System Alert: Spyware detected und...

#0
16.06.2006, 02:00
Member

Beiträge: 37
#1 Your PC is Infected (oder so, mit roter umrandung).. unten rechts in der leiste neben der Uhr. Die wollen das ich ne Anti Malware sache runterlade, aber aus meinem alten virus hab ich gelernt die nicht anzuklicken ;) .. hab mein AVG drüber laufen lassen = kein virus.
Also hoffe ihr könnt mir aber helfen die 2 blinkenden symbole da wieder los zu werden.. (zur info... ich kann nicht in den abgesicherten modus, hab keine admin rechte, onkel hat damals pc eingerichtet und mir keine rechte gegeben...) ok... und hier das HIJACK this log file...

Edit:-> kommen auch gelegentlich pop-ups merke ich gerade ..
Edit²-> Falls es was hilft... hab das nun als dauert Startseite.. ->http://www.bestsafetyguide.net/ ... kann die auch nicht ändern, kommt immer wieder !
Edit³-> atmclk.exe .. wuauclt.exe .. dcomcfg.exe .. hab ich auch grad im taskmanager gefunden.. falls euch das weiterhilft. (kommt mir zumindest fremd vor auf meinem pc, nie gelesen)


Logfile of HijackThis v1.99.1
Scan saved at 01:56:42, on 16.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe

C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Xfire\Xfire.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HijackThis.exe

O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D87B5E7A452C3CC7 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll (file missing)
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpB584.tmp (file missing)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Steam] E:\HL²\\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\{A42B5BC3-974C-470E-9977-AE2EB6CDF125}\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\ATR1.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Dieser Beitrag wurde am 16.06.2006 um 03:04 Uhr von Mikedamuh editiert.
Seitenanfang Seitenende
16.06.2006, 13:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "c:\programme\zango" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2006, 13:27
Member

Themenstarter

Beiträge: 37
#3 So... erstmal das von Datfindbat... ich editier den rest gleich mit rein ;) (hoff ich mach es richtig, das letzte mal ist schon wieder n bisschen her ;) )

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC6-67E2

Verzeichnis von C:\WINDOWS\system32

16.06.2006 13:19 4.984 stdole3.tlb
16.06.2006 13:08 8.192 simpole.tlb
16.06.2006 13:08 48.128 hp107.tmp
16.06.2006 12:51 48.128 hp106.tmp
16.06.2006 12:31 48.128 hp105.tmp
16.06.2006 11:54 48.128 hp104.tmp
16.06.2006 11:39 48.128 hp103.tmp
16.06.2006 11:23 48.128 hp102.tmp
16.06.2006 11:23 48.128 hp101.tmp
16.06.2006 11:20 48.128 hp100.tmp
16.06.2006 11:20 49.677 ld100.tmp
16.06.2006 00:57 176.128 ofcukiz.dll
16.06.2006 00:57 74.240 dcomcfg.exe
16.06.2006 00:57 4.286 ts.ico
16.06.2006 00:57 10.788 atmclk.exe
16.06.2006 00:57 4.286 ot.ico
16.06.2006 00:50 59.917 regperf.exe

15.06.2006 15:17 43.520 CmdLineExt03.dll
15.06.2006 09:04 13.646 wpa.dbl
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
17.05.2006 12:51 21.840 SIntfNT.dll
17.05.2006 12:51 17.212 SIntf32.dll
17.05.2006 12:51 12.067 SIntf16.dll
14.05.2006 10:48 181.248 rasmans.dll
12.05.2006 15:32 1.081.616 MSCOMCTL.OCX
12.05.2006 15:32 2.496 MSCOMCTL.DEP
12.05.2006 15:32 88.576 msdxm.oca
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll


---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC6-67E2

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp
---

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC6-67E2

Verzeichnis von C:\WINDOWS

16.06.2006 13:19 145.605 setupapi.log
16.06.2006 11:29 1.314.937 WindowsUpdate.log
16.06.2006 11:20 0 0.log
16.06.2006 11:20 159 wiadebug.log
16.06.2006 11:20 50 wiaservc.log
16.06.2006 11:20 2.048 bootstat.dat
16.06.2006 04:03 32.546 SchedLgU.Txt
16.06.2006 03:27 923 spupdsvc.log
16.06.2006 03:01 16.099 comsetup.log
16.06.2006 03:01 18.872 tsoc.log
16.06.2006 03:01 2.736 ocmsn.log
16.06.2006 03:01 1.374 imsins.log
16.06.2006 03:01 9.796 ntdtcsetup.log
16.06.2006 03:01 7.794 iis6.log
16.06.2006 03:01 12.517 KB917734.log
16.06.2006 03:01 19.589 wmsetup.log
16.06.2006 03:01 23.328 ocgen.log
16.06.2006 03:01 2.472 msgsocm.log
16.06.2006 03:01 49.457 FaxSetup.log
16.06.2006 03:01 1.374 imsins.BAK
16.06.2006 03:01 16.072 KB918439.log
16.06.2006 03:01 16.752 KB917344.log
16.06.2006 03:01 4.117 updspapi.log
16.06.2006 03:01 15.714 KB917953.log
16.06.2006 03:00 15.697 KB911280.log
16.06.2006 03:00 19.341 KB916281.log
16.06.2006 03:00 12.045 KB914389.log
14.06.2006 18:49 1.125 winamp.ini
12.06.2006 12:12 116 NeroDigital.ini
07.06.2006 23:33 316 musicmaker.INI
25.05.2006 22:41 3.645 unins000.dat
25.05.2006 22:41 669.002 unins000.exe
17.05.2006 12:52 31.224 DIIUnin.dat
17.05.2006 12:42 2.829 DIIUnin.pif
17.05.2006 12:42 102.400 DIIUnin.exe
15.05.2006 22:41 720.896 iun6002.exe
15.05.2006 15:27 1.220 DirectX.log
10.05.2006 03:00 12.093 KB913580.log
10.05.2006 03:00 0 setuperr.log
10.05.2006 03:00 0 setupact.log
29.04.2006 15:41 21.825 War3Unin.dat
29.04.2006 01:29 316.640 WMSysPr9.prx
23.04.2006 13:55 317 Sampler.INI
23.04.2006 13:55 28 Robota.INI
23.04.2006 13:55 325 BeatBox.INI
01.04.2006 23:26 687 win.ini
01.04.2006 23:26 263 system.ini


Schritt 3 - Echo.bat

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC6-67E2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.02.2005 16:54 1.271 erma.inf
02.09.2005 10:05 578 kavwebscan.inf
09.10.2003 10:32 144 QTPlugin.inf
27.08.2005 13:30 5.065 swflash.inf
4 Datei(en) 7.058 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 7.058 Bytes
0 Verzeichnis(se), 26.131.718.144 Bytes frei


Schritt 4 -> Listen.bat...
Hoffe ich ha bdas richtig gemacht, bin mir nicht sicher, sieht so wenig aus...

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC6-67E2

Verzeichnis von c:\programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC6-67E2

Verzeichnis von C:\WINDOWS\Temp

16.06.2006 11:20 <DIR> .
16.06.2006 11:20 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 26.131.361.792 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC6-67E2

Verzeichnis von C:\
Dieser Beitrag wurde am 16.06.2006 um 13:41 Uhr von Mikedamuh editiert.
Seitenanfang Seitenende
16.06.2006, 18:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Mikedamuh

info: SpywareQuake
http://virus-protect.org/artikel/spyware/spywarequake.html

------------------------------------------------------------------------

0.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D87B5E7A452C3CC7 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll (file missing)
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpB584.tmp (file missing)

PC neustarten

1.
deaktiviere die Systemwiederherstellung
(nach der Reinigung wieder aktivieren)

2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ofcukiz.dll
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\regperf.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
smitfraud.fix abarbeiten
http://virus-protect.org/artikel/tools/smitfrautfix.html

5.
poste den scanreport von smitfraudfix

6.
poste noch einmal das erste log von datfindbat (system32)

7.
Deinstallieren: ...falls es vorhanden ist.....
"Start -> Einstellungen -> Systemsteuerung -> Software"

c:\programme\zango
C:\Programme\Media-Codec

8.
scanne mit panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2006, 18:44
Member

Themenstarter

Beiträge: 37
#5 2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

... wie genau kann ich es der registry beifügen, seh in der liste, die bei doppelklick auftaucht keine registry ?

----------------------------

So hier erstmal das von Datfind.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC6-67E2

Verzeichnis von C:\WINDOWS\system32

16.06.2006 19:26 52 stdole3.tlb
16.06.2006 19:23 13.646 wpa.dbl
16.06.2006 18:38 8.704 simpole.tlb
16.06.2006 18:38 48.640 hp101.tmp
16.06.2006 18:37 48.640 hp100.tmp
16.06.2006 18:37 49.677 ld101.tmp

15.06.2006 15:17 43.520 CmdLineExt03.dll
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
17.05.2006 12:51 21.840 SIntfNT.dll
17.05.2006 12:51 17.212 SIntf32.dll
17.05.2006 12:51 12.067 SIntf16.dll
14.05.2006 10:48 181.248 rasmans.dll
12.05.2006 15:32 1.081.616 MSCOMCTL.OCX
12.05.2006 15:32 2.496 MSCOMCTL.DEP
12.05.2006 15:32 88.576 msdxm.oca
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
01.05.2006 22:57 3.350 KGyGaAvL.sys
24.04.2006 15:40 4.730.880 wmp.dll
19.04.2006 00:30 3.596.288 qt-dx331.dll
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
02.04.2006 18:57 39.992 perfc009.dat
02.04.2006 18:57 311.604 perfh009.dat
02.04.2006 18:57 316.594 perfh007.dat
02.04.2006 18:57 721.390 PerfStringBackup.INI
02.04.2006 18:57 48.156 perfc007.dat

---------------

Schritt ... 2,4 und 5 konnte ich nicht durchführen... (die meldungen unten rechts sind aber weg, die pop ups scheinen auch weg zu sein) ... und zu panda (schritt 8)... das will das ich ein ActiveX element installiere.. ist das sicher ? ... achja und die seite -> http://www.bestsafetyguide.net/ <- habe ich immernoch als startseite .. (sorry ich weiß ich bring gerade alles durcheinander, aber es geht nicht anders *Seufz* )
Dieser Beitrag wurde am 16.06.2006 um 19:36 Uhr von Mikedamuh editiert.
Seitenanfang Seitenende
17.06.2006, 22:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Mikedamuh

1.
spyfalcon.reg -> doppeltklicken mit "ja/yes" --> "ja" waehlen (das ist schon alles ;) )

2.
download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip
doppelklick smitfraudfix.cmd
.schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
. doppelklick smitfraudfix.cmd
. schreibe: 2
. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab [C:\rapport.txt]
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.06.2006, 12:43
Member

Themenstarter

Beiträge: 37
#7 Ich hoffe du gibst die Geduld mit mir nichtauf... aber bei Spyfalcon, wenn ich es doppeltklicke, kann ich nur OK wählen, dann kommt folgendes... (was sicherlich falsch ist, sieht mal für mich falsch aus *g* )

REGEDIT4

------------
So hier die 2 smitfraudfix reporte.. Nr 1 und Nr 2

SmitFraudFix v2.61

Scan done at 12:44:17,87, 18.06.2006
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\ncompat.tlb FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Besitzer\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

------

SmitFraudFix v2.61

Scan done at 12:44:49,48, 18.06.2006
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update"

[HKEY_CLASSES_ROOT\CLSID\{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}\InProcServer32]
@="C:\WINDOWS\system32\ioctrl.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}\InProcServer32]
@="C:\WINDOWS\system32\ioctrl.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{05a91164-3c96-47d6-aa74-2c855791b2d0}"="incaged"

[HKEY_CLASSES_ROOT\CLSID\{05a91164-3c96-47d6-aa74-2c855791b2d0}\InProcServer32]
@="C:\WINDOWS\system32\ofcukiz.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{05a91164-3c96-47d6-aa74-2c855791b2d0}\InProcServer32]
@="C:\WINDOWS\system32\ofcukiz.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\hp???.tmp
Problem while deleting C:\WINDOWS\system32\hp????.tmp
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ncompat.tlb Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\ioctrl.dll -> Missing File

C:\WINDOWS\system32\ofcukiz.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

-----------


PS: Die startseite ist auch wieder änderbar, irgendetwas hat schonmal geklappt . ;)
Dieser Beitrag wurde am 18.06.2006 um 12:51 Uhr von Mikedamuh editiert.
Seitenanfang Seitenende
18.06.2006, 13:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Mikedamuh

1.
http://virus-protect.org/zip/spyfalcon.zip
spyfalcon.zip entpacken -> spyfalcon.reg doppeltklicken und der Registry beifuegen




2.
Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende