Probleme mit Antispywarebox

#1 Ich habe mir heute die Antispywarebox eingefangen und habe in diesem Forum auch schon verschiedene Posts zu ähnlichen Programmen gefunden. Leider versteh ich die größten Teile der dort beschriebenen Anleitungen nicht wirklich, bin nicht so fit auf dem Gebiet. Könnte mir bitte jemand helfen?
Danke schon mal im Vorraus.
Hannes

#2 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Auch ich habe seit 06.06.06 diesen "Antispywarebox" "Zwangsablauf" und habe mit Spybox und Antivir keinen erfolg gehabt. Da ich mich auch nicht so gut auskenne benötige ich Hilfe und bitte Euch darum.

Hier der Scan von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 09:09:39, on 11.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\system32\users32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Berthold\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://80.132.190.233:12000/plugin/h263ctrl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

#4 Baudi

poste alle diese logs, am besten als Anhang (siehe unten)
http://virus-protect.org/completbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Bis hier schon einmal vielen Dank!

#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\warning-bar-ico.gif
C:\WINDOWS\close-bar.gif
C:\WINDOWS\susp.exe
C:\WINDOWS\SYSTEM.UNV
C:\WINDOWS\security-center-logo.gif
C:\WINDOWS\security_center_caption.gif
C:\WINDOWS\security-center-bg.gif
C:\WINDOWS\about_spyware_bg.gif
C:\WINDOWS\spyware-detected.gif
C:\WINDOWS\about_spyware_bottom.gif
C:\WINDOWS\spacer.gif
C:\WINDOWS\x.gif
C:\WINDOWS\win_logo.gif
C:\WINDOWS\warning_icon.gif
C:\WINDOWS\v.gif
C:\WINDOWS\ts_header.gif
C:\WINDOWS\ts.gif
C:\WINDOWS\star_small.gif
C:\WINDOWS\star_gray_small.gif
C:\WINDOWS\star_gray.gif
C:\WINDOWS\star.gif
C:\WINDOWS\spacer.gif'
C:\WINDOWS\sep_vert.gif
C:\WINDOWS\sep_hor.gif
C:\WINDOWS\scan_btn.gif
C:\WINDOWS\rf_header.gif
C:\WINDOWS\rf.gif
C:\WINDOWS\main_back.gif
C:\WINDOWS\infected.gif
C:\WINDOWS\header_4.gif
C:\WINDOWS\header_3.gif
C:\WINDOWS\header_2.gif
C:\WINDOWS\header_1.gif
C:\WINDOWS\footer_back.jpg
C:\WINDOWS\footer_back.gif
C:\WINDOWS\features.gif
C:\WINDOWS\download_box.gif
C:\WINDOWS\button_freescan.gif
C:\WINDOWS\button_buynow.gif
C:\WINDOWS\box_3.gif
C:\WINDOWS\box_2.gif
C:\WINDOWS\box_1.gif
C:\WINDOWS\bg.gif
C:\WINDOWS\as_header.gif
C:\WINDOWS\as.gif
C:\WINDOWS\dlmax.dll
C:\WINDOWS\Pynix.dll
C:\WINDOWS\BTGrab.dll
C:\WINDOWS\ZServ.dll
C:\WINDOWS\alxtb1.dll
C:\WINDOWS\alxie328.dll
C:\WINDOWS\alexaie.dll
C:\WINDOWS\system32\users32.exe
C:\WINDOWS\system32\runsrv32.exe
C:\WINDOWS\system32\0,3220178
C:\WINDOWS\system320,793255
C:\WINDOWS\system32\lrf.dat
C:\WINDOWS\system32\3,266543E-02
C:\WINDOWS\system32\winlogon.ini
C:\WINDOWS\system32\lud.dat
C:\WINDOWS\system32\scngcf.dat
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\tcpservice2.exe
C:\WINDOWS\system32\thlwin32.dll
C:\WINDOWS\system32\winflash.dll
C:\WINDOWS\system32\qjrkvy.exe
C:\WINDOWS\system32\adobepnl.dll
C:\WINDOWS\system32\udpmod.dll
C:\WINDOWS\system32\questmod.dll
C:\WINDOWS\system32\jao.dll
C:\WINDOWS\system32\bridge.dll
C:\WINDOWS\system32\txfdb32.dll
C:\WINDOWS\system32\runsrv32.dll
C:\WINDOWS\system32\wstart.dll
C:\WINDOWS\system32\dailytoolbar.dll
C:\WINDOWS\system32\alxres.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://80.132.190.233:12000/plugin/h263ctrl.cab

PC neustarten

**
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files\SpySheriff" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Dokumente und Einstellungen\Berthold\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
notepad files.txt

**
poste noch mal die completbat-Logs


«
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,
Im Anhang meine logs von datfind.
Vielen Dank schon mal,
Hannes

#8 muehltal

es fehlt das erste log von C:\WINDOWS\system32\ , oder vielleicht hast du auch nur den Pfad vergessen, mit abzukopieren ????
erst wenn ich das habe, beginnt die reinigung

---------------------------------------------------------------------
Verzeichnis von C:\WINDOWS\system32

13.06.2006 10:50 963 0,4311945
13.06.2006 10:50 963 0,2250025
13.06.2006 10:50 963 0,1891291
13.06.2006 10:47 963 0,4488794
13.06.2006 10:46 963 0,6299097
13.06.2006 10:46 963 0,9038355
13.06.2006 10:39 963 0,4978907
13.06.2006 10:35 963 0,6063806
13.06.2006 10:35 963 0,9748957
13.06.2006 10:24 963 2,680606E-02
13.06.2006 10:22 963 0,96896
13.06.2006 10:14 963 0,5936853
13.06.2006 10:09 963 0,1240045
13.06.2006 09:59 963 0,8214838
13.06.2006 09:52 963 0,3176844
13.06.2006 09:50 963 0,341305
13.06.2006 09:49 963 5,929202E-02
13.06.2006 09:43 963 0,9006464
13.06.2006 09:42 963 0,27232
13.06.2006 09:38 963 2,895534E-03
13.06.2006 09:38 963 0,9213373
13.06.2006 09:38 963 0,8389093
13.06.2006 09:36 963 0,6966211
13.06.2006 09:36 963 0,6313745
13.06.2006 09:36 963 0,2938196
13.06.2006 09:32 963 0,5230524
13.06.2006 09:31 963 0,4228327
13.06.2006 09:26 963 0,1506311
13.06.2006 00:21 963 0,3887903
13.06.2006 00:16 963 0,4297602
13.06.2006 00:15 963 0,2921411
13.06.2006 00:12 963 1,032656E-02
13.06.2006 00:10 963 0,4621698
13.06.2006 00:08 963 scngcf.dat
13.06.2006 00:08 963 0,1293604
13.06.2006 00:08 8 lud.dat
13.06.2006 00:08 0 lrf.dat
13.06.2006 00:08 8 winlogon.ini
09.06.2006 23:01 4 thlwin32.dll
09.06.2006 22:59 13.312 winflash.dll
09.06.2006 22:59 13.312 qjrkvy.exe
09.06.2006 22:57 14.848 udpmod.dll
09.06.2006 22:57 31.488 jao.dll
09.06.2006 22:57 21.504 bridge.dll
09.06.2006 22:57 25.344 a.exe
09.06.2006 22:57 29.952 questmod.dll
09.06.2006 22:57 17.664 runsrv32.exe
09.06.2006 22:57 30.208 dailytoolbar.dll
09.06.2006 22:57 26.624 tcpservice2.exe
09.06.2006 22:57 20.224 wstart.dll
09.06.2006 22:57 13.056 runsrv32.dll
09.06.2006 22:57 17.920 txfdb32.dll
09.06.2006 22:57 18.688 alxres.dll
09.06.2006 22:57 30.720 adobepnl.dll
09.06.2006 22:57 67.076 users32.exe
09.06.2006 22:57 8.704 drnecdoy.exe
04.05.2006 15:46 6.152 pujqfgoz.exe
27.04.2006 12:17 6.222 phqghume.exe
25.04.2006 14:14 46.592 zlbw.dll
25.04.2006 14:14 15.001 taskdir~.exe
25.04.2006 14:09 61 svcp.csv
25.04.2006 14:09 52.117 parad.raw.exe
25.04.2006 14:09 4 winsub.xml
25.04.2006 14:04 7.045 internetoloper.exe

Zitat

Verzeichnis von C:\WINDOWS

10.06.2006 01:49 963 spacer.gif'
10.06.2006 01:44 1.791 win_logo.gif
10.06.2006 01:44 3.877 warning_icon.gif
10.06.2006 01:44 283 x.gif
10.06.2006 01:44 1.014 warning-bar-ico.gif
10.06.2006 01:44 291 v.gif
10.06.2006 01:44 688 ts.gif
10.06.2006 01:44 2.374 ts_header.gif
10.06.2006 01:44 425 star_gray.gif
10.06.2006 01:44 639 star.gif
10.06.2006 01:44 550 star_small.gif
10.06.2006 01:44 223 star_gray_small.gif
10.06.2006 01:44 49 spacer.gif
10.06.2006 01:44 65 sep_hor.gif
10.06.2006 01:44 53 sep_vert.gif
10.06.2006 01:44 6.399 spyware-detected.gif
10.06.2006 01:44 10.809 security-center-logo.gif
10.06.2006 01:44 6.695 security_center_caption.gif
10.06.2006 01:44 177 security-center-bg.gif
10.06.2006 01:44 2.735 scan_btn.gif
10.06.2006 01:44 2.271 rf_header.gif
10.06.2006 01:44 611 rf.gif
10.06.2006 01:44 1.204 infected.gif
10.06.2006 01:44 215 main_back.gif
10.06.2006 01:44 10.193 header_3.gif
10.06.2006 01:44 11.077 header_4.gif
10.06.2006 01:44 25.023 header_1.gif
10.06.2006 01:44 15.421 header_2.gif
10.06.2006 01:44 2.306 footer_back.gif
10.06.2006 01:44 2.922 footer_back.jpg
10.06.2006 01:44 592 features.gif
10.06.2006 01:44 64 close-bar.gif
10.06.2006 01:44 2.238 download_box.gif
10.06.2006 01:44 2.067 button_freescan.gif
10.06.2006 01:44 1.682 button_buynow.gif
10.06.2006 01:44 11.602 box_3.gif
10.06.2006 01:44 12.019 box_2.gif
10.06.2006 01:44 5.741 box_1.gif
10.06.2006 01:44 847 as.gif
10.06.2006 01:44 72 bg.gif
10.06.2006 01:44 2.695 as_header.gif
10.06.2006 01:44 110 about_spyware_bg.gif
10.06.2006 01:44 372 about_spyware_bottom.gif
09.06.2006 22:57 9.472 BTGrab.dll
09.06.2006 22:57 28.160 dlmax.dll
09.06.2006 22:57 24.064 Pynix.dll
09.06.2006 22:57 29.696 ZServ.dll
09.06.2006 22:57 22.016 susp.exe
09.06.2006 22:57 13.568 alxie328.dll
09.06.2006 22:57 31.488 alexaie.dll
09.06.2006 22:57 29.952 alxtb1.dll

????????????

04.05.2006 15:46 6.152 pujqfgoz.exe
27.04.2006 12:17 6.222 phqghume.exe
25.04.2006 14:14 46.592 zlbw.dll
25.04.2006 14:14 15.001 taskdir~.exe
25.04.2006 14:09 61 svcp.csv
25.04.2006 14:09 52.117 parad.raw.exe
25.04.2006 14:09 4 winsub.xml
25.04.2006 14:04 7.045 internetoloper.exe

Verzeichnis von C:\DOKUME~1\HannesH\LOKALE~1\Temp

13.06.2006 10:47 1.048.576 RootRepStream_4CD76
13.06.2006 10:46 1.980 3.tmp
13.06.2006 10:44 769 RTEGPRS.rlg
30.01.2006 02:23 28.672 6.tmp

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)

O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll

__________
MfG Sabina

rund um die PC-Sicherheit

#9 Sorry, hier noch mal system32:

#10 wir machen es so:

1.
arbeite smitfraud.fix , das tool entfernt so einiges.
dann poste noch mal die 4 logs von datfindbat und ich suche die viren raus, die noch da sind
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 So hier die logs von datfind nachdem ich smitfraud laufen hab lassen:

#12 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\respondmiter
HKEY_LOCAL_MACHINE\software\transponder
HKEY_LOCAL_MACHINE\software\software\tps108

Files to delete:
C:\WINDOWS\system32\0,6068231
C:\WINDOWS\system32\8,190554E-02
C:\WINDOWS\system32\0,6221125
C:\WINDOWS\system32\0,413067
C:\WINDOWS\system32\0,3932611
C:\WINDOWS\system32\0,3372309
C:\WINDOWS\system32\0,7726099
C:\WINDOWS\system32\0,7827112
C:\WINDOWS\system32\0,8372003
C:\WINDOWS\system32\0,9844019
C:\WINDOWS\system32\0,3246576
C:\WINDOWS\system32\0,7314417
C:\WINDOWS\system32\0,2386591
C:\WINDOWS\system32\0,3665735
C:\WINDOWS\system32\0,5948755
C:\WINDOWS\system32\0,5546686
C:\WINDOWS\system32\6,792849E-02
C:\WINDOWS\system32\0,8536035
C:\WINDOWS\system32\0,7392237
C:\WINDOWS\system32\0,2825434
C:\WINDOWS\system32\0,2250025
C:\WINDOWS\system32\0,4311945
C:\WINDOWS\system32\0,1891291
C:\WINDOWS\system32\0,4488794
C:\WINDOWS\system32\0,6299097
C:\WINDOWS\system32\0,9038355
C:\WINDOWS\system32\0,4978907
C:\WINDOWS\system32\0,6063806
C:\WINDOWS\system32\0,9748957
C:\WINDOWS\system32\2,680606E-02
C:\WINDOWS\system32\0,96896
C:\WINDOWS\system32\0,5936853
C:\WINDOWS\system32\0,1240045
C:\WINDOWS\system32\0,8214838
C:\WINDOWS\system32\0,3176844
C:\WINDOWS\system32\0,341305
C:\WINDOWS\system32\5,929202E-02
C:\WINDOWS\system32\0,9006464
C:\WINDOWS\system32\0,27232
C:\WINDOWS\system32\2,895534E-03
C:\WINDOWS\system32\0,9213373
C:\WINDOWS\system32\0,8389093
C:\WINDOWS\system32\0,6966211
C:\WINDOWS\system32\0,6313745
C:\WINDOWS\system32\0,2938196
C:\WINDOWS\system32\0,5230524
C:\WINDOWS\system32\0,4228327
C:\WINDOWS\system32\0,1506311
C:\WINDOWS\system32\0,3887903
C:\WINDOWS\system32\0,4297602
C:\WINDOWS\system32\0,2921411
C:\WINDOWS\system32\1,032656E-02
C:\WINDOWS\system32\0,4621698
C:\WINDOWS\system32\winlogon.ini
C:\WINDOWS\system32\scngcf.dat
C:\WINDOWS\system32\lud.dat
C:\WINDOWS\system32\0,1293604
C:\WINDOWS\system32\lrf.dat
C:\WINDOWS\system32\drnecdoy.exe
C:\WINDOWS\system32\pujqfgoz.exe
C:\WINDOWS\system32\phqghume.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\internetoloper.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint, + noch mal die 4 logs von datfindbat + das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hier die sechs logs als Anhang.
Als Windows nach Neustart nach dem avenger hochgefahren war hat mein Virenscanner lauter Trojaner gefunden. Ist das normal?
Dank nochmal für all deine Bemühungen bis hier hin,
Hannes

#14 dein Virenscanner ist putzig er hat auf die viren im Avenger reagiert....

1.
Gehe in die Registry - Start - Ausfuehren - regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RXToolBar -> loeschen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\P2P Networking -> loeschen

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v6.cab

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll

PC neustarten

3.
deinstalliere:
- "RX Bar" -> C:\Programme\RXToolBar
- "P2P Networking" (das ist vielleicht nicht in der Liste vorhanden, in diesem Fall suche es im System und deinstalliere es
- C:\Programme\PartyGaming

4.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

5.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit