay.com/merchpopup/doubleclick.html?dartZone=visitor
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

Schöne Grüße und vielen Dank im voraus

Diedi
Seitenanfang Seitenende
13.05.2006, 18:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Diedi

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
mache zum Abschluss einen Scan mit
Trend Micro Anti-Spyware for the Web und berichte ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.05.2006, 10:57
Member

Themenstarter

Beiträge: 15
#19 Hallo Sabina,

es entwickelt sich.

Folgenden Report habe ich von Trend-Micro (konnte ich leider nicht kopieren)

Cookies: Profiling
Mediaplex
207.net
double click
Atdmt
Falkag

und

Adware BHot-SBSoft

Habe ich entfernen lassen mit Trend-Micro

Viele Grüße und herzliche Dank

Diedi
Seitenanfang Seitenende
14.05.2006, 12:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Diedi

versuche bitte folgendes zu laden + zu scannen
http://virus-protect.org/escan.html
berichte, ob es geklappt hat/oder was nicht
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.05.2006, 19:49
Member

Themenstarter

Beiträge: 15
#21 Hallo Sabina,

doch nicht so einfach - download ist ok aber bei Update der Viren-Signaturen fehlt ihm eine Datei: KAVUpd. exe nicht vorhanden.

Bei der nicht zip-Version sagte er mir end-of-central-directory signature not found, d.h. Punkt8 der Anleitung DOS-Fenster fehlt und der Scan läuft nicht.

Was tun?

Herzliche Grüße und vielen Dank

Diedi
Seitenanfang Seitenende
14.05.2006, 20:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 MicroWorld provides FREE Toolkit Utility

lade: Free Virus scanner for Your Computer (unten auf der Seite von MicroWorld zu finden)
http://virus-protect.org/antivirenfree.html

hab ich auch noch nicht anwenden lassen, berichte bitte und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.05.2006, 20:38
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#23 Die KAVupd braucht man nicht mehr

Zitat

doch nicht so einfach - download ist ok aber bei Update der Viren-Signaturen fehlt ihm eine Datei: KAVUpd. exe nicht vorhanden.
Beim downloaden ist MWAV up-to-date(Signaturdatum von Heute)


__________
MfG Argus
Seitenanfang Seitenende
14.05.2006, 22:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Hallo Arnold

kannst du rausfinden, ob mit der seite noch alles in Ordnung ist?
http://virus-protect.org/escan.html
viele User sagen, es funktioniert nicht. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.05.2006, 23:00
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#25 Seh mein PM ;)
Download Seite http://www.mwti.net/feedback/form.asp?url=../products/download_center.asp&prod=MWAV

Ich werde Morgen mal den eScancheck110 runterladen ob es noch funktioniert
__________
MfG Argus
Dieser Beitrag wurde am 14.05.2006 um 23:04 Uhr von Arnold editiert.
Seitenanfang Seitenende
14.05.2006, 23:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 genau..um den geht es mir ;) ... eScancheck110
falls er nicht mehr funzt, muss ich die Seite veraendern/neu machen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2006, 22:05
Member

Themenstarter

Beiträge: 15
#27 Hallo Sabina,

Micro World verlangt Namen und e-mail vor dem Download - ist das so ok?

Oder soll ich auf den eScancheck 110 warten?

Vielen Dank und Grüße

Diedi
Seitenanfang Seitenende
16.05.2006, 01:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 nein, der escancheck funktioniert nicht mehr.
und Name + irgendeine spam.email, die man zu solchen zwecken immer hat ;) kannst du unbesorgt angeben.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2006, 22:14
Member

Themenstarter

Beiträge: 15
#29 Hallo Sabina,

habe mich etwas schwer getan mit Micro World - erst die persönlichen Daten, dann hat der Scanner meinen T-online-Zugang gekillt. Und er verträgt sich nicht mit meinen anderen Viren-Scannern. Heisst übrigens auch eScan. Oder habe ich den falschen erwischt?


Gibt's noch einen anderen Weg?

Vielen Dank und schönen Gruß

Diedi
Seitenanfang Seitenende
19.05.2006, 01:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 oh je... ich wusste nicht, dass der escan solche Probleme macht...sorry

Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: