Spyware Diskussion von unseren Experten... :)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
18.08.2006, 14:19
Ehrenmitglied
Beiträge: 29434 |
||
|
||
18.08.2006, 15:22
Ehrenmitglied
Beiträge: 6028 |
#62
Ich versteh es auch nicht,nebenbei wird auch noch ein Report nach M$ verschickt
Vielleicht ist doch noch ein Beta version __________ MfG Argus |
|
|
||
18.08.2006, 21:37
Ehrenmitglied
Beiträge: 29434 |
||
|
||
28.08.2006, 20:12
Ehrenmitglied
Beiträge: 6028 |
#64
entfernungs tool fuer LOP infection
Anleitung LOP infektion Download deljob.bat zum Desktop und doppelklicke deljob.bat Du solltest jetzt auf dem Desktop diese Datei finden.--> logit.txt doppelt klicken--> kopiere den Text, der erscheint Vorbild logit.txt: -------------------------------------------------------- FILES IN TASKS DIR . A6BC4AC19187C351.job Norton AntiVirus - Scan my computer - Joris.job One Button Checkup van Norton SystemWorks.job Symantec Drmc.job XoftSpy.job -------------------------------------------------------- LOP-FILES FOUND . A6BC4AC19187C351.job -------------------------------------------------------- FILES AFTER DELETION . Norton AntiVirus - Scan my computer - Joris.job One Button Checkup van Norton SystemWorks.job Symantec Drmc.job XoftSpy.job -------------------------------------------------------- Anhang: deljob.bat __________ MfG Argus Dieser Beitrag wurde am 28.08.2006 um 21:19 Uhr von Arnold editiert.
|
|
|
||
28.08.2006, 20:51
Ehrenmitglied
Beiträge: 29434 |
||
|
||
28.08.2006, 21:12
Ehrenmitglied
Beiträge: 6028 |
||
|
||
03.09.2006, 16:31
Ehrenmitglied
Beiträge: 6028 |
#67
Ich sitzt hier vor einen Rechner der toll infiziert ist
Systemwiederherstellung und CMD funktioneren nicht mehr Auch bekomme eine mitteilung bei neustart kann svchosts.exe nicht finden __________ MfG Argus |
|
|
||
03.09.2006, 17:46
Ehrenmitglied
Beiträge: 29434 |
#68
versuche mit mal ein hijackThis zu posten + datfindbat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2006, 18:06
Ehrenmitglied
Beiträge: 6028 |
#69
Ich wollte eigentlich Dein Hut nehmen und.....
Geht jetzt nicht,bin wieder zu Hause Habe SpywareQuake Intcodec Trojan-Downloader.Zlob.Media-Codec Backdoor.Ciadoor Backdoor DesktopScam Trojan Downloader ist viruxz.dll entfernen koennen Hab nur noch das erste log ! Logfile of HijackThis v1.99.1 Scan saved at 13:15:00, on 3-9-2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\Program Files\DAEMON Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Skype\Phone\Skype.exe C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\Program Files\Stan's Stuff, Inc\Klox\klox.exe C:\PROGRA~1\eScan\kavss.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wuauclt.exe C:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Kill Inhoster R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\IntCodec\isaddon.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Program Files\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [tjyxghub] C:\tcklwsyj.bat O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - Global Startup: Klox.lnk = C:\Program Files\Stan's Stuff, Inc\Klox\klox.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.gamengame.com/KALogoutComponent.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: Windows Firewall (WF) / Internet-verbinding delen (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) Hatte bei ihm alles installiert fuer ein sicheres Surfen,aber er hat es nie benutzt Als er Kaspersky Anti-Hacker entfernte funktionierte eScan auch nicht mehr __________ MfG Argus |
|
|
||
03.09.2006, 19:25
Ehrenmitglied
Beiträge: 29434 |
#70
jetzt ist noch das drauf:
http://virus-protect.org/artikel/dienste/wsock32sys.html um die viruxz.dll kuemmere ich mich spaeter, ist kein Problem... 1. fixe mit dem hijacktHis F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\IntCodec\isaddon.dll (file missing) O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll PC neustarten "Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...." Start - Ausführen - regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD (Ohne den Schlüssel Policies) Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein poste die 4 logs von datfindbat http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 10:32
Ehrenmitglied
Beiträge: 29434 |
#71
C:\Program Files\Net Control 2\NetServ.exe
