spyfalcon-spyware quake..komme nicht weiter

#16 bis jetzt ist alles o.k.

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 ja bin echt froh,wollte erst alles neu aufsetzen aber das system scheint nun wieder normal zu laufen.die einzigen reste sind die beiden urls im start menü,aber die lösche ich jetzt gleich noch.

kaspersky noch am downloaden..

#18 raman interessiert, wo du das "erwischt" hast, denn es ist eine neue Variante vom Zlob (kannst es als PM posten, wenn es hier nicht passt)
__________
MfG Sabina

rund um die PC-Sicherheit

#19 ich habe ihm eine pm geschickt.kann es aber leider nicht mehr zurück verfolgen.


kaspersky bericht

Scan Statistics
Total number of scanned objects 57999
Number of viruses found 7
Number of infected objects 21
Number of suspicious objects 1
Duration of the scan process 00:20:34

Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\components\flx6.dll Infected: not-virus:Hoax.Win32.Renos.dp skipped

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\temp.fr81A2 Infected: not-virus:Hoax.Win32.Renos.dp skipped

C:\Programme\Norton AntiVirus\Quarantine\7C6B4EBE.php Infected: Trojan-Downloader.JS.Small.d skipped

C:\Programme\Norton AntiVirus\Quarantine\521E0AB6.js Infected: Trojan.JS.Seeker.o skipped

C:\Programme\Norton AntiVirus\Quarantine\47310363 Suspicious: Exploit.HTML.Mht skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP390\A0024852.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP390\A0024853.dll Infected: Trojan.Win32.StartPage.aka skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP390\A0025849.dll Infected: not-virus:Hoax.Win32.Renos.dp skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP390\A0025853.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP390\A0025854.dll Infected: Trojan.Win32.StartPage.aka skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP390\A0025877.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP390\A0025878.DLL Infected: Trojan.Win32.StartPage.aka skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP390\A0025882.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP391\A0025898.exe Infected: Trojan-Downloader.Win32.Zlob.uc skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP391\A0025899.DLL Infected: Trojan.Win32.StartPage.aka skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP391\A0025908.exe Infected: Trojan-Downloader.Win32.Zlob.uc skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP391\A0025919.exe Infected: Trojan-Downloader.Win32.Zlob.uc skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP391\A0025943.exe Infected: Trojan-Downloader.Win32.Zlob.uc skipped

C:\System Volume Information\_restore{643302DA-E34A-4DD4-B382-4AF027D2C253}\RP391\A0025948.exe Infected: Trojan-Downloader.Win32.Zlob.uc skipped

C:\avenger\backup-18.06.2006-20.16.05.56.zip/avenger/ismon.exe Infected: Trojan-Downloader.Win32.Zlob.uc skipped

C:\avenger\backup-18.06.2006-20.16.05.56.zip/avenger/ishost.exe Infected: Trojan-Downloader.Win32.Zlob.uc skipped

C:\avenger\backup-18.06.2006-20.16.05.56.zip ZIP: infected - 2 skipped

Scan process completed.

#20 0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\Programme\PornMagPass" >>files.txt
notepad files.txt

------------------------------------------------------------------------------
1.
loesche mit avanger:

Zitat

Files to delete:
C:\WINDOWS\system32\components\flx6.dll
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\temp.fr81A2
C:\WINDOWS\system32\components\flx1.dll

2.
loesche alle
C:\avenger\backup

3.
loesche:
C:\WINDOWS\system32\components

4.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

5.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit

#21 ok,die files sind alle gelöscht.


diese dll hatte sich vorher auch schon mal bemerkbar gemacht mit 99% cpu auslastung.

Verzeichnis von C:\WINDOWS\system32\components

16.06.2006 20:24 <DIR> .
16.06.2006 20:24 <DIR> ..
18.06.2006 12:03 12'172 flx1.dll
1 Datei(en) 12'172 Bytes
2 Verzeichnis(se), 71'732'297'728 Bytes frei

#22 nur zum Ueberpruefen ..ansonsten kannst du das obrige schon abarbeiten, sorry, aber der Zlob ist neu..............

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neuu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neuu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\PornMagPass" >>files.txt
dir "C:\Program Files\PornMagPass >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#23 nein unter pornmagpass wird nichts gefunden.


ich habe nun alle schritte befolgt und die files gelöscht.ist mein system nun bereinigt?soll ich nochmal mit kaspersky scannen

#24 o.k. ..und sorry....die Schuld hat Google
http://virus-protect.org/artikel/spyware/ixt0.html
arbeite dann ales weitere oben ab, dann sollte wieder alles o.k. sein .
__________
MfG Sabina

rund um die PC-Sicherheit

#25 np,solange es auch andern hilft den müll loszuwerden!

super,kaspersky hat auch nichts mehr gefunden.ich hoffe es bleibt nun auch dabei.
vielen vielen dank euch beiden für die super unterstützung!

#26 Hallo Jonny F.

Es gibt Virenprogramme - Antivirenprogramme, Spy und Rogue und manchmal ist der Unterschied dazwischen nicht so recht zu finden.

By the way Jupiter ist neu hier, und vertellt ein paar Lebensweisheiten, Gschichten und hoffe, es ist okay für Euch, inklusive den Moderatoren. Danke! Die beiden Dateien

ishost.exe
ismon.exe

kenne ich in einem Zusammenhang. Sie kommen beide von I nternet S ecurtiy und das heißt:

TREND MICRO!!!

Die beiden sind gepackte und installierte LaufzeitTrojaner und Update-Teile von TMAS, gleich im Programm eingebaut.

Trend Micro Anti Spy 3.0

Ja, da weiß man was man hat, das Zeug kommt aus der gleichen Schmiede vom digitalen River wie armandillo und anderes Zeug von den großen Software-Firmen, denn irgendwie wollen die Softwarefirmen ja zu ihrem Geld kommen. Darum ist Firewall so wichtig und falls Du noch nicht kennst.

http://www.dogkennels.net/filemap/

Checkt Deine Files. Vorher und nachher, da sieht man was noch drauf ist, und was nicht.

eine weitere Empfehlung ist Sweepy. Reinigt alles vor und nach Deinstallation.

www.yooapps.ch

und dann gibts noch den uninstaller von Z-soft. Macht ein Image.
vorher - nachher. Alles freeware, sweepy freut sich bestimmt über kleine Spende wenns gefällt.

http://www.zsoft.dk/

Also, das Trend Micro Tool ist sehr gut . - eigentlich ..- Doch wenn man es nicht haben will, deinstallieren!

Nach Deinstallation noch einmal mit dem www.ewido.de

ewido a2 freescanner drüberfahren.

FIREWALL IST WICHTIG! Und nicht nur das, was reingeht. sondern auch für das was rausgeht.

Der findet es, wenn's noch da ist. Ich hoffe, ich habe geholfen und alles gute für Dich. Schönen Abend noch! wünscht Jupiter!

#27 thx jupiter, nur müsste man eines dieser programme halt schon vorher auf der platte haben.aber das es sich dabei um trend micro produkte handeln soll kann ich mir nicht so recht vorstellen,jedenfalls habe ich,zumindest freiwillig keine trend micro software installiert.

allerdings könnte ich den ewido scanner wohl gebrauchen wenn der was taugt,denn der müll hat sich wieder bemerkbar gemacht und zwar wieder mal eine gefakte systemnachricht.angeblich ist die registry defekt,software soll hier abhilfe schaffen die man von regfix.info bekommt.das war gestern,also 10 tage nach infektion,diese meldung erschien direkt nach dem einwählen und ist bisher auch nicht mehr aufgetreten.nur hat sich in den log files nichts mehr verändert,müsste also alles clean sein.wo könnte sich sowas noch verstecken?

#28 Johny.F

das ist neue Spyware... die andere war geloescht..
poste also bitte wieder HijackThis + Datfindbat-Logs
__________
MfG Sabina

rund um die PC-Sicherheit

#29 ich habe aber nichts runtergeladen oder neu installiert.wüsste nicht woher das kommen sollte.

hier die logs.da hat sich aber nichts verändert.

Logfile of HijackThis v1.99.1
Scan saved at 00:01:49, on 28.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\hijackthis\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe




Verzeichnis von C:\WINDOWS\system32

03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg



Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

27.06.2006 16:53 118'489 jusched.log
22.06.2006 21:44 3'091 h2r88.tmp
16.06.2006 21:29 146 www1C6.tmp
04.06.2006 00:40 10'538 control.xml



Verzeichnis von C:\WINDOWS

28.06.2006 00:08 677'938 ntbtlog.txt
28.06.2006 00:06 2'048 bootstat.dat
27.06.2006 23:58 428'125 WindowsUpdate.log
27.06.2006 23:58 32'626 SchedLgU.Txt
27.06.2006 23:56 15'268 ModemLog_Conexant HSF V92 56K PCI Modem.txt
27.06.2006 23:51 6'022 Opera.ini
27.06.2006 17:07 546 win.ini
27.06.2006 16:53 0 0.log
20.06.2006 16:14 546'490 setupapi.log
19.06.2006 15:26 231'154 setupact.log
18.06.2006 20:26 24'179 tsoc.log
18.06.2006 20:26 2'575 msgsocm.log
18.06.2006 20:26 26'215 comsetup.log
18.06.2006 20:26 14'313 ntdtcsetup.log
18.06.2006 20:26 46'333 FaxSetup.log
18.06.2006 20:26 33'829 ocgen.log
18.06.2006 20:26 2'252 ocmsn.log
18.06.2006 20:26 1'917 imsins.log
18.06.2006 20:26 6'692 iis6.log


Verzeichnis von C:\

28.06.2006 00:09 0 sys.txt
28.06.2006 00:09 5'187 system.txt
28.06.2006 00:08 1'680 systemtemp.txt
28.06.2006 00:08 85'689 system32.txt
28.06.2006 00:06 805'306'368 pagefile.sys

#30 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als bis.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die bis.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\***\Anwendungsdaten >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit