spyware "system doctor" trojaner?

#1 Hallo ihr, normal benutze ich opera, hier passiert mir nichts....wenn ich aber aus Gründen der webseitenkompatibilität den IE nehme öffnet sich einfach eine Meldung die ca. sagt "ihr pc ist lahm und so und downloaden sie doch systemdoctor"...hab dann im internet gelesen das es spyware ist aber adaware und spybot s & d finden nichts....was tun?

david

p.s. danke für hilfe
p.p.s las auch irgendwo das es ein trojaner ist?

#2 wenn du das installierst...darfst du gleich darauf formatieren.....
http://virus-protect.org/artikel/spyware/system_doctor.html

da aber diese Meldungen kommen, ist dein System schon infiziert.
arbeite das ab und poste die Logs
http://board.protecus.de/t23188.htm

zusaetzlich:
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#3 so da bin ich wieder also

1. hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 12:48:09, on 15.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\netdde.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRAMME\FRITZ!\de_serv.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\PowerISDNMonitor\pisdnmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\HotfixQ0306270.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\NuonSoft\WallpaperCycler3\WallpaperCycler Lite.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\eadc41ae.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\system32\hkcmd.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Opera 9 Beta\Opera.exe
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wz46a7\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = wer benutzt das hier??? nimm opera! links unten das rote o!!!
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.t-online.de;localhost;<local>
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)
O4 - HKLM\..\Run: [Power ISDN MONITOR] "C:\Programme\PowerISDNMonitor\pisdnmon.exe"
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [NuonSoft Wallpaper Cycler 3 StartupHelper] C:\Programme\NuonSoft\WallpaperCycler3\StartupHelper.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [eadc41ae.exe] C:\WINNT\system32\eadc41ae.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKCU\..\Run: [eadc41ae.exe] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\eadc41ae.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123163254616
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BB79F45-939F-4678-94A5-8375F4DA74F6}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Buzzsaw_Defragmentation - MATCO - C:\Programme\MATCO\BuzzsawService\BuzzSawService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINNT\system32\IoctlSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe


2. bei cleanup kann ich die prefetsch option nicht aktivieren...sonst gings aber alles

3.1.

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 1264-18EA

Verzeichnis von C:\WINNT\system32

15.06.2006 13:01 41.189 vsconfig.xml
15.06.2006 12:58 285.762 OODBS.lor
13.06.2006 11:51 4.212 zllictbl.dat
12.06.2006 23:51 32.105 ikhcore.log
12.06.2006 16:43 247.104 FNTCACHE.DAT
12.06.2006 15:27 1.085 spupdsvc.inf
10.06.2006 23:45 13.312 eadc41ae.exe
10.06.2006 18:22 25.992 pgdfgsvc.exe
10.06.2006 18:05 16.384 Perflib_Perfdata_208.dat
10.06.2006 13:17 16.384 Perflib_Perfdata_4c8.dat
09.06.2006 14:24 16.384 Perflib_Perfdata_318.dat
09.06.2006 03:19 5.967.776 MRT.exe
08.06.2006 17:12 16.384 Perflib_Perfdata_314.dat
06.06.2006 21:06 16.384 Perflib_Perfdata_9c.dat
06.06.2006 15:22 16.384 Perflib_Perfdata_98.dat
06.06.2006 12:26 16.384 Perflib_Perfdata_30c.dat
05.06.2006 20:44 16.384 Perflib_Perfdata_2c4.dat
05.06.2006 12:57 16.384 Perflib_Perfdata_320.dat
05.06.2006 12:54 2.101 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
05.06.2006 12:54 2.076 ModemLog_AVM ISDN BTX.txt
05.06.2006 12:54 1.928 ModemLog_AVM ISDN Custom Config.txt
05.06.2006 12:54 2.081 ModemLog_AVM ISDN FAX (G3).txt
05.06.2006 12:54 2.097 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
05.06.2006 12:54 2.092 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
05.06.2006 12:54 2.086 ModemLog_AVM ISDN - ISDN (X.75).txt
05.06.2006 12:54 2.087 ModemLog_AVM ISDN Mailbox (X.75).txt
05.06.2006 12:54 2.107 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
02.06.2006 10:44 16.384 Perflib_Perfdata_220.dat
01.06.2006 17:32 16.384 Perflib_Perfdata_20c.dat
01.06.2006 13:13 6.961 jupdate-1.5.0_07-b03.log
01.06.2006 13:02 16.384 Perflib_Perfdata_210.dat
28.05.2006 09:16 16.384 Perflib_Perfdata_50c.dat
26.05.2006 15:49 1.339.904 SHDOCVW.DLL
23.05.2006 17:08 52.832 GDIPFONTCACHEV1.DAT
21.05.2006 16:15 467.968 NCTAudioRecord2.dll
21.05.2006 16:15 966.144 NCTAudioInformation2.dll
21.05.2006 16:15 634.880 NCTAudioEditor2.dll
21.05.2006 16:15 467.456 NCTAudioPlayer2.dll
21.05.2006 16:15 877.568 NCTAudioFile2.dll
21.05.2006 16:15 522.752 NCTAudioTransform2.dll
19.05.2006 16:08 2.702.848 MSHTML.DLL
17.05.2006 11:43 465.864 jscript.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 176.128 pxmas.dll
15.05.2006 11:14 161.040 rasmans.dll
10.05.2006 17:38 16.384 Perflib_Perfdata_4d8.dat
08.05.2006 12:30 463.360 URLMON.DLL
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
03.05.2006 08:57 291.840 sp3res.dll
03.05.2006 02:56 127.078 javaws.exe
03.05.2006 02:56 49.265 jpicpl32.cpl
03.05.2006 01:19 53.346 javaw.exe
03.05.2006 01:19 49.248 java.exe
01.05.2006 21:20 760 themes
28.04.2006 15:08 582.144 WININET.DLL
28.04.2006 12:14 16.384 Perflib_Perfdata_3b4.dat
28.04.2006 10:58 12.288 JSPROXY.DLL
28.04.2006 10:57 351.744 DXTMSFT.DLL
28.04.2006 10:53 16.384 Perflib_Perfdata_1f8.dat
27.04.2006 17:49 288.417 SrchSTS.exe
25.04.2006 21:01 15.072 spmsg.dll
24.04.2006 16:29 16.384 Perflib_Perfdata_204.dat
24.04.2006 15:40 4.730.880 wmp.dll
23.04.2006 10:00 96.016 msdtclog.dll
23.04.2006 10:00 1.202.448 msdtctm.dll
23.04.2006 10:00 52.496 mtxclu.dll
23.04.2006 10:00 20.240 xolehlp.dll
23.04.2006 10:00 123.152 mtxoci.dll
23.04.2006 10:00 740.112 msdtcprx.dll
23.04.2006 10:00 153.872 msdtcui.dll
15.04.2006 18:51 16.384 Perflib_Perfdata_398.dat
13.04.2006 07:16 437.008 rpcrt4.dll
10.04.2006 13:23 16.384 Perflib_Perfdata_46c.dat
08.04.2006 19:50 16.384 Perflib_Perfdata_21c.dat
07.04.2006 15:46 16.384 Perflib_Perfdata_24c.dat
06.04.2006 22:20 16.384 Perflib_Perfdata_1f4.dat
06.04.2006 19:20 16.384 Perflib_Perfdata_4f0.dat
04.04.2006 22:25 16.384 Perflib_Perfdata_338.dat
30.03.2006 20:58 16.384 Perflib_Perfdata_16c.dat
30.03.2006 12:56 212.992 odbc32.dll
23.03.2006 22:23 2.386.192 SHELL32.DLL
18.03.2006 11:51 21.264 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll

3.2

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 1264-18EA

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

15.06.2006 13:00 3.145.786 NuonSoft WPC Wallpaper.bmp
15.06.2006 13:00 49.152 ~DF9C06.tmp
2 Datei(en) 3.194.938 Bytes
0 Verzeichnis(se), 2.531.147.776 Bytes frei

3.3

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 1264-18EA

Verzeichnis von C:\WINNT

15.06.2006 12:57 260.160 WindowsUpdate.log
15.06.2006 12:56 554.180 ShellIconCache
15.06.2006 12:36 54.156 QTFont.qfn
15.06.2006 00:58 79.383 setupapi.log
15.06.2006 00:41 22 chipset.log
14.06.2006 15:22 75.961 comsetup.log
14.06.2006 15:22 207.637 iis5.log
14.06.2006 15:22 1.419 imsins.log
14.06.2006 15:22 20.101 KB917953.log
14.06.2006 15:22 6.206 ockodak.log
14.06.2006 15:22 78.938 ocgen.log
14.06.2006 15:20 13.978 KB916281-IE6SP1-20060526.162249.log
14.06.2006 15:20 1.429 imsins.BAK
14.06.2006 15:19 26.970 updspapi.log
14.06.2006 15:18 17.587 KB917736.log
14.06.2006 15:17 18.885 KB911280.log
14.06.2006 15:16 15.464 KB914389.log
14.06.2006 15:14 5.222 KB917734.log
14.06.2006 15:14 1.830 wmsetup.log
12.06.2006 19:12 32 NSGSLampPost.INI
12.06.2006 16:35 61.801 KB913580.log
12.06.2006 16:34 40.573 KB908531.log
12.06.2006 16:34 33.600 KB912812-IE6SP1-20060322.182418.log
12.06.2006 16:33 52.893 MDAC25SP3-KB911562-x86-DEU.log
12.06.2006 16:32 23.092 KB911564.log
12.06.2006 16:32 23.877 KB911565.log
12.06.2006 16:31 24.181 KB908519.log
12.06.2006 16:30 36.862 KB912919.log
12.06.2006 16:30 37.841 KB908523.log
12.06.2006 16:29 33.011 KB896424.log
12.06.2006 16:29 17.627 KB905495-IE6SP1-20050805.184113.log
12.06.2006 16:29 30.767 KB905749.log
12.06.2006 16:28 33.856 KB900725.log
12.06.2006 16:27 30.094 KB896358.log
12.06.2006 16:27 29.518 KB890046.log
12.06.2006 16:26 27.167 KB896422.log
12.06.2006 16:26 26.918 KB901017.log
12.06.2006 16:25 27.253 KB899589.log
12.06.2006 16:25 27.282 KB905414.log
12.06.2006 16:25 25.703 KB899587.log
12.06.2006 16:24 21.675 KB893756.log
12.06.2006 16:24 21.484 KB901214.log
12.06.2006 16:23 10.338 Q828026.log
12.06.2006 16:23 0 setupact.log
12.06.2006 16:23 0 setuperr.log
12.06.2006 15:27 12.526 svcpack.log
12.06.2006 15:26 344 msmqprop.log
12.06.2006 15:26 194 sptsupd.log
10.06.2006 18:08 0 Sti_Trace.log
10.06.2006 18:08 21.324 ntbtlog.txt
10.06.2006 16:52 1.160 win.ini
10.06.2006 12:45 1.409 QTFont.for
10.06.2006 12:42 408 ECMS.INI
09.06.2006 14:49 11 amunres.lsl
09.06.2006 14:23 0 WINNT32.LOG
05.06.2006 20:22 80 pdf2text.INI
03.06.2006 01:59 39.424 zipinst.exe
01.06.2006 12:29 57 vb.ini
31.05.2006 16:21 13.600 cddabase.ini
28.05.2006 17:47 253.952 Setup1.exe
28.05.2006 17:47 74.752 ST6UNST.EXE
27.05.2006 20:35 316.640 WMSysPr9.prx
20.05.2006 15:38 180 civ.ini
20.05.2006 15:10 889 SNP.INI
20.05.2006 15:09 51 MTB40.INI
16.05.2006 09:30 2.621.506 MyWallpaper.bmp
25.04.2006 17:57 332 WOC_CDDA.ini
19.04.2006 19:11 1.889 rackdata5.ini
19.04.2006 10:50 23.552 xobglu32.dll
19.04.2006 10:50 63.488 xobglu16.dll
19.04.2006 10:43 30.272 macromix.dll
19.04.2006 10:43 30.544 dirdib.drv
07.04.2006 14:56 0 RingtoneMaker.INI
06.04.2006 17:24 577 system32DESServer_M.txt
06.04.2006 17:24 614 system32PEX.PhoneExplorer.txt
06.04.2006 17:24 1.098 system32SMessenger_Base.txt
06.04.2006 17:24 522 system32SContactManager.txt
06.04.2006 17:24 687 system32SWapBrowser.txt
03.04.2006 13:22 27.212 system32CStdDOMWrapper.txt
03.04.2006 13:22 98.492 system32DESProxyM.txt
03.04.2006 13:22 7.892 system32SPhoneObserver.txt
03.04.2006 13:22 22.494 system32CEnvironmentServer.txt
03.04.2006 13:22 1.682 system32DESServer_Th1.txt
03.04.2006 13:22 20.307 system32DESConversionServer.txt
03.04.2006 13:22 788 system32ConversionContainer.txt
03.04.2006 13:22 8.638 system32DESServer_I.txt
03.04.2006 13:22 429.441 system32DESServer_IO.txt
03.04.2006 13:21 6.864 system32DESProxy_I.txt
03.04.2006 13:19 6.196 system32CSDSConfigSettings.txt
03.04.2006 13:19 1.980 system32CMPMDynHelp.txt
03.04.2006 13:19 9.878 system32CCfgMgr4PlugIns.txt
03.04.2006 13:19 491 system32SPhoneObserver_Connections.txt
23.03.2006 15:12 66 vbaddin.ini
13.03.2006 20:51 192 winamp.ini

3.4

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 1264-18EA

Verzeichnis von C:\

15.06.2006 13:05 0 sys.txt
15.06.2006 13:05 14.946 system.txt
15.06.2006 13:03 370 systemtemp.txt
15.06.2006 13:02 115.029 system32.txt
15.06.2006 12:58 272.629.760 PAGEFILE.SYS
12.06.2006 15:56 5.489.083 AVG7QT.DAT
10.06.2006 18:34 1.045 rapport.txt
10.06.2006 17:55 341 _arm_errors.log
09.06.2006 15:48 848.082 winzip.log
19.04.2006 10:43 3 Bibel.DAT
06.04.2006 17:25 104.260 SDSSetup.log

5. das echo ding

10)DPF????

findet nur so was ganz kurzes, das ist eher n fehler? oder ist das so?

nun gut...habe ich alles richtig gemacht? hoffe ja...

grüße david

#4 mausidavid

virustotal
Oben auf der Seite --> auf Durchsuchen klicken -->gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINNT\system32\eadc41ae.exe
C:\WINNT\system32\pgdfgsvc.exe

poste die Berichte
---------------------------------------------------------------------

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren -> hierhin
http://virus-protect.org/bat/echo.zip

--------------------------------------------------------------------
1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINNT\system32\spupdsvc.inf
C:\WINNT\system32\eadc41ae.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\eadc41ae.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das Log vom Avenger, was erscheint

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [eadc41ae.exe] C:\WINNT\system32\eadc41ae.exe
O4 - HKCU\..\Run: [eadc41ae.exe] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\eadc41ae.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)

PC neustarten

3.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

4..
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 so da bin ich wieder...es ist schon etwas später und morgen muß ic hauch mal wieder in die schule...(hatte vor nem monat abi geschrieben und morgen ist klammerung...)....was ist eigentlich mit "euch" leuten wo ihr in so foren immer dumm leuten wie mir helft? macht ihr das nebenbei? privat? habt ihr auch im beruf damit zu tun?...jedenfalls toll das es euch gibt...
also los


von der eadc41ae.exe

Complete scanning result of "eadc41ae.exe", received in VirusTotal at 06.16.2006, 00:04:46 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.13 06.15.2006 TR/Dldr.Agent.aar
Authentium 4.93.8 06.15.2006 no virus found
Avast 4.7.844.0 06.15.2006 no virus found
AVG 386 06.15.2006 Downloader.Generic2.CXP
BitDefender 7.2 06.15.2006 no virus found
CAT-QuickHeal 8.00 06.15.2006 TrojanDownloader.Obfuscated.a
ClamAV devel-20060426 06.15.2006 no virus found
DrWeb 4.33 06.15.2006 Trojan.Popuper
eTrust-InoculateIT 23.72.38 06.15.2006 Win32/SillyDL.MNU!Trojan
eTrust-Vet 12.6.2257 06.15.2006 no virus found
Ewido 3.5 06.15.2006 Downloader.Obfuscated.a
Fortinet 2.77.0.0 06.15.2006 W32/DLOADER.AVS!tr
F-Prot 3.16f 06.15.2006 no virus found
Ikarus 0.2.65.0 06.15.2006 no virus found
Kaspersky 4.0.2.24 06.15.2006 Trojan-Downloader.Win32.Obfuscated.a
McAfee 4785 06.15.2006 Generic Downloader.ab
Microsoft 1.1441 06.15.2006 no virus found
NOD32v2 1.1601 06.15.2006 no virus found
Norman 5.90.21 06.15.2006 no virus found
Panda 9.0.0.4 06.15.2006 Adware/SystemDoctor
Sophos 4.06.0 06.15.2006 no virus found
Symantec 8.0 06.15.2006 Downloader
TheHacker 5.9.8.159 06.15.2006 no virus found
UNA 1.83 06.15.2006 TrojanDownloader.Win32.Obfuscated
VBA32 3.11.0 06.15.2006 Trojan.Popuper
VirusBuster 4.3.7:9 06.15.2006 no virus found

Aditional Information
File size: 13312 bytes
MD5: fdf38e80663ad68a2a6e06566abf6dcf
SHA1: 505443c2ec7bb6abed8fc1aecb9c3b2fa9e93dd9

und die andre

Complete scanning result of "pgdfgsvc.exe", received in VirusTotal at 06.16.2006, 00:08:20 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.13 06.15.2006 no virus found
Authentium 4.93.8 06.15.2006 no virus found
Avast 4.7.844.0 06.15.2006 no virus found
AVG 386 06.15.2006 no virus found
BitDefender 7.2 06.15.2006 no virus found
CAT-QuickHeal 8.00 06.15.2006 no virus found
ClamAV devel-20060426 06.15.2006 no virus found
DrWeb 4.33 06.15.2006 no virus found
eTrust-InoculateIT 23.72.38 06.15.2006 no virus found
eTrust-Vet 12.6.2257 06.15.2006 no virus found
Ewido 3.5 06.15.2006 no virus found
Fortinet 2.77.0.0 06.15.2006 no virus found
F-Prot 3.16f 06.15.2006 no virus found
Ikarus 0.2.65.0 06.15.2006 no virus found
Kaspersky 4.0.2.24 06.15.2006 no virus found
McAfee 4785 06.15.2006 no virus found
Microsoft 1.1441 06.15.2006 no virus found
NOD32v2 1.1601 06.15.2006 no virus found
Norman 5.90.21 06.15.2006 no virus found
Panda 9.0.0.4 06.15.2006 no virus found
Sophos 4.06.0 06.15.2006 no virus found
Symantec 8.0 06.15.2006 no virus found
TheHacker 5.9.8.159 06.15.2006 no virus found
UNA 1.83 06.15.2006 no virus found
VBA32 3.11.0 06.15.2006 no virus found
VirusBuster 4.3.7:9 06.15.2006 no virus found

Aditional Information
File size: 25992 bytes
MD5: 8cf7c3ae5f358e75eb273af06e8f78ca
SHA1: 14494f20f373167e9c946297ac420497a9b38c68

das echo ding...hat sich inzwischen verdoppelt

10)DPF????
10)DPF????


so das vom avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hofde^sc

*******************

Script file located at: \??\C:\WINNT\system32\ofjospyq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINNT\system32\spupdsvc.inf deleted successfully.
File C:\WINNT\system32\eadc41ae.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\eadc41ae.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

so und nun noch das ewido ding

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 02:19:56, 16.06.2006
+ Report-Checksumme: 5C3AC5B0

+ Scanergebnis:

C:\WINNT\system32\1024 -> Trojan.Small : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\avenger\backup.zip/avenger/eadc41ae.exe -> Downloader.Obfuscated.a : Gesäubert mit Backup
C:\avenger\backup.zip/avenger/eadc41ae.exe-ren-380 -> Downloader.Obfuscated.a : Gesäubert mit Backup


::Report Ende


so dann kann ich jetzt schlafen gehn, der scan hatt doch länger gedauert als gedacht.....
frage: bei 400mhz und 256mb ram und 18gb wo noch ca. 3 frei sind...ABER dsl flatrate
welcher virenscanner ist da am besten? er darf ruhig große updates haben aber sollte eben nich so viel speicher fressen wenn er im hintergrund läuft...und natürlich freeware sein ;-

gute nacht david

#6 mausidavid

1.
smitfraud.fix
http://virus-protect.org/artikel/tools/smitfrautfix.html
http://siri.urz.free.fr/Fix/SmitfraudFix.zip --> SmitfraudFix ->

. doppelklick smitfraudfix.cmd
. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
. doppelklick smitfraudfix.cmd
. schreibe: 2

. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab [C:\rapport.txt]

-----------
2.
mache einen Onlinescan mit Kaspersky und danach mit panda poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 da bin ich wieder zu später stund...heut ist aber schon alles fertig

SmitFraudFix v2.61

Scan done at 12:58:25.61, Fr 16.06.2006
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\smit\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Initialize Kaspersky On-line Scanner
(downloading and installing Kaspersky On-line Scanner ActiveX from the server into your computer)




Update Kaspersky Anti-Virus Databases [100%]:
(downloading and installing the latest Kaspersky Anti-Virus Databases)




Please wait to update the virus definitions...
Downloading from url: http://eu3h.kaspersky-labs.com
Downloading remote file: master.xml
Update finished. Ready to scan.
Next
Please select a target to scan:
You can configure the scanning process by pressing "Scan Settings" button.



Critical Areas
scan critical areas of your hard disks
specified in %windir% and %tmp% system variables
My Computer
scan all your hard and mapped disks
My Email
scan all your hard and mapped disks only for the following extensions: *.PST; *.MSG; *.OST; *.MDB; *.DBX; *.EML; *.MBS
Folders...
scan selected folders
A File...
scan a one file





Warning: The Kaspersky On-line Scanner may not run successfully while any other Anti-Virus software is running. If you have Anti-Virus software installed, please disable your AV protection before running the Kaspersky On-line Scanner.
The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN.



Report is empty.
Please note: The free Kaspersky On-line Scanner does not provide comprehensive protection and cannot prevent future infections. It only detects malware that has already penetrated your storage devices. We strongly recommend that you use a fully-functional antivirus solution to protect your computer at all times.

Please wait, this process may take a long time depending on the selected target. If you want to continue browsing, open a new window.

Scan Progress [99%]:





Total number of scanned files: 47254
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 02:58:37


und panda


Incident Status Location

Adware:adware program Not disinfected Windows Registry
Virus:Bck/Dumador.CU Renamed C:\WINNT\system32\drivers\etc\hosts
Virus:Bck/Dumador.CU Disinfected C:\WINNT\system32\drivers\etc\hosts.20050417-202132.backup
Potentially unwanted tool:Application/Processor Not disinfected C:\WINNT\system32\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Administrator\Desktop\smit\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.zip[SmitfraudFix/Process.exe]
entweder hab ich das falsche gewählt oder bin dumm? bei desinfiziren jedenfalls kam nur eine...."nur 19.95" meldung...

david

#8 Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

dann ist wieder alles o.k.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 dann bedanke ich mich ein letztes mal für die tolle hilfe...echt klasser das es so schlaue nette leute gibt!

grüße david

p.s. es war doch gemeint microsoft orginal hosts dings.....?