Unknown Service # 3 Service Name: NetControl2Server Display Name: Net Control 2 Server Start Mode: Disabled Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\program files\net control 2\netserv.exe State: Stopped Process ID: 0 Started: False Exit Code: 1077 Accept Pause: False Accept Stop: False -------------------------------------------------------------------------------------------- mswincom32.exe Pocket Killbox version 2.0.0.648 was started @ terça-feira, # 1 [Delete on Reboot] Path = C:\WINDOWS\System32\dllcache\mswincom32.exe ------------------------------------------------------------------------------------------- REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 05-09-2006 10:08:33 for strings: ; 'net control 2 server' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONTROL2SERVER\0000] "DeviceDesc"="Net Control 2 Server" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetControl2Server] "DisplayName"="Net Control 2 Server" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETCONTROL2SERVER\0000] "DeviceDesc"="Net Control 2 Server" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NETCONTROL2SERVER\0000] "DeviceDesc"="Net Control 2 Server" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000] "DeviceDesc"="Net Control 2 Server" ; End Of The Log... Zitat registry keys to delete:Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\mfvcdpta ******************* Script file located at: \??\C:\Program Files\yrcomtkj.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetControl2Server deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 Status: 0xc0000034 File C:\WINDOWS\System32\dllcache\mswincom32.exe not found! Deletion of file C:\WINDOWS\System32\dllcache\mswincom32.exe failed! Could not process line: C:\WINDOWS\System32\dllcache\mswincom32.exe Status: 0xc0000034 Could not open file c:\program files\net control 2\netserv.exe for deletion Deletion of file c:\program files\net control 2\netserv.exe failed! Could not process line: c:\program files\net control 2\netserv.exe Status: 0xc000003a Completed script processing. ******************* Finished! Terminate. ------------------- Using IDE file bront-bj.ide Using IDE file bront-bh.ide Using IDE file poebo-hv.ide Using IDE file bobax-dz.ide Using IDE file vbsillyb.ide Using IDE file virut-a.ide Using IDE file banl-ama.ide Using IDE file bank-czp.ide Using IDE file banc-atd.ide Using IDE file mytob-m.ide Using IDE file zlob-cn.ide Using IDE file zlob-qv.ide Using IDE file ds060818.ide Using IDE file ldpin-op.ide Using IDE file looked-h.ide Full Scanning >>> Virus 'W32/Rbot-FMM' found in file C:\!KillBox\mswincom32.exe Removal successful Data\Microsoft\Windows\UsrClass.datings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG\LocalService\Local Settings\Application on Data\Microsoft\Windows\UsrClass.datgs\NetworkService\Local Settings\Applicati on Data\Microsoft\Windows\UsrClass.dat.LOGetworkService\Local Settings\Applicati 05:30 FILE:0000 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 19:19
Ehrenmitglied
Beiträge: 6028 |
#72
CMD Problem:[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
In the right-pane, double-click DisableCMD and set it's data to 0 Quelle: http://windowsxp.mvps.org/disablecmd.htm Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\tlvppfbl ******************* Script file located at: \??\C:\Program Files\psjsrdtf.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Program Files\IntCodec\isaddon.dll deleted successfully. File C:\Program Files\IntCodec\isamini.exe deleted successfully. File C:\Program Files\IntCodec\isamonitor.exe deleted successfully. File C:\Program Files\IntCodec\iesplugin.dll not found! Deletion of file C:\Program Files\IntCodec\iesplugin.dll failed! Could not process line: C:\Program Files\IntCodec\iesplugin.dll Status: 0xc0000034 File C:\Program Files\IntCodec\iesuninst.exe deleted successfully. File C:\Program Files\IntCodec\isauninst.exe deleted successfully. File C:\Program Files\IntCodec\pmmon.exe deleted successfully. File C:\Program Files\IntCodec\pmsngr.exe deleted successfully. File C:\Program Files\IntCodec\pmuninst.exe deleted successfully. File C:\Program Files\IntCodec\ts.ico deleted successfully. File C:\Program Files\IntCodec\ot.ico deleted successfully. Completed script processing. ******************* Finished! Terminate. Als ich versuchte die Systemwiederherstellung im Registry zu reparieren kam aus dem Rechner ein tickern und der pc reagierte nicht mehr Hab jetzt folgendes Problem : Diskboot failure insert systemdisk and press enter __________ MfG Argus Dieser Beitrag wurde am 09.09.2006 um 23:27 Uhr von Arnold editiert.
|
|
|
||
10.09.2006, 00:01
Ehrenmitglied
Beiträge: 29434 |
#73
was hast du da in der Registry rumgestellt ???? kannst du es noch nachvollziehen ???
Leg die Windows CD ein und gib ein er soll von der CD booten Wenn das alles nicht hilft, mache eine Reparaturinstallation __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.09.2006, 13:15
Ehrenmitglied
Beiträge: 6028 |
#74
Ich wollte unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
Das DWORD-wert 'DisableSR' auf 0 zurueck stellen Aber soweit ist es ja nicht gekommen Ich hab ins Netz noch zwei moeglichkeiten gefunden um Systemwiederherstellung wieder zu aktivieren Kann erst Morgen wieder an diesen Rechner rann! __________ MfG Argus |
|
|
||
10.09.2006, 13:25
Ehrenmitglied
Beiträge: 29434 |
#75
ich bin nun wirklich kein As, was die hardware betrifft, aber ueberpruefe mal, ob alle Stecker (Master, Slam) eingesteckt sind, dann mache den Rechner immer wieder an/aus und versuche reinzukommen ins System.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
__________
MfG Sabina
rund um die PC-Sicherheit