Virus Alert ! Your Computer is Infected !

Thema ist geschlossen!
Thema ist geschlossen!
#0
17.07.2006, 12:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 BlueBerryOne (feiner nick)

da du nicht doppeltposten kannst...schreib ich was
poste also alles, nun geht es wieder Forum-Regel...) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.07.2006, 21:22
...neu hier

Beiträge: 7
#17

Zitat

Sabina postete
BlueBerryOne (feiner nick)

da du nicht doppeltposten kannst...schreib ich was
poste also alles, nun geht es wieder Forum-Regel...) ;)
Danke dir, im Norfall hätte ich ein "edit" gemacht ;)
So nun aber zu den ernsten Sachen.

Die 4 Logs von daFind.bat:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\WINDOWS\system32

17.07.2006 21:02 21.962 nvapps.xml
17.07.2006 21:02 5.120 ismon.exe
17.07.2006 21:02 24.064 ixt1.dll
17.07.2006 21:02 1.746 OODBS.lor
16.07.2006 23:04 24.064 ixt0.dll
16.07.2006 23:00 2.206 wpa.dbl
16.07.2006 22:53 4.286 ot.ico
16.07.2006 22:53 8.424 isnotify.exe
16.07.2006 22:53 35.328 issearch.exe
16.07.2006 22:50 34.832 ishost.exe
16.07.2006 22:49 15.872 winbjt32.dll
16.07.2006 22:38 579 goc.log
14.07.2006 03:51 403.968 perfh009.dat
14.07.2006 03:51 63.188 perfc009.dat
14.07.2006 03:51 418.970 perfh007.dat
14.07.2006 03:51 76.014 perfc007.dat
14.07.2006 03:51 967.412 PerfStringBackup.INI
07.07.2006 03:21 6.757.792 MRT.exe
27.06.2006 05:40 12.800 WgaTray.exe
27.06.2006 05:40 3.584 WgaLogon.dll
27.06.2006 05:40 571.184 LegitCheckControl.dll
19.06.2006 16:20 702.768 WgaLogon.old
06.06.2006 12:37 48.936 sirenacm.dll
05.06.2006 02:19 14.848 BASSMOD.dll
02.06.2006 01:58 4.096 oodbsrs.dll
02.06.2006 01:56 112.128 oodbs.exe
02.06.2006 01:52 339.456 oodag.exe
02.06.2006 01:52 10.240 oodagrs.dll
02.06.2006 01:50 11.264 oodagmg.dll
01.06.2006 23:57 9.728 ootmapi.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:32 1.496.576 shdocvw.dll
23.05.2006 16:00 513.024 LegitCheckControl.old
22.05.2006 23:19 314.768 FNTCACHE.DAT
19.05.2006 17:06 3.076.096 mshtml.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 61.440 pxhpinst.exe
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:58 104.448 xpsp3res.dll
10.05.2006 07:26 474.624 shlwapi.dll
10.05.2006 07:26 39.424 pngfilt.dll
10.05.2006 07:26 617.472 urlmon.dll
10.05.2006 07:26 669.184 wininet.dll
10.05.2006 07:26 532.480 mstime.dll
10.05.2006 07:26 448.512 mshtmled.dll
10.05.2006 07:26 146.432 msrating.dll
10.05.2006 07:26 15.872 jsproxy.dll
10.05.2006 07:26 55.808 extmgr.dll
10.05.2006 07:26 357.888 dxtmsft.dll
10.05.2006 07:26 251.904 iepeers.dll
10.05.2006 07:26 96.768 inseng.dll
10.05.2006 07:26 1.056.256 danim.dll
10.05.2006 07:26 205.312 dxtrans.dll
10.05.2006 07:26 152.064 cdfview.dll
10.05.2006 07:26 1.022.976 browseui.dll
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
01.05.2006 21:24 81.920 ElbyCDIO.dll

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\WINDOWS

17.07.2006 21:02 2.028.193 WindowsUpdate.log
17.07.2006 21:02 159 wiadebug.log
17.07.2006 21:02 50 wiaservc.log
17.07.2006 21:02 2.048 bootstat.dat
17.07.2006 00:23 35.281 setupapi.log
14.07.2006 02:52 474.965 FaxSetup.log
14.07.2006 02:52 458.013 iis6.log
14.07.2006 02:52 189.777 comsetup.log
14.07.2006 02:52 238.643 tsoc.log
14.07.2006 02:52 13.435 KB917159.log
14.07.2006 02:52 118.440 ntdtcsetup.log
14.07.2006 02:52 584 imsins.log
14.07.2006 02:52 202.906 msmqinst.log
14.07.2006 02:52 176.387 ocgen.log
14.07.2006 02:51 871 win.ini
14.07.2006 02:51 13.757 KB914388.log
14.07.2006 02:51 35.943 updspapi.log
14.07.2006 02:50 11.233 KB916595.log
08.07.2006 16:17 892 Ulead32.ini
08.07.2006 15:09 30 MenuEditFree.INI
08.07.2006 13:42 116 NeroDigital.ini
07.07.2006 18:19 54.156 QTFont.qfn
03.07.2006 22:43 160.011 wmsetup.log
03.07.2006 00:46 227 system.ini
29.06.2006 22:42 59.319 WgaNotify.log
29.06.2006 14:56 4.761 spupdsvc.log
29.06.2006 14:54 1.039.279 setupapi.log.1.old
27.06.2006 12:07 0 svchost.exe
20.06.2006 20:36 1.409 QTFont.for
16.06.2006 11:40 21.287 KB917953.log
16.06.2006 11:39 38.491 KB916281.log
16.06.2006 11:39 15.427 KB911280.log
16.06.2006 11:39 15.426 KB918439.log
16.06.2006 11:39 16.000 KB917344.log
16.06.2006 11:39 16.140 KB914389.log
16.06.2006 11:39 10.285 KB917734.log
05.06.2006 00:14 155 winamp.ini
30.05.2006 21:09 19.726 WGA.log
26.05.2006 22:01 23 ktel.ini
23.05.2006 20:14 160.522 setupact.log
15.05.2006 21:42 55.296 appl_.exe
10.05.2006 22:03 12.935 KB913580.log

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\

17.07.2006 21:11 0 sys.txt
17.07.2006 21:11 10.466 system.txt
17.07.2006 21:11 130 systemtemp.txt
17.07.2006 21:10 107.736 system32.txt
17.07.2006 21:02 1.610.612.736 pagefile.sys
03.07.2006 00:46 222 boot.ini
28.04.2006 18:07 3.746 GERCC.txt
28.04.2006 18:07 1.061 RCPARAM.txt
25.04.2006 14:48 16 UsageTrack.txt
16 Datei(en) 1.611.039.813 Bytes
0 Verzeichnis(se), 10.402.603.008 Bytes frei


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.07.2006 22:49 20.864 22517174d5b0c13d7e40b4b7d885d9fb_35.exe
09.02.2005 16:54 1.271 erma.inf
21.12.2005 21:06 88.136 HPGetDownloadManager.ocx
20.10.2005 17:02 671.336 hpobjinstaller_gmn.dll
30.09.2005 12:04 714 hpobjinstaller_gmn.inf
06.04.2004 19:03 172.072 MessengerStatsPAClient.dll
26.05.2005 04:19 293 muweb.inf
29.06.2005 18:17 227 opuc.inf
30.11.2004 15:17 728 qdiagh.inf
27.08.2005 14:30 5.065 swflash.inf
26.05.2005 04:19 291 wuweb.inf
17.11.2004 22:44 114.728 ZIntro.ocx
12 Datei(en) 1.075.725 Bytes
0 Verzeichnis(se), 10.402.308.096 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\WINDOWS\system32\components

17.07.2006 07:35 <DIR> .
17.07.2006 07:35 <DIR> ..
16.07.2006 22:53 65.179 flx5.dll
1 Datei(en) 65.179 Bytes
2 Verzeichnis(se), 10.402.308.096 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

17.07.2006 21:10 <DIR> .
17.07.2006 21:10 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 10.402.308.096 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\WINDOWS\Temp

17.07.2006 21:12 <DIR> .
17.07.2006 21:12 <DIR> ..
17.07.2006 21:04 0 win3.tmp
17.07.2006 21:06 0 win4.tmp
17.07.2006 21:08 0 win5.tmp
17.07.2006 21:10 0 win6.tmp
17.07.2006 21:12 0 win8.tmp
5 Datei(en) 0 Bytes
2 Verzeichnis(se), 10.402.308.096 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\Temp

17.07.2006 00:23 <DIR> .
17.07.2006 00:23 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 10.402.308.096 Bytes frei

Log von der listen.bat:


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E82C-B3D5

Verzeichnis von C:\Programme

17.07.2006 00:23 <DIR> .
17.07.2006 00:23 <DIR> ..
05.06.2006 01:44 <DIR> ACD Systems 8.0.71
08.01.2006 16:19 <DIR> Acronis
31.12.2005 21:27 <DIR> Adobe
27.08.2005 20:38 <DIR> Ahead
16.07.2006 23:32 <DIR> Alcohol 120 1.9.5.3823
17.07.2006 00:23 <DIR> AnyDVD 6.0.3.1
05.06.2006 01:58 <DIR> ArcorOnline
17.02.2006 01:11 <DIR> ArcSoft
16.07.2006 15:40 <DIR> AviSynth 2.5
16.07.2006 15:36 <DIR> Bewerbung 4.0
04.01.2006 23:26 <DIR> Bhelpuri
25.05.2006 21:58 <DIR> Boilsoft ASF Converter
12.03.2006 14:14 <DIR> Canon
10.09.2005 23:01 <DIR> CDex_150
17.07.2006 00:23 <DIR> CleanUp!
05.06.2006 02:04 <DIR> CloneCD 5.2.9.1
05.06.2006 02:07 <DIR> CloneDVD 2.8.9.9
07.05.2006 23:44 <DIR> CyberLink
16.07.2006 22:43 <DIR> Defrag Professional v8.5.1788
04.06.2006 23:51 <DIR> DivX 6.2.2
18.05.2005 22:21 <DIR> Duden
26.12.2005 15:50 <DIR> Dup2
04.01.2006 20:17 <DIR> DVD Shrink 3.2.0.15
16.07.2006 15:42 <DIR> DVD Treasury
19.03.2006 19:50 <DIR> DVD-Cover
07.07.2006 18:09 <DIR> Everest Home Edition
23.09.2005 19:42 <DIR> FileZilla
14.07.2006 21:57 <DIR> FlashFXP.v3.3.4.1106
16.07.2006 22:50 <DIR> F?nts
17.07.2006 00:50 <DIR> Gemeinsame Dateien
04.03.2006 02:34 <DIR> GX30i USB-Handset Manager
31.01.2006 22:36 <DIR> Hamachi
17.01.2006 22:45 <DIR> HighMAT CD Writing Wizard
16.07.2006 22:58 <DIR> ICQLite
16.06.2006 11:39 <DIR> Internet Explorer
07.09.2005 18:56 <DIR> iPhoto Plus 4
05.06.2006 02:30 <DIR> IsoBuster Pro 1.9.0.3
19.05.2005 01:03 <DIR> Java
07.08.2005 01:09 <DIR> Learn2.com
07.08.2005 00:47 <DIR> Logitech
17.01.2006 22:45 <DIR> Messenger
14.07.2006 15:12 <DIR> Messenger Plus! Live 4.00.235
18.05.2005 22:13 <DIR> Microsoft Office
18.05.2005 22:12 <DIR> Microsoft Visual Studio
18.05.2005 22:13 <DIR> Microsoft Works
18.05.2005 22:14 <DIR> Microsoft.NET
18.05.2005 20:34 <DIR> Movie Maker
13.08.2005 13:50 <DIR> MP3 renamer
18.05.2005 20:33 <DIR> MSN Gaming Zone
14.07.2006 15:12 <DIR> MSN Messenger
03.10.2005 16:52 <DIR> MSNTools
18.05.2005 20:35 <DIR> NetMeeting
26.03.2006 14:48 <DIR> Nokia
18.05.2005 20:53 <DIR> NVIDIA Corporation
18.05.2005 22:21 <DIR> Office-Bibliothek
30.05.2006 21:13 <DIR> OfficeUpdate11
04.06.2006 23:58 <DIR> OllyDbg
16.07.2006 16:48 <DIR> Online Sig 13c
14.07.2006 17:39 <DIR> Online Tv Decoder
18.05.2005 20:35 <DIR> Online-Dienste
12.04.2006 20:17 <DIR> Outlook Express
21.05.2006 23:02 <DIR> Peid 0.93
29.08.2005 01:34 <DIR> Plus!
02.09.2005 00:59 <DIR> PSM5
19.11.2005 21:28 <DIR> QuickPar 0.9.1
05.06.2006 01:33 <DIR> QuickTime Pro 7.1.0.210
23.05.2006 20:17 <DIR> Razer
07.08.2005 01:09 <DIR> Real
17.02.2006 01:12 <DIR> ScanSoft
18.03.2006 15:59 <DIR> Serials 2000 7.1 Plus
04.03.2006 00:59 <DIR> SHARP GSM GPRS USB Driver
09.09.2005 02:43 <DIR> Smaf
14.07.2006 03:32 <DIR> Spybot - Search & Destroy
03.04.2006 18:18 <DIR> Steam
23.08.2005 15:58 <DIR> Symantec
17.07.2006 21:03 <DIR> Symantec AntiVirus
23.09.2005 18:39 <DIR> Temp
23.08.2005 18:18 <DIR> TuneUp Utilities 2006
14.07.2006 17:25 <DIR> UTorrent 1.6
07.08.2005 01:09 <DIR> Viewpoint
04.06.2006 18:08 <DIR> VLC 0.8.5
07.07.2006 13:14 <DIR> VobBlanker 2.1.1.0
05.06.2006 01:19 <DIR> WinAce 2.6
05.06.2006 01:54 <DIR> Winamp Pro 5.22
17.01.2006 22:47 <DIR> Windows Media Connect 2
16.06.2006 11:39 <DIR> Windows Media Player
18.05.2005 20:32 <DIR> Windows NT
18.05.2005 21:54 <DIR> WinRAR
05.06.2006 01:05 <DIR> WinZip Pro 10.0.6699
29.06.2006 14:32 <DIR> XP AntiSpy 3.96-2
04.02.2006 15:09 <DIR> XP Optimierer 1.0
0 Datei(en) 0 Bytes
93 Verzeichnis(se), 10.402.304.000 Bytes frei

Ich hoffe nun ist alles ersichtlich, was du sehen musst. Eins muss ich auch zwischendurch noch loswerden. Das hier ist wirklich ein TOP Board :thumbsup:

Gruß BlueBerryOne
Dieser Beitrag wurde am 17.07.2006 um 21:47 Uhr von BlueBerryOne editiert.
Seitenanfang Seitenende
18.07.2006, 11:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 BlueBerryOne

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\winbjt32.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\Downloaded Program Files\22517174d5b0c13d7e40b4b7d885d9fb_35.exe
C:\WINDOWS\system32\components\flx5.dll
C:\WINDOWS\Temp\win3.tmp
C:\WINDOWS\Temp\win4.tmp
C:\WINDOWS\Temp\win5.tmp
C:\WINDOWS\Temp\win6.tmp
C:\WINDOWS\Temp\win8.tmp
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
poste das log vom Avenger, was erscheint

**
4.
loesche manuell:

C:\Programme
16.07.2006 22:50 <DIR> F?nts

-> nur hier erscheint das "Fragezeichen", in Wirklichkeit verwendet der Purityscan kryptsche Zeichen, achte also auf das Datum und loesche es.

**
5.
loesche manuell:
C:\WINDOWS\system32\components

**
6.
wende smitfraudfix an (poste die scanreporte von Option 1 und 2 und lasse auch die Registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
7.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {0EAA92C7-80D0-4DB6-BC00-A545D858DF68} - (no file)
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt1.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)

O20 - Winlogon Notify: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)

8.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.07.2006, 14:57
...neu hier

Beiträge: 7
#19 So habe alles so gemacht wie du mir gesagt hast. Hier die Logs:

Avengerlog:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ilsnjeyy

*******************

Script file located at: \??\C:\WINDOWS\system32\anjqtwih.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ismon.exe deleted successfully.
File C:\WINDOWS\system32\ixt1.dll deleted successfully.
File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\isnotify.exe deleted successfully.
File C:\WINDOWS\system32\issearch.exe deleted successfully.
File C:\WINDOWS\system32\ishost.exe deleted successfully.
File C:\WINDOWS\system32\winbjt32.dll deleted successfully.
File C:\WINDOWS\svchost.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\22517174d5b0c13d7e40b4b7d885d9fb_35.exe deleted successfully.
File C:\WINDOWS\system32\components\flx5.dll deleted successfully.
File C:\WINDOWS\Temp\win3.tmp deleted successfully.
File C:\WINDOWS\Temp\win4.tmp deleted successfully.
File C:\WINDOWS\Temp\win5.tmp deleted successfully.
File C:\WINDOWS\Temp\win6.tmp deleted successfully.
File C:\WINDOWS\Temp\win8.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

SmitFraud Log 1:

SmitFraudFix v2.73

Scan done at 13:55:20,71, 18.07.2006
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Smitfraud Log 2:

SmitFraudFix v2.73

Scan done at 13:58:43,18, 18.07.2006
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Ewidoscan:

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 14:49:14 18.07.2006

+ Scan-Ergebnis:



C:\Programme\Bhelpuri\Trixie\Scripts\HotmailEnhanced.user.js -> Adware.MediaMotor : Gesäubert.
C:\avenger\backup.zip/avenger/22517174d5b0c13d7e40b4b7d885d9fb_35.exe -> Downloader.Small.bwy : Gesäubert.
C:\avenger\backup.zip/avenger/flx5.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adition[2].txt -> TrackingCookie.Adition : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@com[1].txt -> TrackingCookie.Com : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.etracker[1].txt -> TrackingCookie.Etracker : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stat.onestat[2].txt -> TrackingCookie.Onestat : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert.
C:\avenger\backup.zip/avenger/winbjt32.dll -> Trojan.Mezzia : Gesäubert.


::Berichtende

Gruß BlueBerryOne
Dieser Beitrag wurde am 18.07.2006 um 16:38 Uhr von BlueBerryOne editiert.
Seitenanfang Seitenende
18.07.2006, 17:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 **
loesche: C:\avenger\backup.zip

**
scanne mit Panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.07.2006, 18:29
...neu hier

Beiträge: 7
#21 So hier der Pandalog:


Incident Status Location

Spyware:Cookie/Cgi-bin Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@cgi-bin[1].txt
Spyware:Cookie/Malwarewipe Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@malwarewipe[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.zip[SmitfraudFix/Process.exe]

Habe auf C ein Ordner Namens "Quarantäne" gefunden wo diese Sachen drin sind:


Was mache ich mit dem? Habe nämlich auch noch ein Prozess namens "oodag.exe" laufen. Evtl. ist das auch noch was schädliches ;)

Gruß BlueBerryOne
Dieser Beitrag wurde am 18.07.2006 um 18:38 Uhr von BlueBerryOne editiert.
Seitenanfang Seitenende
18.07.2006, 19:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 das ist hoechst eigenartig, denn das Proggie ist alles andere als Malware.
wann wurde dieser Ordner Quarantaene erstellt ?

klicke mal auf infected.log und poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.07.2006, 19:54
...neu hier

Beiträge: 7
#23 Schaue mal auf dem Bild, das in dem Editor ist der Inhalt der Logdatei. Die wurde Heute Nacht um 3:45 erstellt. Ob das O&O Defrag Prof etwas versucht war?

Gruß BlueBerryOne
Seitenanfang Seitenende
18.07.2006, 23:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 hast du Heute Nacht um 3:45 mit irgendeinem Scanner gearbeitet ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.07.2006, 23:52
...neu hier

Beiträge: 7
#25 Ah stimmt jetzt wo du es sagst. Ich hatte McAfee scannen lassen. Hab das jetzt aber auch gelöscht auch die Quarantäne Dateien. Hier nochmal ein aktueller Log von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 23:50:41, on 18.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol 120 1.9.5.3823\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.google.de
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6847F6FA-A58C-4992-B2F0-61E39C13FCC7}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0787.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0787.00.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120 1.9.5.3823\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


Mein System müsste nun wieder clean sein oder? Oder muss ich das vom Panda log noch irgendwie wegmachen?

Edit// Ja mein System ist dank deiner exellenten Hilfe soweit wieder auf den Beinen ;) Habe dir auch noch eine PM geschickt. Werde es noch ein paar Tage im Auge behalten mein System. Also nochmals 1000 Dank an dich und mache weiter so!! Ich schaue mich noch ein bisschen hier im Forum um, da ich noch einiges nützliches lernen kann.

Gruß BlueBerryOne
Dieser Beitrag wurde am 19.07.2006 um 00:55 Uhr von BlueBerryOne editiert.
Seitenanfang Seitenende
19.07.2006, 18:58
...neu hier

Beiträge: 5
#26 Allen hier ein liebes Hallo,
und ich freue mich dass es dieses Forum gibt.

Wie ich sehe, habe nicht nur ich mit „Alert“ ein Problem!

Und dazu kommt, wie mein Nick schon ahnen lässt, bin ich selbst noch ein Problem - benötige außergewöhnliche Hilfe. *smile Verstehe nur die Hälfte von dem was hier geschrieben wird.
Wer nimmt mich an die Hand und führt einen Invaliden-Rentner an das gewünschte Ziel?

Problem:
Taskleiste gelbes dreieckiges Schild mit Ausrufezeichen plinkt! (Pop-up „Computer infectet)
Und daneben ein rundes Zeichen, es plinkt und wechselt: Mal Fragezeichen mal Halteverbot? (Virus Alert)
Ständig Pop-up’s

Bitte um Hilfe, was soll ich tun?

hilflos06
Seitenanfang Seitenende
19.07.2006, 19:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 hilflos06

Beginn: arbeite das ab und poste die logs ;)
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 20:56
Moderator

Beiträge: 7805
#28 Hier gehts weiter: http://board.protecus.de/t24386.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende