Home » Viren, Trojaner & Malware Forum » "Virus Alert!" in der Taskleiste + SpywareQuake 2.1 » Themenansicht
"Virus Alert!" in der Taskleiste + SpywareQuake 2.1 |
||
|---|---|---|
| #0
| ||
|
01.06.2006, 13:31
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
01.06.2006, 14:49
Ehrenmitglied
 Beiträge: 29434 |
#2
Benschy
Laden und alles auf dem Desktop entpacken: *) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg --> doppeltklicken und der Registry beifuegen ** smitfraud.fix http://virus-protect.org/artikel/tools/smitfrautfix.html arbeite smitfraud.fix ab und poste beide Logs  ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp101.tmp O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp O4 - HKLM\..\Run: [SpywareQuake.com] C:\Programme\SpywareQuake.com\Spyware-Quake.exe /h PC neustarten ** Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) ** Counterspy http://virus-protect.org/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove --> Status: Deleted *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.06.2006, 15:26
...neu hier
Themenstarter Beiträge: 3 |
#3
Sodele...
smitfraud Report 1 SmitFraudFix v2.53 Scan done at 15:02:43,09, 01.06.2006 Run from C:\Dokumente und Einstellungen\Benny\Desktop\HIJACKING\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\atmclk.exe FOUND ! C:\WINDOWS\system32\dcomcfg.exe FOUND ! C:\WINDOWS\system32\hp???.tmp FOUND ! C:\WINDOWS\system32\hp????.tmp FOUND ! C:\WINDOWS\system32\imfdfcj.dll FOUND ! C:\WINDOWS\system32\ld????.tmp FOUND ! C:\WINDOWS\system32\ot.ico FOUND ! C:\WINDOWS\system32\regperf.exe FOUND ! C:\WINDOWS\system32\simpole.tlb FOUND ! C:\WINDOWS\system32\stdole3.tlb FOUND ! C:\WINDOWS\system32\ts.ico FOUND ! C:\WINDOWS\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Benny\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\Benny\STARTM~1\PROGRA~1\SpywareQuake.com FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Benny\FAVORI~1 C:\DOKUME~1\Benny\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\SpywareQuake.com\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{e5b1e382-817e-4b74-8a96-ec78751e6acf}"="incatenate" [HKEY_CLASSES_ROOT\CLSID\{e5b1e382-817e-4b74-8a96-ec78751e6acf}\InProcServer32] @="C:\WINDOWS\system32\imfdfcj.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{e5b1e382-817e-4b74-8a96-ec78751e6acf}\InProcServer32] @="C:\WINDOWS\system32\imfdfcj.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End smitfraud Report 2 SmitFraudFix v2.53 Scan done at 15:09:08,29, 01.06.2006 Run from C:\Dokumente und Einstellungen\Benny\Desktop\HIJACKING\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{e5b1e382-817e-4b74-8a96-ec78751e6acf}"="incatenate" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\atmclk.exe Deleted C:\WINDOWS\system32\dcomcfg.exe Deleted C:\WINDOWS\system32\hp???.tmp Deleted C:\WINDOWS\system32\imfdfcj.dll Deleted C:\WINDOWS\system32\ld????.tmp Deleted C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\regperf.exe Deleted C:\WINDOWS\system32\simpole.tlb Deleted C:\WINDOWS\system32\stdole3.tlb Deleted C:\WINDOWS\system32\ts.ico Deleted C:\WINDOWS\system32\1024\ Deleted C:\Programme\SpywareQuake.com\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Über HijackThis konnte ich nur noch O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp101.tmp finden. Die anderen beiden Einträge gab es nicht mehr .... Die Systemwiederherstellung ist bei mir immer deaktiviert.... So also nachdem ich den smitfraud.fix duchgeführt habe und einen restart gemacht habe war der "virus" ? von meinem PC jedenfalls oberflächlich gelöscht! SUPER, soweit :-) Danke... ich werd nun noch den letzten Schritt mit Counterspy durchführen... Wozu braucht ihr eigentlich diese Log Files hier im Forum ? Vielen Dank und Gruß Benny [edit] Achja, wozu wird eigntlich die spyfalcon.reg benötigt ? Hätte es nicht gereicht den SmitfraudFix.cmd im abgesicherten zu laden und die infizierten dateien zu löschen ? |
|
|
|
|
|
|
01.06.2006, 18:21
Ehrenmitglied
Beiträge: 29434 |
#4
doppelt haelt besser, deshalb mehrere Reinigungs-Schritte.
poste bitte noch das log vom Counterspy __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.06.2006, 19:57
...neu hier
Themenstarter Beiträge: 3 |
#5
oh, das hab ich leider nicht gespeichert! Weiß nur dass es noch was von SpywareQuake gefunden hat...
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe nun die 4Schritte befolgt welche laut Forum unternommen werden sollten:
1.Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 13:20:48, on 01.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Benny\Desktop\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp101.tmp
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp
O4 - HKLM\..\Run: [CTStartup] D:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SpywareQuake.com] C:\Programme\SpywareQuake.com\Spyware-Quake.exe /h
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15023/CTPID.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
System32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4026-0787
Verzeichnis von C:\WINDOWS\system32
01.06.2006 13:24 5.016 stdole3.tlb
01.06.2006 13:17 32.269 ld100.tmp
01.06.2006 13:16 8.704 simpole.tlb
01.06.2006 13:16 50.688 hp101.tmp
01.06.2006 13:13 4.286 ot.ico
01.06.2006 13:13 4.286 ts.ico
01.06.2006 13:13 11.612 atmclk.exe
01.06.2006 13:06 50.688 hp100.tmp
01.06.2006 13:06 32.269 ld101.tmp
31.05.2006 21:51 11.564 DVCState-{00000002-00000000-00000009-00001102-00000004-00511102}.rfx
31.05.2006 21:51 1.080 settingsbkup.sfm
31.05.2006 21:51 1.080 settings.sfm
31.05.2006 21:51 28.968 BMXBkpCtrlState-{00000002-00000000-00000009-00001102-00000004-00511102}.rfx
31.05.2006 21:51 28.968 BMXCtrlState-{00000002-00000000-00000009-00001102-00000004-00511102}.rfx
31.05.2006 21:51 31.656 BMXStateBkp-{00000002-00000000-00000009-00001102-00000004-00511102}.rfx
31.05.2006 21:51 31.656 BMXState-{00000002-00000000-00000009-00001102-00000004-00511102}.rfx
31.05.2006 21:34 78.848 dcomcfg.exe
30.05.2006 23:04 176.128 imfdfcj.dll
30.05.2006 22:57 40.461 regperf.exe
30.05.2006 22:46 50.257 nvapps.xml
30.05.2006 01:21 98.304 CmdLineExt.dll
temp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4026-0787
Verzeichnis von C:\DOKUME~1\Benny\LOKALE~1\Temp
25.05.2006 22:36 100 0CF6E057.TMP
1 Datei(en) 100 Bytes
0 Verzeichnis(se), 1.936.064.512 Bytes frei
windows.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4026-0787
Verzeichnis von C:\WINDOWS
01.06.2006 13:13 757.729 WindowsUpdate.log
01.06.2006 13:06 0 0.log
01.06.2006 13:06 2.048 bootstat.dat
31.05.2006 21:51 13.526 SchedLgU.Txt
31.05.2006 21:50 23 BlendSettings.ini
30.05.2006 23:24 3.162.278 {00000002-00000000-00000009-00001102-00000004-00511102}.BAK
30.05.2006 23:24 3.162.278 {00000002-00000000-00000009-00001102-00000004-00511102}.CDF
30.05.2006 23:05 487 win.ini
30.05.2006 23:05 227 system.ini
30.05.2006 20:15 555.385 setupapi.log
30.05.2006 13:45 21.980 DirectX.log
30.05.2006 01:16 155 winamp.ini
25.05.2006 23:10 29.857 spupdsvc.log
25.05.2006 21:46 145.324 tsoc.log
25.05.2006 21:46 16.088 tabletoc.log
25.05.2006 21:46 389.851 iis6.log
c.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4026-0787
Verzeichnis von C:\
01.06.2006 13:28 0 sys.txt
01.06.2006 13:27 8.035 system.txt
01.06.2006 13:27 293 systemtemp.txt
01.06.2006 13:25 101.360 system32.txt
01.06.2006 13:06 1.572.864.000 pagefile.sys
30.05.2006 23:05 211 boot.ini
11.05.2006 21:47 32 csb.log
11.05.2006 21:04 47.564 NTDETECT.COM
11.05.2006 21:04 251.184 ntldr
11.05.2006 20:35 0 IO.SYS
11.05.2006 20:35 0 CONFIG.SYS
11.05.2006 20:35 0 AUTOEXEC.BAT
11.05.2006 20:35 0 MSDOS.SYS
Ich hoffe ich habe alles richitg angegeben und hoffe ihr könnt mir helfen!!
Dankeschön schonmal im voraus :-)