UnSpyPC hat sich installiert - wie entfernen? |
||
---|---|---|
#0
| ||
06.05.2006, 09:07
Member
Beiträge: 15 |
||
|
||
06.05.2006, 10:58
Ehrenmitglied
Beiträge: 29434 |
#2
Diedi
1. Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) UnSpyPC in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.05.2006, 15:08
Member
Themenstarter Beiträge: 15 |
||
|
||
06.05.2006, 16:30
Ehrenmitglied
Beiträge: 29434 |
#4
ich sehe keins von den drei logs.....um die ich gebeten hatte.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.05.2006, 18:00
Member
Themenstarter Beiträge: 15 |
#5
Hallo Sabina,
tut mir leid, dass es nicht geklappt hat - ich versuche noch mal: Datentr„ger in Laufwerk C: ist 72_01_34M4 Volumeseriennummer: 176D-0DE9 Verzeichnis von C:\WINDOWS\SYSTEM32 06.05.2006 00:34 155.648 mxowy.dll 06.05.2006 00:34 3.094 howiper.exe 04.05.2006 21:21 2.206 wpa.dbl 23.04.2006 17:44 118.152 FNTCACHE.DAT 05.03.2006 19:00 1.632 d3d8caps.dat 18.01.2006 13:05 57.344 avsda.dll Datentr„ger in Laufwerk C: ist 72_01_34M4 Volumeseriennummer: 176D-0DE9 Verzeichnis von C:\DOKUME~1\velten\LOKALE~1\Temp 06.05.2006 14:01 16.384 Perflib_Perfdata_150.dat 06.05.2006 14:01 16.384 ~DFF28A.tmp 06.05.2006 10:22 16.384 ~DF95BF.tmp 3 Datei(en) 49.152 Bytes 0 Verzeichnis(se), 5.842.042.880 Bytes frei Datentr„ger in Laufwerk C: ist 72_01_34M4 Volumeseriennummer: 176D-0DE9 Verzeichnis von C:\WINDOWS 06.05.2006 17:36 994 WISO.INI 06.05.2006 13:59 159 wiadebug.log 06.05.2006 13:59 0 0.log 06.05.2006 13:59 2.048 bootstat.dat 06.05.2006 10:23 50 wiaservc.log 06.05.2006 10:22 32.010 SchedLog.Txt 06.05.2006 10:22 369.043 WindowsUpdate.log 06.05.2006 08:45 61 wininit.ini 28.04.2006 21:40 0 tm.ini 23.04.2006 18:10 209 UNO.INI 23.04.2006 18:10 2.699 win.ini 07.04.2006 21:32 728.720 setupapi.log 07.04.2006 21:11 404 cdPlayer.ini 07.04.2006 20:05 17.836 wmsetup.log 07.04.2006 20:00 1.815 INSTALL.LOG 07.04.2006 19:59 316.640 WMSysPr9.prx 17.02.2006 11:57 587 system.ini Datentr„ger in Laufwerk C: ist 72_01_34M4 Volumeseriennummer: 176D-0DE9 Verzeichnis von C:\ 06.05.2006 17:50 0 sys.txt 06.05.2006 17:49 9.327 system.txt 06.05.2006 17:48 401 systemtemp.txt 06.05.2006 17:48 99.034 system32.txt 06.05.2006 13:59 402.182.144 hiberfil.sys 06.05.2006 13:59 402.653.184 pagefile.sys 17.02.2006 17:23 161 TO_InstallLog.txt 17.02.2006 11:57 217 boot.ini 08.02.2006 16:53 7.930 wiederhergestelltes Dokument.txt REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 06.05.2006 17:51:26 for strings: ; 'unspypc' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "b"="C:\\Dokumente und Einstellungen\\velten\\Eigene Dateien\\Virenscan\\UnSpyPC hat sich installiert - wie entfernen - Security Forum.htm" [HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\htm] "i"="C:\\Dokumente und Einstellungen\\velten\\Eigene Dateien\\Virenscan\\UnSpyPC hat sich installiert - wie entfernen - Security Forum.htm" [HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run] "UnSpyPC"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\"" [HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\UnSpyPC\\UnSpyPC.exe"="UnSpyPC spyware scanner" ; End Of The Log... Vielen Dank und mfG Diedi |
|
|
||
06.05.2006, 23:08
Ehrenmitglied
Beiträge: 29434 |
#6
Diedi
dieser Reinigungsweg ist nicht komplett... denn du hast mir nicht das Log vom F-Secure gepostet.. -------------------------------------------- 1. gehe in die Registry Start - Ausfuehren - regedit bearbeiten - suchen - UnSpyPC loeschen [HKEY_USERS\S-1-5-21-682003330-1202660629-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run] "UnSpyPC" 2. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ...... C:\WINDOWS\SYSTEM32\mxowy.dll C:\WINDOWS\SYSTEM32\howiper.exe PC neustarten 3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - URLSearchHook: (no name) - {C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68} - systemdll.dll (file missing)---------------- ** nach dem Neustart musst du eine neue Internetverbindung erstellen, ** Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ** C:\Programme\UnSpyPC -<> deinstallieren/loeschen ** scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.05.2006, 18:28
Member
Themenstarter Beiträge: 15 |
#7
HALLO sABINA,
leider ist der Report von gestern wohl nicht angekommen. Hier noch einmal: --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 14:43:18, 07.05.2006 + Report-Checksumme: AE64AF37 + Scanergebnis: [352] VM_00DD0000 -> Downloader.Agent.uj : Fehler beim Säubern [376] VM_00DA0000 -> Downloader.Agent.uj : Fehler beim Säubern [1032] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern [1304] VM_00940000 -> Downloader.Agent.uj : Fehler beim Säubern [1312] VM_009B0000 -> Downloader.Agent.uj : Fehler beim Säubern [1320] VM_00C20000 -> Downloader.Agent.uj : Fehler beim Säubern [1336] VM_00A50000 -> Downloader.Agent.uj : Fehler beim Säubern [1356] VM_00380000 -> Downloader.Agent.uj : Fehler beim Säubern [1412] VM_003E0000 -> Downloader.Agent.uj : Fehler beim Säubern [1420] VM_00360000 -> Downloader.Agent.uj : Fehler beim Säubern [1440] VM_003F0000 -> Downloader.Agent.uj : Fehler beim Säubern [1464] VM_009E0000 -> Downloader.Agent.uj : Fehler beim Säubern [1532] VM_003E0000 -> Downloader.Agent.uj : Fehler beim Säubern C:\!KillBox\mxowy.dll -> Adware.SBSoft : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup C:\Dokumente und Einstellungen\velten\Cookies\velten@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049560.dll -> Adware.WebHancer : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049561.dll -> Adware.WebHancer : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049564.EXE -> Adware.WebHancer : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049565.DLL -> Adware.WebHancer : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049767.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049771.exe -> Trojan.Pakes : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049782.EXE -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP131\A0049786.EXE -> Trojan.Pakes : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049826.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049830.exe -> Trojan.Pakes : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049843.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049847.exe -> Trojan.Pakes : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049862.dll -> Adware.SBSoft : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049864.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049868.exe -> Trojan.Pakes : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049874.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049878.exe -> Trojan.Pakes : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049885.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{BADF0C65-B111-4E15-ADC4-1E5B2DA969A4}\RP132\A0049889.exe -> Trojan.Pakes : Gesäubert mit Backup ::Report Ende Ich hoffe, du kannst da was mit anfangen. Vielen Dank und schöne Grüße Diedi |
