Hab auch Spyfalcon |
||
---|---|---|
#0
| ||
15.05.2006, 13:22
...neu hier
Beiträge: 9 |
||
|
||
15.05.2006, 13:24
Ehrenmitglied
Beiträge: 29434 |
#2
arbeite das bitte ab und poste die logs
http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2006, 13:30
...neu hier
Themenstarter Beiträge: 9 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 13:29:51, on 15.05.2006 Platform: Windows 2000 SP1 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Personal Firewall\ISSVC.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\Brmfrmps.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\Explorer.exe C:\WINNT\System32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINNT\loadqm.exe C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe C:\WINNT\System32\internat.exe C:\WINNT\System32\dcomcfg.exe C:\WINNT\System32\atmclk.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\BERNHA~1\LOKALE~1\Temp\Rar$EX02.200\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINNT\System32\hpA949.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing) O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab O16 - DPF: {AD191333-0940-0005-0001-F5962F9A5893} (browserClient.ClientManager) - http://infosystem.jemako.com/Scripts/MGBC940_05_001CS.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINNT\system32\Brmfrmps.exe" -service (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
|
|
||
15.05.2006, 13:32
Ehrenmitglied
Beiträge: 29434 |
#4
schoen waeren noch die 4 Logs von datfindbat
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html + echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2006, 13:50
...neu hier
Themenstarter Beiträge: 9 |
#5
so heir mal das erste ich glaub das meintest du doch oder ?? ud jetzt auf der konsole einfahc ok enter drücken oder ??
Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6C93-0D5D Verzeichnis von C:\WINNT\system32 15.05.2006 13:36 5.032 stdole3.tlb 15.05.2006 06:39 6.144 simpole.tlb 15.05.2006 06:39 9.948 atmclk.exe 15.05.2006 06:39 29.696 hpA949.tmp 15.05.2006 06:39 48.128 dcomcfg.exe 15.05.2006 06:37 37.389 ldA9C4.tmp 12.05.2006 22:28 176.128 appmagr.dll 12.05.2006 22:26 48.141 regperf.exe 09.05.2006 18:21 1.848 d3d8caps.dat 01.05.2006 17:51 369.124 perfh009.dat 01.05.2006 17:51 50.808 perfc009.dat 01.05.2006 17:51 363.562 perfh007.dat 01.05.2006 17:51 61.656 perfc007.dat 11.04.2006 22:41 49.152 cdrtc.dll 11.04.2006 22:41 45.056 cdral.dll 24.02.2006 12:45 10.842 ATMdeuxx.GID 23.02.2006 18:08 2.368 SVKP.sys Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6C93-0D5D Verzeichnis von C:\DOKUME~1\BERNHA~1\LOKALE~1\Temp 15.05.2006 13:52 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}16542.html 15.05.2006 13:49 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}28242.html 15.05.2006 13:15 16.384 ~DF5917.tmp 15.05.2006 13:15 512 ~DF4B08.tmp 15.05.2006 13:15 16.384 ~DF4B00.tmp 13.05.2006 22:21 0 2FCFE0B.dmp 12.05.2006 21:23 3.243 h2r42.tmp 12.05.2006 21:19 3.243 h2r3E.tmp 12.05.2006 21:19 3.243 h2r3A.tmp 11.05.2006 19:03 527.440 cd1F.tmp.exe 11.05.2006 19:03 0 cd1F.tmp 09.05.2006 21:26 3.091 h2r9.tmp 09.05.2006 18:21 4.592 SIntfIcn.ani 09.05.2006 18:21 24.516 SIntfNT.dll 09.05.2006 18:21 19.924 SIntf32.dll 09.05.2006 18:21 12.067 SIntf16.dll 09.05.2006 18:21 36.864 CmdLineExt02.dll 07.05.2006 17:06 114 507B8750.TMP 06.05.2006 00:39 3.091 h2r4E.tmp 04.05.2006 13:41 3.228 h2r39.tmp 04.05.2006 13:34 3.091 h2r33.tmp 03.05.2006 18:20 717 control.xml 03.05.2006 10:32 512 ~DFB4BA.tmp 03.05.2006 10:32 16.384 ~DFB4B2.tmp 03.05.2006 10:32 512 ~DFB4AA.tmp 03.05.2006 10:32 512 ~DFB49A.tmp 03.05.2006 10:32 16.384 ~DFB4A2.tmp 03.05.2006 10:32 16.384 ~DFB492.tmp 03.05.2006 10:32 512 ~DFB48A.tmp 03.05.2006 10:32 16.384 ~DFB482.tmp 03.05.2006 07:44 16.384 ~DF9F18.tmp 03.05.2006 07:44 512 ~DF9911.tmp 03.05.2006 07:44 16.384 ~DF9907.tmp 02.05.2006 13:06 3.091 h2rC.tmp 01.05.2006 18:03 0 3B34D37.dmp 01.05.2006 18:00 11.224 CFG69.tmp 01.05.2006 17:59 11.224 CFG66.tmp 01.05.2006 17:55 2.790 dotNetFx.log 01.05.2006 17:49 6.084 ASPNETSetup.log 01.05.2006 17:14 3.089 h2r2B.tmp 22.04.2006 20:52 10.700 ICQA.tmp 22.04.2006 20:52 4.170 ICQ9.tmp 22.04.2006 19:54 3.228 h2r5.tmp 22.04.2006 18:53 3.091 h2r10.tmp 22.04.2006 16:43 935 wecerr.txt 19.04.2006 13:20 3.091 h2r49.tmp 18.04.2006 12:28 3.091 h2r43.tmp 18.04.2006 12:28 3.227 h2r40.tmp 18.04.2006 12:26 3.091 h2r3D.tmp 18.04.2006 12:10 3.089 h2r37.tmp 18.04.2006 12:10 3.091 h2r34.tmp 18.04.2006 12:10 3.091 h2r31.tmp 17.04.2006 22:36 3.227 h2r2C.tmp 17.04.2006 22:36 3.091 h2r29.tmp 17.04.2006 16:09 3.091 h2r7.tmp 17.04.2006 16:02 3.091 h2r4.tmp Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6C93-0D5D Verzeichnis von C:\WINNT 14.05.2006 20:39 32.514 SchedLgU.Txt 11.05.2006 21:10 1.198.186 ShellIconCache 11.05.2006 19:02 333.270 setupapi.log 03.05.2006 18:20 123.966 wmsetup.log 28.04.2006 22:51 1.514 OEWABLog.txt 22.04.2006 16:30 822 Brpfx04a.ini 11.04.2006 22:45 342 win.ini 11.04.2006 22:41 57.344 uneng.exe 11.04.2006 22:40 316.640 WMSysPr9.prx 11.04.2006 15:22 44.440 War3Unin.dat 11.04.2006 15:22 2.829 War3Unin.pif 11.04.2006 15:22 139.264 War3Unin.exe 14.03.2006 16:09 176 Wendy3.i Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6C93-0D5D Verzeichnis von C:\ 15.05.2006 13:55 0 sys.txt 15.05.2006 13:55 5.509 system.txt 15.05.2006 13:54 3.317 systemtemp.txt 15.05.2006 13:54 87.331 system32.txt 15.05.2006 06:36 603.979.776 pagefile.s Dieser Beitrag wurde am 15.05.2006 um 13:55 Uhr von dark ah editiert.
|
|
|
||
15.05.2006, 13:56
Ehrenmitglied
Beiträge: 29434 |
#6
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2006, 13:58
...neu hier
Themenstarter Beiträge: 9 |
#7
da kam nur das raus :
10)DPF???? die Fragezeichen gehörten dazu ach ja cih versteh das mit dem cleanup nicht ich kann da das eine häckchen nicht ausfüllen Dieser Beitrag wurde am 15.05.2006 um 14:07 Uhr von dark ah editiert.
|
|
|
||
15.05.2006, 14:21
Ehrenmitglied
Beiträge: 29434 |
#8
dark ah
Laden und alles auf dem Desktop entpacken: *) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg *) Killbox http://www.bleepingcomputer.com/files/killbox.php -> [Anleitung: http://virus-protect.org/killbox.html *) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok ------------------------------------ KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ Zitat C:\WINNT\system32\stdole3.tlbPC neustarten öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINNT\System32\hpA949.tmp** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm ** Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen ** öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) -------------------------------- boote wieder in den Normalmodus SUPERAntiSpyware - scanne http://virus-protect.org/artikel/tools/superantispyware.html ** berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2006, 15:29
...neu hier
Themenstarter Beiträge: 9 |
#9
ok ich glaube hat alles soweit geklappt ( kein icon mehr in der taskleiste)
nur nach dem scann im abgesichertem modus von runthis.bat konnte ich weitermahcen weil da kein blauerbildschirm war ich hab aber nicht das cleanp davon ausgeführt (soll ichs nochmal machen ??) hab jetzt gerdae SUPERAntiwere am scannen nochmals vielen dank mfg Dark AH |
|
|
||
15.05.2006, 15:31
Ehrenmitglied
Beiträge: 29434 |
#10
CleanUp kannst du noch anwenden, um die temporaeren Dateien zu entfernen.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2006, 15:33
...neu hier
Themenstarter Beiträge: 9 |
#11
muss cih dazu wieder in den abgesicherten mudus oder geht das so?? ich hatte nur angst als das stand fetplatte wird bereinigt hab ich auf abrechen geklickt hatte angst das der die formatiert ^^
|
|
|
||
15.05.2006, 15:44
Ehrenmitglied
Beiträge: 29434 |
#12
CleanUp bereinigt nur die temporaeren Dateien
du kannst im Normalmodus oder im abges.Modus scannen du musst das Proggie aber so einstellen, wie auf meiner seite erklaert................... http://virus-protect.org/cleanup.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2006, 16:10
...neu hier
Themenstarter Beiträge: 9 |
#13
ok hab mit dem Superspywere gescannt und dann wurde dasss in quarantäne getan und ich hab danach entfernt. waren noch n paar adwere und trojanishce toolbars drauf . jetzt bei dem cleanup kann ich léider bei delate refetch files kein hächkchen mahcen
|
|
|
||
schonmal danke
mfg Dark AH