UnSpyPC hat sich installiert - wie entfernen?

#0
06.05.2006, 09:07
Member

Beiträge: 15
#1 Hallo,

leider habe ich mir gestern auch das UnSpyPC eingefangen. Habe schon CleanUp und HijackThis laufen lassen. Wer kann mir weiterhelfen? (Bin leider kein großer PC-Freak!)

Danke

MfG

Diedi

Logfile of HijackThis v1.99.1
Scan saved at 09:01:44, on 06.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_6\browser\dlman.exe
C:\DOKUME~1\velten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pages.ebay.com/merchpopup/doubleclick.html?dartZone=visitor
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68} - systemdll.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [vxdman] gabber.exe
O4 - HKLM\..\Run: [zantu] DTOURS.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [NopeZ] backorif.exe
O4 - HKCU\..\Run: [MsNetHelper] newbreed.exe
O4 - HKCU\..\Run: [Bogobot] SAPSTR.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAAE69FF-A9B6-495B-8B48-41BD8EA73CD9}: NameServer = 85.255.114.21,85.255.112.190

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
Seitenanfang Seitenende
06.05.2006, 10:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Diedi

1.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

UnSpyPC

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2006, 15:08
Member

Themenstarter

Beiträge: 15
#3 Hallo Sabina,

ist die Liste jetzt schon gepostet - oder nicht. zur Sicherheit noch einmal:
Seitenanfang Seitenende
06.05.2006, 16:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich sehe keins von den drei logs.....um die ich gebeten hatte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2006, 18:00
Member

Themenstarter

Beiträge: 15
#5 Hallo Sabina,

tut mir leid, dass es nicht geklappt hat - ich versuche noch mal:



Datentr„ger in Laufwerk C: ist 72_01_34M4
Volumeseriennummer: 176D-0DE9

Verzeichnis von C:\WINDOWS\SYSTEM32

06.05.2006 00:34 155.648 mxowy.dll
06.05.2006 00:34 3.094 howiper.exe
04.05.2006 21:21 2.206 wpa.dbl
23.04.2006 17:44 118.152 FNTCACHE.DAT
05.03.2006 19:00 1.632 d3d8caps.dat
18.01.2006 13:05 57.344 avsda.dll



Datentr„ger in Laufwerk C: ist 72_01_34M4
Volumeseriennummer: 176D-0DE9

Verzeichnis von C:\DOKUME~1\velten\LOKALE~1\Temp

06.05.2006 14:01 16.384 Perflib_Perfdata_150.dat
06.05.2006 14:01 16.384 ~DFF28A.tmp
06.05.2006 10:22 16.384 ~DF95BF.tmp
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 5.842.042.880 Bytes frei



Datentr„ger in Laufwerk C: ist 72_01_34M4
Volumeseriennummer: 176D-0DE9

Verzeichnis von C:\WINDOWS

06.05.2006 17:36 994 WISO.INI
06.05.2006 13:59 159 wiadebug.log
06.05.2006 13:59 0 0.log
06.05.2006 13:59 2.048 bootstat.dat
06.05.2006 10:23 50 wiaservc.log
06.05.2006 10:22 32.010 SchedLog.Txt
06.05.2006 10:22 369.043 WindowsUpdate.log
06.05.2006 08:45 61 wininit.ini
28.04.2006 21:40 0 tm.ini
23.04.2006 18:10 209 UNO.INI
23.04.2006 18:10 2.699 win.ini
07.04.2006 21:32 728.720 setupapi.log
07.04.2006 21:11 404 cdPlayer.ini
07.04.2006 20:05 17.836 wmsetup.log
07.04.2006 20:00 1.815 INSTALL.LOG
07.04.2006 19:59 316.640 WMSysPr9.prx
17.02.2006 11:57 587 system.ini




Datentr„ger in Laufwerk C: ist 72_01_34M4
Volumeseriennummer: 176D-0DE9

Verzeichnis von C:\

06.05.2006 17:50 0 sys.txt
06.05.2006 17:49 9.327 system.txt
06.05.2006 17:48 401 systemtemp.txt
06.05.2006 17:48 99.034 system32.txt
06.05.2006 13:59 402.182.144 hiberfil.sys
06.05.2006 13:59 402.653.184 pagefile.sys
17.02.2006 17:23 161 TO_InstallLog.txt
17.02.2006 11:57 217 boot.ini
08.02.2006 16:53 7.930 wiederhergestelltes Dokument.txt


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 06.05.2006 17:51:26 for strings:
; 'unspypc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"b"="C:\\Dokumente und Einstellungen\\velten\\Eigene Dateien\\Virenscan\\UnSpyPC hat sich installiert - wie entfernen - Security Forum.htm"

[HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\htm]
"i"="C:\\Dokumente und Einstellungen\\velten\\Eigene Dateien\\Virenscan\\UnSpyPC hat sich installiert - wie entfernen - Security Forum.htm"

[HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\""

[HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\UnSpyPC\\UnSpyPC.exe"="UnSpyPC spyware scanner"

; End Of The Log...



Vielen Dank und mfG

Diedi
Seitenanfang Seitenende
06.05.2006, 23:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Diedi

dieser Reinigungsweg ist nicht komplett... denn du hast mir nicht das Log vom F-Secure gepostet..

--------------------------------------------

1.
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - UnSpyPC

loeschen

[HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\SYSTEM32\mxowy.dll
C:\WINDOWS\SYSTEM32\howiper.exe

PC neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68} - systemdll.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [vxdman] gabber.exe
O4 - HKLM\..\Run: [zantu] DTOURS.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [NopeZ] backorif.exe
O4 - HKCU\..\Run: [MsNetHelper] newbreed.exe
O4 - HKCU\..\Run: [Bogobot] SAPSTR.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAAE69FF-A9B6-495B-8B48-41BD8EA73CD9}: NameServer = 85.255.114.21,85.255.112.190
----------------
**
nach dem Neustart musst du eine neue Internetverbindung erstellen,

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
C:\Programme\UnSpyPC -<> deinstallieren/loeschen

**
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2006, 18:28
Member

Themenstarter

Beiträge: 15
#7 HALLO sABINA,

leider ist der Report von gestern wohl nicht angekommen. Hier noch einmal:



---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:43:18, 07.05.2006
+ Report-Checksumme: AE64AF37

+ Scanergebnis:

[352] VM_00DD0000 -> Downloader.Agent.uj : Fehler beim Säubern
[376] VM_00DA0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1032] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1304] VM_00940000 -> Downloader.Agent.uj : Fehler beim Säubern
[1312] VM_009B0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1320] VM_00C20000 -> Downloader.Agent.uj : Fehler beim Säubern
[1336] VM_00A50000 -> Downloader.Agent.uj : Fehler beim Säubern
[1356] VM_00380000 -> Downloader.Agent.uj : Fehler beim Säubern
[1412] VM_003E0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1420] VM_00360000 -> Downloader.Agent.uj : Fehler beim Säubern
[1440] VM_003F0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1464] VM_009E0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1532] VM_003E0000 -> Downloader.Agent.uj : Fehler beim Säubern
C:\!KillBox\mxowy.dll -> Adware.SBSoft : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\velten\Cookies\velten@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049560.dll -> Adware.WebHancer : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049561.dll -> Adware.WebHancer : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049564.EXE -> Adware.WebHancer : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049565.DLL -> Adware.WebHancer : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049767.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049771.exe -> Trojan.Pakes : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049782.EXE -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049786.EXE -> Trojan.Pakes : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049826.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049830.exe -> Trojan.Pakes : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049843.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049847.exe -> Trojan.Pakes : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049862.dll -> Adware.SBSoft : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049864.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049868.exe -> Trojan.Pakes : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049874.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049878.exe -> Trojan.Pakes : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049885.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049889.exe -> Trojan.Pakes : Gesäubert mit Backup


::Report Ende



Ich hoffe, du kannst da was mit anfangen.

Vielen Dank und schöne Grüße

Diedi
Seitenanfang Seitenende
08.05.2006, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Diedi

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> poste den Report, bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2006, 16:32
Member

Themenstarter

Beiträge: 15
#9 Hallo Sabina,

danke für die weiteren Schritte:

zu 1. habe ich gemacht

zu 2. habe ich auch gemacht, aber keine txt. Datei bekommen.

Ergebnis. action

CSBTO.EXE none

DMQKH.EXE none

FILESA~1.EXE none

PPCGM.EXE none

WBEMTEST.EXE none

Was habe ich falsch gemacht oder wo finde ich das log?

MfG

Diedi
Seitenanfang Seitenende
09.05.2006, 16:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
Dann lass Blacklight den Rechner neu starten.

Zitat

scan --> next none auf rename ändern
dann poste das neue Log vom HijackThis und noch mal die 4 Logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2006, 17:06
Member

Themenstarter

Beiträge: 15
#11 Hallo Sabina,

das ging ja blitzschnell - ich versuche am Ball zu bleiben:

Logfile of HijackThis v1.99.1
Scan saved at 16:58:59, on 09.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE
c:\programme\t-online\t-online_software_6\browser\browser.exe
C:\DOKUME~1\velten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pages.ebay.com/merchpopup/doubleclick.html?dartZone=visitor
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68} - systemdll.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [vxdman] gabber.exe
O4 - HKLM\..\Run: [zantu] DTOURS.exe
O4 - HKLM\..\Run: [dmqkh.exe] C:\WINDOWS\system32\dmqkh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NopeZ] backorif.exe
O4 - HKCU\..\Run: [MsNetHelper] newbreed.exe
O4 - HKCU\..\Run: [Bogobot] SAPSTR.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe



Datentr„ger in Laufwerk C: ist 72_01_34M4
Volumeseriennummer: 176D-0DE9

Verzeichnis von C:\WINDOWS\SYSTEM32

08.05.2006 18:00 2.206 wpa.dbl
06.05.2006 00:35 654.111 FILESA~1.EXE.ren
06.05.2006 00:35 45.568 PPPCGM.EXE.ren
06.05.2006 00:33 51.212 CSBTO.EXE.ren
23.04.2006 17:44 118.152 FNTCACHE.DAT
05.03.2006 19:00 1.632 d3d8caps.dat
18.01.2006 13:05 57.344 avsda.dll

Datentr„ger in Laufwerk C: ist 72_01_34M4
Volumeseriennummer: 176D-0DE9

Verzeichnis von C:\DOKUME~1\velten\LOKALE~1\Temp

09.05.2006 16:53 16.384 Perflib_Perfdata_704.dat
09.05.2006 16:53 0 JETCA62.tmp
09.05.2006 16:53 0 JET9697.tmp
09.05.2006 16:52 16.384 ~DF1088.tmp
09.05.2006 16:49 16.384 ~DF1670.tmp
08.05.2006 22:09 16.384 ~DF1B1A.tmp
08.05.2006 21:51 14.848 02Malibu.doc
07.05.2006 17:28 16.384 ~DF4458.tmp
07.05.2006 11:01 16.384 ~DF937A.tmp
07.05.2006 10:44 16.384 ~DF2C58.tmp
07.05.2006 10:33 16.384 ~DF797A.tmp
07.05.2006 10:33 16.384 ~DF8FFB.tmp
07.05.2006 09:05 16.384 ~DF55E5.tmp
06.05.2006 21:53 16.384 ~DFF28A.tmp
06.05.2006 10:22 16.384 ~DF95BF.tmp



Datentr„ger in Laufwerk C: ist 72_01_34M4
Volumeseriennummer: 176D-0DE9

Verzeichnis von C:\WINDOWS

09.05.2006 16:51 0 0.log
09.05.2006 16:51 157 wiadebug.log
09.05.2006 16:50 2.048 bootstat.dat
09.05.2006 16:49 50 wiaservc.log
09.05.2006 16:49 31.906 SchedLog.Txt
09.05.2006 16:49 370.331 WindowsUpdate.log
07.05.2006 09:01 730.434 setupapi.log
06.05.2006 17:36 994 WISO.INI
06.05.2006 08:45 61 wininit.ini
28.04.2006 21:40 0 tm.ini
23.04.2006 18:10 209 UNO.INI
23.04.2006 18:10 2.699 win.ini
07.04.2006 21:11 404 cdPlayer.ini
07.04.2006 20:05 17.836 wmsetup.log
07.04.2006 20:00 1.815 INSTALL.LOG
07.04.2006 19:59 316.640 WMSysPr9.prx
17.02.2006 11:57 587 system.ini
07.01.2006 19:23 69 NeroDigital.ini

Verzeichnis von C:\

09.05.2006 17:05 0 sys.txt
09.05.2006 17:05 9.327 system.txt
09.05.2006 17:04 990 systemtemp.txt
09.05.2006 17:02 99.146 system32.txt
09.05.2006 16:50 402.653.184 pagefile.sys
09.05.2006 16:50 402.182.144 hiberfil.sys
17.02.2006 17:23 161 TO_InstallLog.txt
17.02.2006 11:57 217 boot.ini
08.02.2006 16:53 7.930 wiederhergestelltes Dokument.txt

Geht schon besser als vorgestern - immerhin.

Vielen Dank und mfG

Diedi
Seitenanfang Seitenende
09.05.2006, 18:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 gehe in die registry
start- Ausfuehren - regedit

bearbeiten - suchen - UnSpyPC
loesche alles, was du findest, vor allem den Eintrag von uninstall


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68} - systemdll.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)missing)
O4 - HKLM\..\Run: [vxdman] gabber.exe
O4 - HKLM\..\Run: [zantu] DTOURS.exe
O4 - HKLM\..\Run: [dmqkh.exe] C:\WINDOWS\system32\dmqkh.exe
O4 - HKCU\..\Run: [NopeZ] backorif.exe
O4 - HKCU\..\Run: [MsNetHelper] newbreed.exe
O4 - HKCU\..\Run: [Bogobot] SAPSTR.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"

PC neustarten

deinstalliere UnSpyPC
und loesche alles von
C:\Programme\UnSpyPC

scanne noch mal mit ewido, und poste den scanreport
+
Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 16:21
Member

Themenstarter

Beiträge: 15
#13 Hallo Sabina,

leider habe ich ein Problem:


Nach dem Löschen im regedit erscheint Spybot und anschließend:



RESIDENT - Änderung verboten und anschließend ist UnSPyPC wieder da.

Auch nach Hijackthis erscheinen diese Fenster RESIDENT und machen alles rückgängig.

Was kann ich tun?

Vielen Dank und mfG

Diedi
Seitenanfang Seitenende
10.05.2006, 20:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Diedi

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-
"NopeZ"=-
"MsNetHelper"=-
"Bogobot"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{BF69DF00-4734-477F-8257-27CD04F88779}]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68}]

[-HKEY_CLASSES_ROOT\CLSID\{94A0E512-EFBE-18DE-9964-820E962F7FAD}]
[-HKEY_CLASSES_ROOT\CLSID\{6088FF2E-998F-5345-4D93-575B4AFA0449}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
fixe mit dem HijackThis:

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe


**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

**
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

**
UnSpyPC deinstallieren

**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 22:34
Member

Themenstarter

Beiträge: 15
#15 Hallo Sabina,

ich bin begeistert - es hat geklappt.

Jetzt lasse ich ewido nochmal laufen und poste dir morgen den report.

Erst mal vielen Dank und viele Grüße

Diedi
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: