System entdeckt Spyware und verweist auf Windows Sec Center |
||
---|---|---|
#0
| ||
08.06.2006, 10:25
...neu hier
Beiträge: 8 |
||
|
||
08.06.2006, 13:53
Ehrenmitglied
Beiträge: 29434 |
#2
Chandler
titanshield http://virus-protect.org/artikel/spyware/titanshield.html -------------------------------------------------------------------------- 1. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) TitanShield Antispyware in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn 2. virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\adobepnl.dll poste den report -------------------------------------------------------------------------- 3. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 4. poste das Log vom Avenger, was erscheint 5. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)PC neustarten 5. SmitfraudFix http://virus-protect.org/artikel/tools/smitfrautfix.html entpacke es ( falls kein zip-Tool vorhanden ist: http://www.paehl.de/german.php -->SIMPLYZIP)auf dem Desktop . doppelklick smitfraudfix.cmd . schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt) . doppelklick smitfraudfix.cmd . schreibe: 2 . auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n] die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte... wenn der Scan beeendet ist, kopiere die Logfile ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.06.2006, 14:37
...neu hier
Themenstarter Beiträge: 8 |
#3
top!
herzlichen dank, dass sich jemand meiner annimmt! and here are the results... zu 1.) REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 08.06.2006 14:04:43 for strings: ; 'titanshield antispyware titanshield antispyware titanshield antispyware' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... zu 2.) diese datei gibts seit neustart zu 3.) nicht mehr... - ich sag ja: greenhorn!!! zu 3.) bzw. 4.) Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ujpdgaev ******************* Script file located at: \??\C:\Program Files\iapnohtp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\SYSTEM32\bridge.dll deleted successfully. File C:\WINDOWS\SYSTEM32\a.exe deleted successfully. File C:\WINDOWS\SYSTEM32\runsrv32.exe deleted successfully. File C:\WINDOWS\SYSTEM32\dailytoolbar.dll deleted successfully. File C:\WINDOWS\SYSTEM32\alxres.dll deleted successfully. File C:\WINDOWS\SYSTEM32\users32.exe deleted successfully. File C:\WINDOWS\SYSTEM32\lrf.dat deleted successfully. File C:\WINDOWS\SYSTEM32\wstart.dll deleted successfully. File C:\WINDOWS\SYSTEM32\ikhcore.log deleted successfully. File C:\WINDOWS\SYSTEM32\thlwin32.dll deleted successfully. File C:\WINDOWS\SYSTEM32\qjrkvy.exe deleted successfully. File C:\WINDOWS\SYSTEM32\winflash.dll deleted successfully. File C:\WINDOWS\SYSTEM32\adobepnl.dll deleted successfully. File C:\WINDOWS\SYSTEM32\udpmod.dll deleted successfully. File C:\WINDOWS\SYSTEM32\questmod.dll deleted successfully. File C:\WINDOWS\SYSTEM32\jao.dll deleted successfully. File C:\WINDOWS\SYSTEM32\txfdb32.dll deleted successfully. File C:\WINDOWS\SYSTEM32\runsrv32.dll deleted successfully. File C:\WINDOWS\SYSTEM32\tcpservice2.exe deleted successfully. File C:\WINDOWS\SYSTEM32\hexicuer.exe deleted successfully. File C:\WINDOWS\header_1.gif deleted successfully. File C:\WINDOWS\footer_back.jpg deleted successfully. File C:\WINDOWS\footer_back.gif deleted successfully. File C:\WINDOWS\features.gif deleted successfully. File C:\WINDOWS\download_box.gif deleted successfully. File C:\WINDOWS\button_freescan.gif deleted successfully. File C:\WINDOWS\button_buynow.gif deleted successfully. File C:\WINDOWS\box_3.gif deleted successfully. File C:\WINDOWS\box_2.gif deleted successfully. File C:\WINDOWS\box_1.gif deleted successfully. File C:\WINDOWS\bg.gif deleted successfully. File C:\WINDOWS\as_header.gif deleted successfully. File C:\WINDOWS\as.gif deleted successfully. File C:\WINDOWS\about_spyware_bottom.gif deleted successfully. File C:\WINDOWS\about_spyware_bg.gif deleted successfully. File C:\WINDOWS\dlmax.dll deleted successfully. File C:\WINDOWS\Pynix.dll deleted successfully. File C:\WINDOWS\BTGrab.dll deleted successfully. File C:\WINDOWS\alxtb1.dll deleted successfully. File C:\WINDOWS\alxie328.dll deleted successfully. File C:\WINDOWS\alexaie.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. und schliesslich zu 5.) logfile der infizierten dateien vom smitfraud: SmitFraudFix v2.56 Scan done at 14:31:55,93, 08.06.2006 Run from C:\Dokumente und Einstellungen\falko\Eigene Dateien\vexira\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS C:\WINDOWS\close-bar.gif FOUND ! C:\WINDOWS\infected.gif FOUND ! C:\WINDOWS\susp.exe FOUND ! C:\WINDOWS\star.gif FOUND ! C:\WINDOWS\warning-bar-ico.gif FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\falko\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\falko\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End und nach dem killing-process: SmitFraudFix v2.56 Scan done at 14:32:43,54, 08.06.2006 Run from C:\Dokumente und Einstellungen\falko\Eigene Dateien\vexira\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\close-bar.gif Deleted C:\WINDOWS\infected.gif Deleted C:\WINDOWS\star.gif Deleted C:\WINDOWS\susp.exe Deleted C:\WINDOWS\warning-bar-ico.gif Deleted »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End ich hoffe das wars jetzt! VIELEN DANK! erstmal... - oder kommt da noch was? viele grüße |
|
|
||
08.06.2006, 15:52
Ehrenmitglied
Beiträge: 29434 |
#4
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\2 scanne mit kaspersky und poste den Report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.06.2006, 09:43
...neu hier
Themenstarter Beiträge: 8 |
#5
hallo sabina...
zu 1.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\Programme Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\Dokumente und Einstellungen\falko\Lokale Einstellungen\Temp 09.06.2006 09:39 <DIR> . 09.06.2006 09:39 <DIR> .. 08.06.2006 12:04 <DIR> backups 08.06.2006 15:25 <DIR> hsperfdata_falko 09.06.2006 08:27 222 jusched.log 09.06.2006 08:40 <DIR> KAV Updater update files 09.06.2006 08:27 279 WCESCOMM.LOG 08.06.2006 14:48 256 WcesView.log 08.06.2006 14:16 16.384 ~DF3C9.tmp 09.06.2006 09:33 512 ~DFA358.tmp 09.06.2006 08:27 16.384 ~DFC489.tmp 6 Datei(en) 34.037 Bytes 5 Verzeichnis(se), 107.431.075.840 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\WINDOWS\Temp 09.06.2006 09:41 <DIR> . 09.06.2006 09:41 <DIR> .. 09.06.2006 08:27 30 CS1F41.tmp 09.06.2006 08:27 160 CS1F410.tmp 09.06.2006 08:27 5.568 CS1F411.tmp 09.06.2006 08:27 63.296 CS1F412.tmp 09.06.2006 08:27 180 CS1F413.tmp 09.06.2006 08:27 1.062 CS1F414.tmp 09.06.2006 08:27 126 CS1F415.tmp 09.06.2006 08:27 32 CS1F416.tmp 09.06.2006 08:27 934 CS1F417.tmp 09.06.2006 08:27 1.276.830 CS1F418.tmp 09.06.2006 08:27 913.962 CS1F419.tmp 09.06.2006 08:27 998.134 CS1F41A.tmp 09.06.2006 08:27 512.876 CS1F41B.tmp 09.06.2006 08:27 35.638 CS1F41C.tmp 09.06.2006 08:27 91.830 CS1F41D.tmp 09.06.2006 08:27 35.144 CS1F41E.tmp 09.06.2006 08:27 5.044 CS1F41F.tmp 09.06.2006 08:27 0 CS1F42.tmp 09.06.2006 08:27 168 CS1F420.tmp 09.06.2006 09:36 10 CS1F421.tmp 09.06.2006 09:36 726 CS1F422.tmp 09.06.2006 09:36 14 CS1F423.tmp 09.06.2006 09:36 30 CS1F424.tmp 09.06.2006 09:36 48 CS1F425.tmp 09.06.2006 09:36 450 CS1F426.tmp 09.06.2006 09:36 10 CS1F427.tmp 09.06.2006 09:36 672 CS1F428.tmp 09.06.2006 09:36 10 CS1F429.tmp 09.06.2006 09:36 10 CS1F42A.tmp 09.06.2006 09:36 506 CS1F42B.tmp 09.06.2006 09:36 572 CS1F42C.tmp 09.06.2006 09:36 766 CS1F42D.tmp 09.06.2006 09:36 10 CS1F42E.tmp 09.06.2006 09:36 10 CS1F42F.tmp 09.06.2006 08:27 0 CS1F43.tmp 09.06.2006 09:36 10 CS1F430.tmp 09.06.2006 09:36 466 CS1F431.tmp 09.06.2006 09:36 10 CS1F432.tmp 09.06.2006 09:36 10 CS1F433.tmp 09.06.2006 09:36 10 CS1F434.tmp 09.06.2006 09:36 10 CS1F435.tmp 09.06.2006 09:36 450 CS1F436.tmp 09.06.2006 09:36 10 CS1F437.tmp 09.06.2006 09:36 10 CS1F438.tmp 09.06.2006 09:36 10 CS1F439.tmp 09.06.2006 09:36 42 CS1F43A.tmp 09.06.2006 09:36 10 CS1F43B.tmp 09.06.2006 09:36 110 CS1F43C.tmp 09.06.2006 09:36 130 CS1F43D.tmp 09.06.2006 09:36 150 CS1F43E.tmp 09.06.2006 09:36 106 CS1F43F.tmp 09.06.2006 08:27 1.898.904 CS1F44.tmp 09.06.2006 09:27 632 CS1F440.tmp 09.06.2006 09:27 10 CS1F441.tmp 09.06.2006 09:27 846 CS1F442.tmp 09.06.2006 09:27 10 CS1F443.tmp 09.06.2006 09:27 10 CS1F444.tmp 09.06.2006 09:27 110 CS1F445.tmp 09.06.2006 09:27 932 CS1F446.tmp 09.06.2006 09:27 552 CS1F447.tmp 09.06.2006 09:27 762 CS1F448.tmp 09.06.2006 09:27 122 CS1F449.tmp 09.06.2006 09:27 30 CS1F44A.tmp 09.06.2006 09:27 48 CS1F44B.tmp 09.06.2006 09:27 34 CS1F44C.tmp 09.06.2006 09:27 10 CS1F44D.tmp 09.06.2006 09:27 558 CS1F44E.tmp 09.06.2006 09:27 48 CS1F44F.tmp 09.06.2006 08:28 1.143.806 CS1F45.tmp 09.06.2006 09:27 10 CS1F450.tmp 09.06.2006 09:27 72 CS1F451.tmp 09.06.2006 09:27 10 CS1F452.tmp 09.06.2006 09:27 108 CS1F453.tmp 09.06.2006 09:27 110 CS1F454.tmp 09.06.2006 09:27 152 CS1F455.tmp 09.06.2006 09:27 10 CS1F456.tmp 09.06.2006 09:27 10 CS1F457.tmp 09.06.2006 09:27 10 CS1F458.tmp 09.06.2006 09:27 10 CS1F459.tmp 09.06.2006 09:27 10 CS1F45A.tmp 09.06.2006 09:27 136 CS1F45B.tmp 09.06.2006 09:27 138 CS1F45C.tmp 09.06.2006 09:27 10 CS1F45D.tmp 09.06.2006 09:27 50 CS1F45E.tmp 09.06.2006 09:27 10 CS1F45F.tmp 09.06.2006 08:28 1.474.562 CS1F46.tmp 09.06.2006 09:27 10 CS1F460.tmp 09.06.2006 09:27 206 CS1F461.tmp 09.06.2006 09:27 10 CS1F462.tmp 09.06.2006 09:27 10 CS1F463.tmp 09.06.2006 09:27 10 CS1F464.tmp 09.06.2006 09:27 10 CS1F465.tmp 09.06.2006 08:28 80.360 CS1F47.tmp 09.06.2006 08:28 390.644 CS1F48.tmp 09.06.2006 08:27 22.032 CS1F49.tmp 09.06.2006 08:27 0 CS1F4A.tmp 09.06.2006 08:27 1.193.738 CS1F4B.tmp 09.06.2006 08:27 682 CS1F4C.tmp 09.06.2006 08:27 228 CS1F4D.tmp 09.06.2006 08:27 0 CS1F4E.tmp 09.06.2006 08:27 3.249 CS1F4F.tmp 09.06.2006 08:29 3.488 MpSigStub.log 102 Datei(en) 10.163.921 Bytes 2 Verzeichnis(se), 107.431.071.744 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\ zu 2.) Friday, June 09, 2006 9:40:55 AM Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.78.0 Kaspersky Anti-Virus database last update: 9/06/2006 Kaspersky Anti-Virus database records: 187427 Scan Settings Scan using the following antivirus database standard Scan Archives true Scan Mail Bases true Scan Target Folders C:\ Scan Statistics Total number of scanned objects 81956 Number of viruses found 3 Number of infected objects 7 Number of suspicious objects 0 Duration of the scan process 00:59:09 Infected Object Name Virus Name Last Action C:\avenger\backup.zip/avenger/adobepnl.dll Infected: not-virus:Hoax.Win32.Renos.dm skipped C:\avenger\backup.zip/avenger/users32.exe Infected: not-virus:Hoax.Win32.Renos.dk skipped C:\avenger\backup.zip ZIP: infected - 2 skipped C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP64\A0010737.exe Infected: not-virus:Hoax.Win32.Renos.dk skipped C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP64\A0010765.dll Infected: not-virus:Hoax.Win32.Renos.dm skipped C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP64\A0010786.exe Infected: not-virus:Hoax.Win32.Renos.dk skipped C:\WINDOWS\SYSTEM32\nwbxltxk.vld Infected: Trojan.Win32.Agent.qe skipped Scan process completed. ich hoffe, du kannst damit was anfangen... sonnige grüße und vielen dank! |
|
|
||
09.06.2006, 11:14
Ehrenmitglied
Beiträge: 29434 |
#6
1.
ich moechte bitte noch einmal die 4 Logs von datfindbat sehen, kopiere bitte auch den oberen Teil mit ab. (C:\Windows\System32 ) ...usw.... 2. loesche: C:\WINDOWS\SYSTEM32\nwbxltxk.vld 3. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 4. scanne mit Panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.06.2006, 11:40
...neu hier
Themenstarter Beiträge: 8 |
#7
1a.)
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\WINDOWS\SYSTEM32 08.06.2006 08:23 8 winlogon.ini 07.06.2006 09:56 1.170 WPA.DBL 17.05.2006 11:23 579.888 LegitCheckControl.dll 04.05.2006 06:26 5.818.784 MRT.exe 27.04.2006 17:49 288.417 SrchSTS.exe 03.04.2006 11:40 14.048 spmsg.dll 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 27.03.2006 08:00 311.604 PERFH009.DAT 27.03.2006 08:00 39.992 PERFC009.DAT 27.03.2006 08:00 316.594 PERFH007.DAT 27.03.2006 08:00 48.156 PERFC007.DAT 27.03.2006 08:00 723.750 PerfStringBackup.INI 23.03.2006 22:34 3.074.560 mshtml.dll 18.03.2006 13:09 615.424 urlmon.dll 17.03.2006 11:11 679.424 inetcomm.dll 17.03.2006 06:03 8.493.056 shell32.dll 17.03.2006 02:38 28.672 verclsid.exe 04.03.2006 05:34 664.064 wininet.dll 04.03.2006 05:34 474.624 shlwapi.dll 04.03.2006 05:34 39.424 pngfilt.dll 04.03.2006 05:34 448.512 mshtmled.dll 04.03.2006 05:34 146.432 msrating.dll 04.03.2006 05:34 532.480 mstime.dll 04.03.2006 05:34 96.768 inseng.dll 04.03.2006 05:34 1.056.256 danim.dll 04.03.2006 05:34 55.808 extmgr.dll 04.03.2006 05:34 205.312 dxtrans.dll 04.03.2006 05:34 251.392 iepeers.dll 04.03.2006 05:34 152.064 cdfview.dll 04.03.2006 05:34 1.022.976 browseui.dll 01.03.2006 21:43 66.560 mtxclu.dll 01.03.2006 21:43 91.136 mtxoci.dll 01.03.2006 21:43 11.776 xolehlp.dll 01.03.2006 21:43 161.280 msdtcuiu.dll 01.03.2006 21:43 956.416 msdtctm.dll 01.03.2006 21:43 426.496 msdtcprx.dll 1b.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\DOKUME~1\falko\LOKALE~1\Temp 09.06.2006 11:22 512 WcesView.log 09.06.2006 09:33 512 ~DFA358.tmp 09.06.2006 08:27 279 WCESCOMM.LOG 09.06.2006 08:27 16.384 ~DFC489.tmp 09.06.2006 08:27 222 jusched.log 08.06.2006 14:16 16.384 ~DF3C9.tmp 23.01.2006 15:36 429 datFind.bat 7 Datei(en) 34.722 Bytes 0 Verzeichnis(se), 107.350.573.056 Bytes frei 1c.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\WINDOWS 09.06.2006 08:34 1.812.621 WindowsUpdate.log 09.06.2006 08:27 0 0.LOG 09.06.2006 08:27 159 WIADEBUG.LOG 09.06.2006 08:27 50 WIASERVC.LOG 09.06.2006 08:27 2.048 BOOTSTAT.DAT 08.06.2006 16:19 32.626 SchedLgU.Txt 08.06.2006 16:00 663.596 setupapi.log 08.06.2006 14:33 218.040 SETUPACT.LOG 08.06.2006 09:19 770 WIN.INI 07.06.2006 09:49 19.893 WGA.log 07.06.2006 08:18 49 spacer.gif 07.06.2006 08:16 283 x.gif 07.06.2006 08:16 1.791 win_logo.gif 07.06.2006 08:16 3.877 warning_icon.gif 07.06.2006 08:16 291 v.gif 07.06.2006 08:16 2.374 ts_header.gif 07.06.2006 08:16 688 ts.gif 07.06.2006 08:16 550 star_small.gif 07.06.2006 08:16 223 star_gray_small.gif 07.06.2006 08:16 425 star_gray.gif 07.06.2006 08:16 6.399 spyware-detected.gif 07.06.2006 08:16 963 spacer.gif' 07.06.2006 08:16 53 sep_vert.gif 07.06.2006 08:16 65 sep_hor.gif 07.06.2006 08:16 6.695 security_center_caption.gif 07.06.2006 08:16 10.809 security-center-logo.gif 07.06.2006 08:16 177 security-center-bg.gif 07.06.2006 08:16 2.735 scan_btn.gif 07.06.2006 08:16 2.271 rf_header.gif 07.06.2006 08:16 611 rf.gif 07.06.2006 08:16 215 main_back.gif 07.06.2006 08:16 11.077 header_4.gif 07.06.2006 08:16 10.193 header_3.gif 07.06.2006 08:16 15.421 header_2.gif 06.06.2006 15:29 102.282 wmsetup.log 10.05.2006 16:43 620.152 IIS6.LOG 10.05.2006 16:43 183.249 COMSETUP.LOG 10.05.2006 16:43 110.805 ntdtcsetup.log 10.05.2006 16:43 1.374 imsins.log 10.05.2006 16:43 243.133 TSOC.LOG 10.05.2006 16:43 26.704 TABLETOC.LOG 10.05.2006 16:43 26.628 OCMSN.LOG 10.05.2006 16:43 12.153 KB913580.log 10.05.2006 16:43 90.195 NETFXOCM.LOG 10.05.2006 16:43 27.602 medctroc.Log 10.05.2006 16:43 263.816 OCGEN.LOG 10.05.2006 16:43 26.121 MSGSOCM.LOG 10.05.2006 16:43 511.067 FaxSetup.log 10.05.2006 16:43 169.356 MSMQINST.LOG 10.05.2006 16:43 27.980 updspapi.log 26.04.2006 17:56 1.374 imsins.BAK 26.04.2006 17:56 11.159 KB900485.log 21.04.2006 12:51 59 LTDLG13N.INI 18.04.2006 08:39 21.911 KB908531.log 18.04.2006 08:39 21.081 KB911562.log 18.04.2006 08:38 18.714 KB912812.log 18.04.2006 08:37 11.892 KB911567.log 28.03.2006 15:10 415.664 ntbtlog.txt 1d.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\ 09.06.2006 11:25 0 sys.txt 09.06.2006 11:24 12.511 system.txt 09.06.2006 11:24 588 systemtemp.txt 09.06.2006 11:23 110.603 system32.txt 09.06.2006 09:41 23.788 files.txt 09.06.2006 08:27 534.827.008 hiberfil.sys 09.06.2006 08:27 805.306.368 pagefile.sys 08.06.2006 14:33 1.059 rapport.txt 08.06.2006 14:15 5.568 avenger.txt 04.04.2006 14:57 7.241 wiederhergestelltes Dokument .txt 04.04.2006 14:57 33.949 wiederhergestelltes Dokument.txt 17.02.2006 11:39 0 DBS.TXT panda-report: Incident Status Location Adware:Adware/TitanShield Not disinfected C:\avenger\backup.zip[avenger/users32.exe] Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@2o7[2].txt Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@adtech[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@as-eu.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@as1.falkag[2].txt Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@counter6.sextracker[1].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@doubleclick[1].txt Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@hitbox[2].txt Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@mediaplex[1].txt Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@serving-sys[1].txt Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\falko\Cookies\falko@sextracker[2].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\falko\Eigene Dateien\Entferner für SpyAxe\smitRem\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\falko\Eigene Dateien\Entferner für SpyAxe\smitRem.exe[smitRem/Process.exe] Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\falko\Eigene Dateien\vexira\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\falko\Eigene Dateien\vexira\SmitfraudFix\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected und nun? |
|
|
||
09.06.2006, 13:23
Ehrenmitglied
Beiträge: 29434 |
#8
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ....... Zitat C:\WINDOWS\spacer.gifpc neustarten ** C:\avenger\backup.zip -> loeschen ** look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip ** HijackThis (Uninstall Manager) *öffne HijackThis *click Config - Misc Tools - "Open Uninstall Manager" - "Save List" (generates uninstall_list.txt) *click - Save - *nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.06.2006, 13:42
...neu hier
Themenstarter Beiträge: 8 |
#9
look.txt:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\Dokumente und Einstellungen\falko\Anwendungsdaten 01.11.2005 08:31 <DIR> Adobe 16.02.2006 08:23 <DIR> AdobeUM 12.02.2005 11:39 <DIR> CYBERL~1 CyberLink 16.06.2004 09:47 0 dm.ini 29.06.2004 09:37 51.120 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT 17.06.2004 12:45 <DIR> Help 02.06.2004 20:46 <DIR> IDENTI~1 Identities 28.12.2005 18:42 273.334 Install.dat 09.10.2004 09:28 <DIR> Jasc 02.06.2004 21:20 <DIR> JASCSO~1 Jasc Software Inc 17.08.2005 10:07 <DIR> Lavasoft 15.06.2004 15:30 <DIR> LEADER~1 Leadertech 18.06.2004 07:27 <DIR> MACROM~1 Macromedia 27.03.2006 15:02 <DIR> McAfee.com 15.06.2004 15:07 <DIR> NEMETS~1 Nemetschek 28.09.2005 13:32 <DIR> PDFCRE~1 PDFCreator 03.11.2004 13:55 <DIR> SmartFTP 15.06.2004 15:31 <DIR> Sonic 02.06.2004 21:15 <DIR> Sun 06.09.2004 15:55 <DIR> Symantec 08.06.2006 09:19 <DIR> Webroot 3 Datei(en) 324.454 Bytes 18 Verzeichnis(se), 109.212.139.520 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 15.02.2006 14:16 <DIR> Adobe 24.03.2006 16:16 <DIR> McAfee.com 17.06.2004 14:51 <DIR> NEMETS~1 Nemetschek 02.06.2004 21:16 <DIR> SBSI 08.06.2006 09:19 <DIR> SPYBOT~1 Spybot - Search & Destroy 24.03.2006 11:53 <DIR> Symantec 13.08.2005 13:55 <DIR> WINDOW~1 Windows Genuine Advantage 0 Datei(en) 0 Bytes 7 Verzeichnis(se), 109.212.139.520 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\WINDOWS\tasks 29.08.2002 06:00 65 DESKTOP.INI 09.06.2006 13:37 362 MP Scheduled Scan.job 09.06.2006 13:34 6 SA.DAT 08.06.2006 16:00 396 {47D04EC2-2A14-42E9-8259-D382C6697982}_BBMEMBER1_falko.job 09.06.2006 09:00 396 {8A53BAA0-1057-480B-B1C6-2F2522A42FC4}_BBMEMBER1_falko.job 05.05.2006 16:00 396 {9043C52A-075A-49C5-88B4-030F4725499F}_BBMEMBER1_falko.job 6 Datei(en) 1.621 Bytes 0 Verzeichnis(se), 109.212.139.520 Bytes frei gibts licht am ende des tunnels??? vielen dank! |
|
|
||
09.06.2006, 14:48
Ehrenmitglied
Beiträge: 29434 |
#10
poste die 4 logs von datfindbat...ich schaue nach, wie es steht
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.06.2006, 19:42
...neu hier
Beiträge: 1 |
#11
Hallo
Ich hab den selben (ich schätze mal) Virus. Sollte das Problem gelöst sein würde ich mich bedanken wenn die schnellste Variante dann nochmal genau beschrieben wird, da ich erst nächste Woche wieder online bin. Dankeschön vielmals vorraus. cYa aspi |
|
|
||
11.06.2006, 20:05
Ehrenmitglied
Beiträge: 29434 |
#12
aspecter
arbeite das ab: http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.06.2006, 10:14
...neu hier
Themenstarter Beiträge: 8 |
#13
guten morgen sabina...
ok, hier die datfindbat-logs: 1.) 12.06.2006 08:35 1.170 WPA.DBL 09.06.2006 11:35 0 asfiles.txt 09.06.2006 11:32 2.550 Uninstall.ico 09.06.2006 11:32 1.406 Help.ico 09.06.2006 11:32 30.590 pavas.ico 08.06.2006 08:23 8 winlogon.ini 17.05.2006 11:23 579.888 LegitCheckControl.dll 04.05.2006 06:26 5.818.784 MRT.exe 27.04.2006 17:49 288.417 SrchSTS.exe 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 11:40 14.048 spmsg.dll 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 27.03.2006 08:00 316.594 PERFH007.DAT 27.03.2006 08:00 311.604 PERFH009.DAT 27.03.2006 08:00 39.992 PERFC009.DAT 27.03.2006 08:00 48.156 PERFC007.DAT 27.03.2006 08:00 723.750 PerfStringBackup.INI 23.03.2006 22:34 3.074.560 mshtml.dll 18.03.2006 13:09 615.424 urlmon.dll 17.03.2006 11:11 679.424 inetcomm.dll 17.03.2006 06:03 8.493.056 shell32.dll 17.03.2006 02:38 28.672 verclsid.exe 04.03.2006 05:34 664.064 wininet.dll 04.03.2006 05:34 474.624 shlwapi.dll 04.03.2006 05:34 532.480 mstime.dll 04.03.2006 05:34 39.424 pngfilt.dll 04.03.2006 05:34 146.432 msrating.dll 04.03.2006 05:34 448.512 mshtmled.dll 04.03.2006 05:34 55.808 extmgr.dll 04.03.2006 05:34 1.056.256 danim.dll 04.03.2006 05:34 96.768 inseng.dll 04.03.2006 05:34 251.392 iepeers.dll 04.03.2006 05:34 205.312 dxtrans.dll 04.03.2006 05:34 1.022.976 browseui.dll 04.03.2006 05:34 152.064 cdfview.dll 01.03.2006 21:43 426.496 msdtcprx.dll 01.03.2006 21:43 66.560 mtxclu.dll 01.03.2006 21:43 91.136 mtxoci.dll 01.03.2006 21:43 11.776 xolehlp.dll 01.03.2006 21:43 161.280 msdtcuiu.dll 01.03.2006 21:43 956.416 msdtctm.dll 2.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\DOKUME~1\falko\LOKALE~1\Temp 12.06.2006 10:06 14.848 ~WRS0003.tmp 12.06.2006 09:58 512 ~DFB0B6.tmp 12.06.2006 08:36 896 WcesView.log 12.06.2006 08:35 279 WCESCOMM.LOG 12.06.2006 08:35 16.384 ~DFAD78.tmp 12.06.2006 08:35 666 jusched.log 09.06.2006 13:34 16.384 ~DFA23F.tmp 09.06.2006 13:26 16.384 ~DFE127.tmp 09.06.2006 08:27 16.384 ~DFC489.tmp 08.06.2006 14:16 16.384 ~DF3C9.tmp 08.02.2006 03:02 73.728 KillBox.exe 23.01.2006 15:36 429 datFind.bat 12 Datei(en) 173.278 Bytes 0 Verzeichnis(se), 109.196.845.056 Bytes frei 3.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\WINDOWS 12.06.2006 08:55 1.834.061 WindowsUpdate.log 12.06.2006 08:35 0 0.LOG 12.06.2006 08:35 159 WIADEBUG.LOG 12.06.2006 08:35 50 WIASERVC.LOG 12.06.2006 08:35 2.048 BOOTSTAT.DAT 09.06.2006 14:19 32.626 SchedLgU.Txt 09.06.2006 11:35 829 WIN.INI 09.06.2006 11:33 686.096 setupapi.log 08.06.2006 14:33 218.040 SETUPACT.LOG 07.06.2006 09:49 19.893 WGA.log 07.06.2006 08:16 963 spacer.gif' 06.06.2006 15:29 102.282 wmsetup.log 10.05.2006 16:43 620.152 IIS6.LOG 10.05.2006 16:43 183.249 COMSETUP.LOG 10.05.2006 16:43 110.805 ntdtcsetup.log 10.05.2006 16:43 243.133 TSOC.LOG 10.05.2006 16:43 1.374 imsins.log 10.05.2006 16:43 26.704 TABLETOC.LOG 10.05.2006 16:43 26.628 OCMSN.LOG 10.05.2006 16:43 12.153 KB913580.log 10.05.2006 16:43 90.195 NETFXOCM.LOG 10.05.2006 16:43 27.602 medctroc.Log 10.05.2006 16:43 263.816 OCGEN.LOG 10.05.2006 16:43 26.121 MSGSOCM.LOG 10.05.2006 16:43 511.067 FaxSetup.log 10.05.2006 16:43 169.356 MSMQINST.LOG 10.05.2006 16:43 27.980 updspapi.log 26.04.2006 17:56 1.374 imsins.BAK 26.04.2006 17:56 11.159 KB900485.log 21.04.2006 12:51 59 LTDLG13N.INI 18.04.2006 08:39 21.911 KB908531.log 18.04.2006 08:39 21.081 KB911562.log 18.04.2006 08:38 18.714 KB912812.log 18.04.2006 08:37 11.892 KB911567.log 28.03.2006 15:10 415.664 ntbtlog.txt 4.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\ 12.06.2006 10:14 0 sys.txt 12.06.2006 10:13 11.328 system.txt 12.06.2006 10:13 834 systemtemp.txt 12.06.2006 10:12 110.942 system32.txt 12.06.2006 08:35 534.827.008 hiberfil.sys 12.06.2006 08:35 805.306.368 pagefile.sys 09.06.2006 13:38 2.899 look.txt 09.06.2006 09:41 23.788 files.txt 08.06.2006 14:33 1.059 rapport.txt 08.06.2006 14:15 5.568 avenger.txt 04.04.2006 14:57 7.241 wiederhergestelltes Dokument .txt 04.04.2006 14:57 33.949 wiederhergestelltes Dokument.txt sonnige grüße |
|
|
||
12.06.2006, 11:49
Ehrenmitglied
Beiträge: 29434 |
#14
Chandler
kopiere in den avenger: Zitat Files to delete:gruene ampel klicken, PC neustarten loesche alles, was noch da ist unter:C:\WINDOWS\Temp\ loesche alle C:\avenger\backup.zip, die es gibt aktiviere wieder die systemwiederherstellung und poste noch mal die 4 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.06.2006, 12:22
...neu hier
Themenstarter Beiträge: 8 |
#15
hmmm blöd.
er löscht die dateien in C:/WINDOWS/Temp nicht... - werden angeblich an anderer Stelle gerade benutzt... datfindbat: 1.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\WINDOWS\SYSTEM32 12.06.2006 12:06 6.042 lpjddacl.txt 12.06.2006 08:35 1.170 WPA.DBL 09.06.2006 11:35 0 asfiles.txt 09.06.2006 11:32 2.550 Uninstall.ico 09.06.2006 11:32 1.406 Help.ico 09.06.2006 11:32 30.590 pavas.ico 17.05.2006 11:23 579.888 LegitCheckControl.dll 04.05.2006 06:26 5.818.784 MRT.exe 27.04.2006 17:49 288.417 SrchSTS.exe 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 11:40 14.048 spmsg.dll 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 27.03.2006 08:00 316.594 PERFH007.DAT 27.03.2006 08:00 39.992 PERFC009.DAT 27.03.2006 08:00 311.604 PERFH009.DAT 27.03.2006 08:00 48.156 PERFC007.DAT 27.03.2006 08:00 723.750 PerfStringBackup.INI 23.03.2006 22:34 3.074.560 mshtml.dll 18.03.2006 13:09 615.424 urlmon.dll 17.03.2006 11:11 679.424 inetcomm.dll 17.03.2006 06:03 8.493.056 shell32.dll 17.03.2006 02:38 28.672 verclsid.exe 04.03.2006 05:34 664.064 wininet.dll 04.03.2006 05:34 474.624 shlwapi.dll 04.03.2006 05:34 532.480 mstime.dll 04.03.2006 05:34 39.424 pngfilt.dll 04.03.2006 05:34 146.432 msrating.dll 04.03.2006 05:34 448.512 mshtmled.dll 04.03.2006 05:34 251.392 iepeers.dll 04.03.2006 05:34 96.768 inseng.dll 04.03.2006 05:34 1.056.256 danim.dll 04.03.2006 05:34 55.808 extmgr.dll 04.03.2006 05:34 205.312 dxtrans.dll 04.03.2006 05:34 1.022.976 browseui.dll 04.03.2006 05:34 152.064 cdfview.dll 01.03.2006 21:43 956.416 msdtctm.dll 01.03.2006 21:43 91.136 mtxoci.dll 01.03.2006 21:43 11.776 xolehlp.dll 01.03.2006 21:43 161.280 msdtcuiu.dll 01.03.2006 21:43 426.496 msdtcprx.dll 01.03.2006 21:43 66.560 mtxclu.dll 2.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\DOKUME~1\falko\LOKALE~1\Temp 12.06.2006 12:16 2.048 WcesView.log 12.06.2006 12:07 279 WCESCOMM.LOG 12.06.2006 12:07 16.384 ~DFAFAB.tmp 12.06.2006 12:07 1.332 jusched.log 12.06.2006 11:59 16.384 ~DFAD69.tmp 12.06.2006 11:54 16.384 ~DF9D81.tmp 12.06.2006 11:54 533 pcf2.tmp 12.06.2006 08:35 16.384 ~DFAD78.tmp 09.06.2006 13:34 16.384 ~DFA23F.tmp 09.06.2006 13:26 16.384 ~DFE127.tmp 09.06.2006 08:27 16.384 ~DFC489.tmp 08.06.2006 14:16 16.384 ~DF3C9.tmp 25.02.2006 23:28 130.048 avenger.exe 08.02.2006 03:02 73.728 KillBox.exe 23.01.2006 15:36 429 datFind.bat 15 Datei(en) 339.469 Bytes 0 Verzeichnis(se), 109.211.537.408 Bytes frei 3.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\WINDOWS 12.06.2006 12:13 1.847.048 WindowsUpdate.log 12.06.2006 12:07 0 0.LOG 12.06.2006 12:07 159 WIADEBUG.LOG 12.06.2006 12:07 50 WIASERVC.LOG 12.06.2006 12:07 2.048 BOOTSTAT.DAT 12.06.2006 12:06 32.626 SchedLgU.Txt 09.06.2006 11:35 829 WIN.INI 09.06.2006 11:33 686.096 setupapi.log 08.06.2006 14:33 218.040 SETUPACT.LOG 07.06.2006 09:49 19.893 WGA.log 06.06.2006 15:29 102.282 wmsetup.log 10.05.2006 16:43 620.152 IIS6.LOG 10.05.2006 16:43 183.249 COMSETUP.LOG 10.05.2006 16:43 110.805 ntdtcsetup.log 10.05.2006 16:43 243.133 TSOC.LOG 10.05.2006 16:43 1.374 imsins.log 10.05.2006 16:43 26.704 TABLETOC.LOG 10.05.2006 16:43 26.628 OCMSN.LOG 10.05.2006 16:43 12.153 KB913580.log 10.05.2006 16:43 90.195 NETFXOCM.LOG 10.05.2006 16:43 27.602 medctroc.Log 10.05.2006 16:43 263.816 OCGEN.LOG 10.05.2006 16:43 26.121 MSGSOCM.LOG 10.05.2006 16:43 511.067 FaxSetup.log 10.05.2006 16:43 169.356 MSMQINST.LOG 10.05.2006 16:43 27.980 updspapi.log 26.04.2006 17:56 1.374 imsins.BAK 26.04.2006 17:56 11.159 KB900485.log 21.04.2006 12:51 59 LTDLG13N.INI 18.04.2006 08:39 21.911 KB908531.log 18.04.2006 08:39 21.081 KB911562.log 18.04.2006 08:38 18.714 KB912812.log 18.04.2006 08:37 11.892 KB911567.log 28.03.2006 15:10 415.664 ntbtlog.txt 4.) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC50-7486 Verzeichnis von C:\ 12.06.2006 12:21 0 sys.txt 12.06.2006 12:21 11.279 system.txt 12.06.2006 12:21 977 systemtemp.txt 12.06.2006 12:20 110.942 system32.txt 12.06.2006 12:07 534.827.008 hiberfil.sys 12.06.2006 12:07 805.306.368 pagefile.sys 12.06.2006 12:07 588 avenger.txt 09.06.2006 13:38 2.899 look.txt 09.06.2006 09:41 23.788 files.txt 08.06.2006 14:33 1.059 rapport.txt 04.04.2006 14:57 7.241 wiederhergestelltes Dokument .txt 04.04.2006 14:57 33.949 wiederhergestelltes Dokument.txt grüße |
|
|
||
mein erster besuch hier, greenhorn...
also, seit gestern morgen hab ich folgendes problem:
aus der taskleiste unten rechts öffnet sich langsam ein fenster und berichtet, dass der pc mit spyware infiziert ist, ich solle auf die security-center-page gehen und mir da natürlich gegen bezahlung einen spyware-schutz runterladen.
alles in englisch...
hab McAfee als schutz, der findet aber nix. hab ad-aware personal se drüberlaufen lassen, auch ohne erfolg, ebenso spybot.
ab und an öffnet sich ein fenster mit dem hinweis: "Danger: possible virus or spyware infection - "und dann immer unterschiedliche dateinamen...
da ich jetzt viel gelesen hab, kopier ich mal das hijackthis-file hierher und hoffe auf jemanden, der mir helfen kann...
...irgendwie wars ja klar, der sommer kommt, und ich quäl mich hier mit so nem schiess rum... - jeder wie ers verdient!
also, danke im voraus!
hier das hijackthis-file:
Logfile of HijackThis v1.99.1
Scan saved at 10:25:08, on 08.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\Programme\Dell AIO Printer A920\dlbkbmon.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WinZip\WZQKPICK.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\users32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\falko\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINDOWS\system32\qjrkvy.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: titanshield.lnk = C:\Programme\TitanShield Antispyware\titanshield.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://www.amiuptodate.com/vsc/bin/1,0,0,9/McUpdatePortal.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www3.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{70D7BCF8-DCE9-48F2-8909-42C8067B1E90}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{70D7BCF8-DCE9-48F2-8909-42C8067B1E90}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{70D7BCF8-DCE9-48F2-8909-42C8067B1E90}: NameServer = 192.168.0.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
grüße aus hessen
ähem..., das hier fehlt wohl auch noch den großen meistern, um das problem zu lokalisieren...:
1.)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC50-7486
Verzeichnis von C:\WINDOWS\SYSTEM32
08.06.2006 09:21 19.200 bridge.dll
08.06.2006 09:21 10.752 a.exe
08.06.2006 09:21 17.920 runsrv32.exe
08.06.2006 09:21 29.440 dailytoolbar.dll
08.06.2006 09:21 14.080 alxres.dll
08.06.2006 09:21 67.072 users32.exe
08.06.2006 08:23 0 lrf.dat
08.06.2006 08:23 23.040 wstart.dll
08.06.2006 08:23 8 winlogon.ini
07.06.2006 17:08 534 ikhcore.log
07.06.2006 09:56 1.170 WPA.DBL
07.06.2006 08:18 4 thlwin32.dll
07.06.2006 08:18 13.312 qjrkvy.exe
07.06.2006 08:18 13.312 winflash.dll
07.06.2006 08:16 30.720 adobepnl.dll
07.06.2006 08:16 23.040 udpmod.dll
07.06.2006 08:16 28.160 questmod.dll
07.06.2006 08:16 13.568 jao.dll
07.06.2006 08:16 17.152 txfdb32.dll
07.06.2006 08:16 9.472 runsrv32.dll
07.06.2006 08:16 22.016 tcpservice2.exe
07.06.2006 08:16 8.704 hexicuer.exe
17.05.2006 11:23 579.888 LegitCheckControl.dll
04.05.2006 06:26 5.818.784 MRT.exe
03.04.2006 11:40 14.048 spmsg.dll
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
27.03.2006 08:00 316.594 PERFH007.DAT
27.03.2006 08:00 311.604 PERFH009.DAT
27.03.2006 08:00 39.992 PERFC009.DAT
27.03.2006 08:00 48.156 PERFC007.DAT
27.03.2006 08:00 723.750 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 11.776 xolehlp.dll
2.)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC50-7486
Verzeichnis von C:\DOKUME~1\falko\LOKALE~1\Temp
08.06.2006 09:34 32.768 ~DF7DA4.tmp
08.06.2006 08:17 16.384 ~DFC856.tmp
23.01.2006 15:36 429 datFind.bat
3 Datei(en) 49.581 Bytes
0 Verzeichnis(se), 107.491.680.256 Bytes frei
3.)
07.06.2006 08:16 25.023 header_1.gif
07.06.2006 08:16 2.922 footer_back.jpg
07.06.2006 08:16 2.306 footer_back.gif
07.06.2006 08:16 592 features.gif
07.06.2006 08:16 2.238 download_box.gif
07.06.2006 08:16 1.768 button_freescan.gif
07.06.2006 08:16 1.682 button_buynow.gif
07.06.2006 08:16 11.602 box_3.gif
07.06.2006 08:16 12.019 box_2.gif
07.06.2006 08:16 5.741 box_1.gif
07.06.2006 08:16 72 bg.gif
07.06.2006 08:16 2.695 as_header.gif
07.06.2006 08:16 847 as.gif
07.06.2006 08:16 372 about_spyware_bottom.gif
07.06.2006 08:16 110 about_spyware_bg.gif
07.06.2006 08:16 15.872 dlmax.dll
07.06.2006 08:16 14.848 Pynix.dll
07.06.2006 08:16 29.696 BTGrab.dll
07.06.2006 08:16 24.832 alxtb1.dll
07.06.2006 08:16 8.448 alxie328.dll
07.06.2006 08:16 31.488 alexaie.dll
06.06.2006 15:29 102.282 wmsetup.log
10.05.2006 16:43 620.152 IIS6.LOG
10.05.2006 16:43 183.249 COMSETUP.LOG
10.05.2006 16:43 110.805 ntdtcsetup.log
10.05.2006 16:43 243.133 TSOC.LOG
10.05.2006 16:43 1.374 imsins.log
10.05.2006 16:43 26.704 TABLETOC.LOG
10.05.2006 16:43 26.628 OCMSN.LOG
10.05.2006 16:43 12.153 KB913580.log
10.05.2006 16:43 90.195 NETFXOCM.LOG
10.05.2006 16:43 27.602 medctroc.Log
10.05.2006 16:43 263.816 OCGEN.LOG
10.05.2006 16:43 26.121 MSGSOCM.LOG
10.05.2006 16:43 511.067 FaxSetup.log
10.05.2006 16:43 169.356 MSMQINST.LOG
10.05.2006 16:43 27.980 updspapi.log
26.04.2006 17:56 1.374 imsins.BAK
26.04.2006 17:56 11.159 KB900485.log
21.04.2006 12:51 59 LTDLG13N.INI
18.04.2006 08:39 21.911 KB908531.log
18.04.2006 08:39 21.081 KB911562.log
18.04.2006 08:38 18.714 KB912812.log
18.04.2006 08:37 11.892 KB911567.log
28.03.2006 15:10 415.664 ntbtlog.txt
4.)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC50-7486
Verzeichnis von C:\
08.06.2006 10:58 0 sys.txt
08.06.2006 10:58 13.869 system.txt
08.06.2006 10:57 391 systemtemp.txt
08.06.2006 10:55 111.389 system32.txt
08.06.2006 08:17 534.827.008 hiberfil.sys
08.06.2006 08:17 805.306.368 pagefile.sys
04.04.2006 14:57 7.241 wiederhergestelltes Dokument .txt
04.04.2006 14:57 33.949 wiederhergestelltes Dokument.txt
ich hoffe, das beschleunigt die lösung...
ich werde den retter auf jeden fall heute abend in meine gebete einschliessen!!!