|
|
||
08.05.2006, 23:44
Ehrenmitglied
Beiträge: 29434 |
#8
Diedi
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 2. Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop --> poste den Report, bitte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.05.2006, 16:32
Member
Themenstarter Beiträge: 15 |
#9
Hallo Sabina,
danke für die weiteren Schritte: zu 1. habe ich gemacht zu 2. habe ich auch gemacht, aber keine txt. Datei bekommen. Ergebnis. action CSBTO.EXE none DMQKH.EXE none FILESA~1.EXE none PPCGM.EXE none WBEMTEST.EXE none Was habe ich falsch gemacht oder wo finde ich das log? MfG Diedi |
|
|
||
09.05.2006, 16:41
Ehrenmitglied
Beiträge: 29434 |
#10
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
Dann lass Blacklight den Rechner neu starten. Zitat scan --> next none auf rename änderndann poste das neue Log vom HijackThis und noch mal die 4 Logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.05.2006, 17:06
Member
Themenstarter Beiträge: 15 |
#11
Hallo Sabina,
das ging ja blitzschnell - ich versuche am Ball zu bleiben: Logfile of HijackThis v1.99.1 Scan saved at 16:58:59, on 09.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE c:\programme\t-online\t-online_software_6\browser\browser.exe C:\DOKUME~1\velten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pages.ebay.com/merchpopup/doubleclick.html?dartZone=visitor R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68} - systemdll.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [vxdman] gabber.exe O4 - HKLM\..\Run: [zantu] DTOURS.exe O4 - HKLM\..\Run: [dmqkh.exe] C:\WINDOWS\system32\dmqkh.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NopeZ] backorif.exe O4 - HKCU\..\Run: [MsNetHelper] newbreed.exe O4 - HKCU\..\Run: [Bogobot] SAPSTR.exe O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe Datentr„ger in Laufwerk C: ist 72_01_34M4 Volumeseriennummer: 176D-0DE9 Verzeichnis von C:\WINDOWS\SYSTEM32 08.05.2006 18:00 2.206 wpa.dbl 06.05.2006 00:35 654.111 FILESA~1.EXE.ren 06.05.2006 00:35 45.568 PPPCGM.EXE.ren 06.05.2006 00:33 51.212 CSBTO.EXE.ren 23.04.2006 17:44 118.152 FNTCACHE.DAT 05.03.2006 19:00 1.632 d3d8caps.dat 18.01.2006 13:05 57.344 avsda.dll Datentr„ger in Laufwerk C: ist 72_01_34M4 Volumeseriennummer: 176D-0DE9 Verzeichnis von C:\DOKUME~1\velten\LOKALE~1\Temp 09.05.2006 16:53 16.384 Perflib_Perfdata_704.dat 09.05.2006 16:53 0 JETCA62.tmp 09.05.2006 16:53 0 JET9697.tmp 09.05.2006 16:52 16.384 ~DF1088.tmp 09.05.2006 16:49 16.384 ~DF1670.tmp 08.05.2006 22:09 16.384 ~DF1B1A.tmp 08.05.2006 21:51 14.848 02Malibu.doc 07.05.2006 17:28 16.384 ~DF4458.tmp 07.05.2006 11:01 16.384 ~DF937A.tmp 07.05.2006 10:44 16.384 ~DF2C58.tmp 07.05.2006 10:33 16.384 ~DF797A.tmp 07.05.2006 10:33 16.384 ~DF8FFB.tmp 07.05.2006 09:05 16.384 ~DF55E5.tmp 06.05.2006 21:53 16.384 ~DFF28A.tmp 06.05.2006 10:22 16.384 ~DF95BF.tmp Datentr„ger in Laufwerk C: ist 72_01_34M4 Volumeseriennummer: 176D-0DE9 Verzeichnis von C:\WINDOWS 09.05.2006 16:51 0 0.log 09.05.2006 16:51 157 wiadebug.log 09.05.2006 16:50 2.048 bootstat.dat 09.05.2006 16:49 50 wiaservc.log 09.05.2006 16:49 31.906 SchedLog.Txt 09.05.2006 16:49 370.331 WindowsUpdate.log 07.05.2006 09:01 730.434 setupapi.log 06.05.2006 17:36 994 WISO.INI 06.05.2006 08:45 61 wininit.ini 28.04.2006 21:40 0 tm.ini 23.04.2006 18:10 209 UNO.INI 23.04.2006 18:10 2.699 win.ini 07.04.2006 21:11 404 cdPlayer.ini 07.04.2006 20:05 17.836 wmsetup.log 07.04.2006 20:00 1.815 INSTALL.LOG 07.04.2006 19:59 316.640 WMSysPr9.prx 17.02.2006 11:57 587 system.ini 07.01.2006 19:23 69 NeroDigital.ini Verzeichnis von C:\ 09.05.2006 17:05 0 sys.txt 09.05.2006 17:05 9.327 system.txt 09.05.2006 17:04 990 systemtemp.txt 09.05.2006 17:02 99.146 system32.txt 09.05.2006 16:50 402.653.184 pagefile.sys 09.05.2006 16:50 402.182.144 hiberfil.sys 17.02.2006 17:23 161 TO_InstallLog.txt 17.02.2006 11:57 217 boot.ini 08.02.2006 16:53 7.930 wiederhergestelltes Dokument.txt Geht schon besser als vorgestern - immerhin. Vielen Dank und mfG Diedi |
|
|
||
09.05.2006, 18:27
Ehrenmitglied
Beiträge: 29434 |
#12
gehe in die registry
start- Ausfuehren - regedit bearbeiten - suchen - UnSpyPC loesche alles, was du findest, vor allem den Eintrag von uninstall öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - URLSearchHook: (no name) - {C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68} - systemdll.dll O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)missing) O4 - HKLM\..\Run: [vxdman] gabber.exe O4 - HKLM\..\Run: [zantu] DTOURS.exe O4 - HKLM\..\Run: [dmqkh.exe] C:\WINDOWS\system32\dmqkh.exe O4 - HKCU\..\Run: [NopeZ] backorif.exe O4 - HKCU\..\Run: [MsNetHelper] newbreed.exe O4 - HKCU\..\Run: [Bogobot] SAPSTR.exe O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" PC neustarten deinstalliere UnSpyPC und loesche alles von C:\Programme\UnSpyPC scanne noch mal mit ewido, und poste den scanreport + Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.05.2006, 16:21
Member
Themenstarter Beiträge: 15 |
#13
Hallo Sabina,
leider habe ich ein Problem: Nach dem Löschen im regedit erscheint Spybot und anschließend: RESIDENT - Änderung verboten und anschließend ist UnSPyPC wieder da. Auch nach Hijackthis erscheinen diese Fenster RESIDENT und machen alles rückgängig. Was kann ich tun? Vielen Dank und mfG Diedi |
|
|
||
10.05.2006, 20:37
Ehrenmitglied
Beiträge: 29434 |
#14
Diedi
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4fixe mit dem HijackThis: O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe ** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). ** Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen. ** UnSpyPC deinstallieren ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.05.2006, 22:34
Member
Themenstarter Beiträge: 15 |
#15
Hallo Sabina,
ich bin begeistert - es hat geklappt. Jetzt lasse ich ewido nochmal laufen und poste dir morgen den report. Erst mal vielen Dank und viele Grüße Diedi |
|
|
||
leider habe ich mir gestern auch das UnSpyPC eingefangen. Habe schon CleanUp und HijackThis laufen lassen. Wer kann mir weiterhelfen? (Bin leider kein großer PC-Freak!)
Danke
MfG
Diedi
Logfile of HijackThis v1.99.1
Scan saved at 09:01:44, on 06.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_6\browser\dlman.exe
C:\DOKUME~1\velten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pages.ebay.com/merchpopup/doubleclick.html?dartZone=visitor
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68} - systemdll.dll (file missing)
O1 - Hosts: localhost 127.0.0.1O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [vxdman] gabber.exe
O4 - HKLM\..\Run: [zantu] DTOURS.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [NopeZ] backorif.exe
O4 - HKCU\..\Run: [MsNetHelper] newbreed.exe
O4 - HKCU\..\Run: [Bogobot] SAPSTR.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAAE69FF-A9B6-495B-8B48-41BD8EA73CD9}: NameServer = 85.255.114.21,85.255.112.190
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe