Spyware Diskussion von unseren Experten... :)

#61 ich sollte also besser dieses Proggie nicht empfehlen ? es kann doch nicht sein, dass MS sein eigenes System zerschiesst, so richtig verstehe ich das nicht..
__________
MfG Sabina

rund um die PC-Sicherheit

#62 Ich versteh es auch nicht,nebenbei wird auch noch ein Report nach M$ verschickt
Vielleicht ist doch noch ein Beta version
__________
MfG Argus

#63

Zitat

Beta is Latin for "still doesn't work."

__________
MfG Sabina

rund um die PC-Sicherheit

#64 entfernungs tool fuer LOP infection

Anleitung
LOP infektion
Download deljob.bat zum Desktop und doppelklicke deljob.bat
Du solltest jetzt auf dem Desktop diese Datei finden.--> logit.txt doppelt klicken--> kopiere den Text, der erscheint

Vorbild
logit.txt:
--------------------------------------------------------
FILES IN TASKS DIR
.
A6BC4AC19187C351.job
Norton AntiVirus - Scan my computer - Joris.job
One Button Checkup van Norton SystemWorks.job
Symantec Drmc.job
XoftSpy.job
--------------------------------------------------------
LOP-FILES FOUND
.
A6BC4AC19187C351.job
--------------------------------------------------------
FILES AFTER DELETION
.
Norton AntiVirus - Scan my computer - Joris.job
One Button Checkup van Norton SystemWorks.job
Symantec Drmc.job
XoftSpy.job
--------------------------------------------------------




__________
MfG Argus

#65 kann ich das verwenden ???
__________
MfG Sabina

rund um die PC-Sicherheit

#66 Natuerlich
Ich schicke dir den Link via PM
__________
MfG Argus

#67 Ich sitzt hier vor einen Rechner der toll infiziert ist
Systemwiederherstellung und CMD funktioneren nicht mehr
Auch bekomme eine mitteilung bei neustart kann svchosts.exe nicht finden


__________
MfG Argus

#68 versuche mit mal ein hijackThis zu posten + datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#69 Ich wollte eigentlich Dein Hut nehmen und.....
Geht jetzt nicht,bin wieder zu Hause
Habe
SpywareQuake
Intcodec
Trojan-Downloader.Zlob.Media-Codec
Backdoor.Ciadoor Backdoor
DesktopScam Trojan Downloader ist viruxz.dll
entfernen koennen

Hab nur noch das erste log !

Logfile of HijackThis v1.99.1
Scan saved at 13:15:00, on 3-9-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\Program Files\Stan's Stuff, Inc\Klox\klox.exe
C:\PROGRA~1\eScan\kavss.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Kill Inhoster
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\IntCodec\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Program Files\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [tjyxghub] C:\tcklwsyj.bat
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Klox.lnk = C:\Program Files\Stan's Stuff, Inc\Klox\klox.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.gamengame.com/KALogoutComponent.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Windows Firewall (WF) / Internet-verbinding delen (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

Hatte bei ihm alles installiert fuer ein sicheres Surfen,aber er hat es nie benutzt
Als er Kaspersky Anti-Hacker entfernte funktionierte eScan auch nicht mehr
__________
MfG Argus

#70 jetzt ist noch das drauf:
http://virus-protect.org/artikel/dienste/wsock32sys.html
um die viruxz.dll kuemmere ich mich spaeter, ist kein Problem...
1.
fixe mit dem hijacktHis

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\IntCodec\isaddon.dll (file missing)
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll

PC neustarten

"Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...."

Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

poste die 4 logs von datfindbat
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#71 C:\Program Files\Net Control 2\NetServ.exe

Unknown Service # 3
Service Name: NetControl2Server
Display Name: Net Control 2 Server
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\program files\net control 2\netserv.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False
--------------------------------------------------------------------------------------------

mswincom32.exe


Pocket Killbox version 2.0.0.648
was started @ terça-feira,

# 1 [Delete on Reboot]
Path = C:\WINDOWS\System32\dllcache\mswincom32.exe


-------------------------------------------------------------------------------------------

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 05-09-2006 10:08:33 for strings:
; 'net control 2 server'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONTROL2SERVER\0000]
"DeviceDesc"="Net Control 2 Server"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetControl2Server]
"DisplayName"="Net Control 2 Server"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETCONTROL2SERVER\0000]
"DeviceDesc"="Net Control 2 Server"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NETCONTROL2SERVER\0000]
"DeviceDesc"="Net Control 2 Server"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000]
"DeviceDesc"="Net Control 2 Server"

; End Of The Log...

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONTROL2SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetControl2Server
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETCONTROL2SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NETCONTROL2SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000

Files to delete:
C:\WINDOWS\System32\dllcache\mswincom32.exe
c:\program files\net control 2\netserv.exe

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mfvcdpta

*******************

Script file located at: \??\C:\Program Files\yrcomtkj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetControl2Server deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000
Status: 0xc0000034



File C:\WINDOWS\System32\dllcache\mswincom32.exe not found!
Deletion of file C:\WINDOWS\System32\dllcache\mswincom32.exe failed!

Could not process line:
C:\WINDOWS\System32\dllcache\mswincom32.exe
Status: 0xc0000034



Could not open file c:\program files\net control 2\netserv.exe for deletion
Deletion of file c:\program files\net control 2\netserv.exe failed!

Could not process line:
c:\program files\net control 2\netserv.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.


-------------------


Using IDE file bront-bj.ide
Using IDE file bront-bh.ide
Using IDE file poebo-hv.ide
Using IDE file bobax-dz.ide
Using IDE file vbsillyb.ide
Using IDE file virut-a.ide
Using IDE file banl-ama.ide
Using IDE file bank-czp.ide
Using IDE file banc-atd.ide
Using IDE file mytob-m.ide
Using IDE file zlob-cn.ide
Using IDE file zlob-qv.ide
Using IDE file ds060818.ide
Using IDE file ldpin-op.ide
Using IDE file looked-h.ide

Full Scanning

>>> Virus 'W32/Rbot-FMM' found in file C:\!KillBox\mswincom32.exe
Removal successful
Data\Microsoft\Windows\UsrClass.datings\LocalService\Local Settings\Application
Data\Microsoft\Windows\UsrClass.dat.LOG\LocalService\Local Settings\Application
on Data\Microsoft\Windows\UsrClass.datgs\NetworkService\Local Settings\Applicati
on Data\Microsoft\Windows\UsrClass.dat.LOGetworkService\Local Settings\Applicati
05:30 FILE:0000
__________
MfG Sabina

rund um die PC-Sicherheit

#72 CMD Problem:[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]

In the right-pane, double-click DisableCMD and set it's data to 0

Quelle: http://windowsxp.mvps.org/disablecmd.htm

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tlvppfbl
*******************
Script file located at: \??\C:\Program Files\psjsrdtf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:

File C:\Program Files\IntCodec\isaddon.dll deleted successfully.
File C:\Program Files\IntCodec\isamini.exe deleted successfully.
File C:\Program Files\IntCodec\isamonitor.exe deleted successfully.

File C:\Program Files\IntCodec\iesplugin.dll not found!
Deletion of file C:\Program Files\IntCodec\iesplugin.dll failed!

Could not process line:
C:\Program Files\IntCodec\iesplugin.dll
Status: 0xc0000034

File C:\Program Files\IntCodec\iesuninst.exe deleted successfully.
File C:\Program Files\IntCodec\isauninst.exe deleted successfully.
File C:\Program Files\IntCodec\pmmon.exe deleted successfully.
File C:\Program Files\IntCodec\pmsngr.exe deleted successfully.
File C:\Program Files\IntCodec\pmuninst.exe deleted successfully.
File C:\Program Files\IntCodec\ts.ico deleted successfully.
File C:\Program Files\IntCodec\ot.ico deleted successfully.

Completed script processing.
*******************
Finished! Terminate.

Als ich versuchte die Systemwiederherstellung im Registry zu reparieren
kam aus dem Rechner ein tickern und der pc reagierte nicht mehr
Hab jetzt folgendes Problem : Diskboot failure insert systemdisk and press enter
__________
MfG Argus

#73 was hast du da in der Registry rumgestellt ???? kannst du es noch nachvollziehen ???
Leg die Windows CD ein und gib ein er soll von der CD booten
Wenn das alles nicht hilft, mache eine Reparaturinstallation
__________
MfG Sabina

rund um die PC-Sicherheit

#74 Ich wollte unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
Das DWORD-wert 'DisableSR' auf 0 zurueck stellen
Aber soweit ist es ja nicht gekommen
Ich hab ins Netz noch zwei moeglichkeiten gefunden um Systemwiederherstellung wieder zu aktivieren
Kann erst Morgen wieder an diesen Rechner rann!
__________
MfG Argus

#75 ich bin nun wirklich kein As, was die hardware betrifft, aber ueberpruefe mal, ob alle Stecker (Master, Slam) eingesteckt sind, dann mache den Rechner immer wieder an/aus und versuche reinzukommen ins System.
__________
MfG Sabina

rund um die PC-Sicherheit