SpyFalcon + SpywareQuake?

#0
12.07.2006, 10:36
Member

Beiträge: 23
#1 Also SpywareQuake ist bei mir definitve auf dem PC (heisst nur Spyquake2).
Ich wusste jetzt nur nicht bei eurer gepinnten Anleitung ab wann man sich nur um SpywareQuake kümmern muss oder ob es sich nicht um die Neue Variante SpyFalcon + SpywareQuake handelt.
In der Anleitung ist ja ein Auschnitt wo ganz groß drin steht "Your computer is infected", weil das erscheint bei mir auch.
Ich hoffe mal das es sich um die erste Variante handelt da ich dann ja nur alles abarbeiten muss.

Danke im vorraus
Noir
Seitenanfang Seitenende
12.07.2006, 11:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ich helfe dir, denn es ist nicht so einfach, das allein wegzubekommen.
poste bitte diese logs:
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.07.2006, 15:08
Member

Themenstarter

Beiträge: 23
#3 Hier die Logs:

HJ

Logfile of HijackThis v1.99.1
Scan saved at 14:22:55, on 12.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
D:\Progs\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\csrss.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\WINDOWS\System32\zlara.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Verzeichnis von C:\WINDOWS\system32

12.07.2006 14:38 581.908 wycdd.ini
12.07.2006 14:10 9.728 simpole.tlb
12.07.2006 14:10 58.880 hp100.tmp
12.07.2006 14:10 49.168 ld101.tmp
12.07.2006 09:55 4.980 stdole3.tlb
12.07.2006 08:38 579.930 wycdd.bak1
12.07.2006 08:38 569.396 ddcyw.dll
11.07.2006 14:36 2.206 wpa.dbl
11.07.2006 14:29 11.804 atmclk.exe
11.07.2006 14:29 90.112 dcomcfg.exe
11.07.2006 14:29 4.286 ot.ico
11.07.2006 14:28 2 wcpcc.exe
11.07.2006 14:28 81.920 csrss.dll
11.07.2006 14:27 156.672 oins.exe
11.07.2006 14:27 39.437 iifddba.dll
11.07.2006 14:27 59.408 regperf.exe
11.07.2006 14:27 15.872 winnya32.dll

14.06.2006 14:43 57.384 avsda.dll
18.05.2006 08:11 176.167 rmoc3260.dll
18.05.2006 08:11 5.632 pndx5032.dll
18.05.2006 08:11 6.656 pndx5016.dll
18.05.2006 08:11 278.528 pncrt.dll
11.05.2006 21:39 45 initdebug.nfo
08.05.2006 21:24 2.550 Uninstall.ico
08.05.2006 21:24 1.406 Help.ico
08.05.2006 21:24 30.590 pavas.ico
08.05.2006 19:25 0 asfiles.txt
06.05.2006 01:38 3.137 x_dtrace_log
06.05.2006 01:38 14 getfile.dat
01.05.2006 22:19 91.088 FNTCACHE.DAT
22.04.2006 08:04 7.006 jupdate-1.5.0_06-b05.log
22.04.2006 00:17 0 h323log.txt
22.04.2006 00:09 940.794 LoopyMusic.wav
22.04.2006 00:09 146.650 BuzzingBee.wav
21.04.2006 23:35 52.764 perfc009.dat
21.04.2006 23:35 391.000 perfh007.dat
21.04.2006 23:35 380.350 perfh009.dat
21.04.2006 23:35 786.220 PerfStringBackup.INI
21.04.2006 23:35 63.580 perfc007.dat
21.04.2006 23:23 25.065 wmpscheme.xml
21.04.2006 23:21 1.180 $winnt$.inf
21.04.2006 23:20 2.951 CONFIG.NT
21.04.2006 23:20 16.832 amcompat.tlb
21.04.2006 23:20 23.392 nscompat.tlb
21.04.2006 23:19 488 WindowsLogon.manifest
21.04.2006 23:19 488 logonui.exe.manifest
21.04.2006 23:19 749 ncpa.cpl.manifest
21.04.2006 23:19 749 nwc.cpl.manifest
21.04.2006 23:19 749 sapi.cpl.manifest
21.04.2006 23:19 749 wuaucpl.cpl.manifest
21.04.2006 23:19 749 cdplayer.exe.manifest
21.04.2006 23:18 21.740 emptyregdb.dat
06.04.2006 10:54 73.728 asuninst.exe



Ich hoffe es ist alles dabei.

Noir
Seitenanfang Seitenende
12.07.2006, 17:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 poste noch das :

liste.zip -> entpacken -> liste.bat doppeltklicken -> der Texteditor wird sich oeffnen-> mit der rechten Maustaste abkopieren und "einfuegen" in den Thread.
http://virus-protect.org/zip/liste.zip
+
du hast von der datfindbat dreimal das gleiche log gepostet...ist dir das nicht aufgefallen ?

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\


schau also noch mal auf der seite von datfindbat und poste die restlichen drei logs .
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.07.2006, 18:57
Member

Themenstarter

Beiträge: 23
#5 der rest:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\DOKUME~1\JRG~1\LOKALE~1\Temp

12.07.2006 18:50 32.768 ~DF7B54.tmp
12.07.2006 18:43 32.768 ~DF45CA.tmp
12.07.2006 18:43 16.384 ~DFA434.tmp
12.07.2006 17:26 32.768 ~DF8231.tmp
12.07.2006 17:26 32.768 ~DF8239.tmp
12.07.2006 17:26 32.768 ~DF53B7.tmp
12.07.2006 17:26 16.384 ~DF3F96.tmp
12.07.2006 16:46 32.768 ~DFFA62.tmp
12.07.2006 16:46 32.768 ~DFF761.tmp
12.07.2006 16:44 32.768 ~DF39FF.tmp
12.07.2006 16:44 16.384 ~DF75FF.tmp
12.07.2006 16:07 32.768 ~DF7FD4.tmp
12.07.2006 16:07 32.768 ~DF7DEA.tmp
12.07.2006 16:07 32.768 ~DF7B6A.tmp
12.07.2006 16:07 32.768 ~DF7A69.tmp
12.07.2006 16:07 32.768 ~DF37C2.tmp
12.07.2006 16:07 16.384 ~DF7E35.tmp
12.07.2006 15:03 32.768 ~DF8ECC.tmp
12.07.2006 15:03 32.768 ~DF87DE.tmp
12.07.2006 15:03 32.768 ~DF7A6D.tmp
12.07.2006 15:03 32.768 ~DF78BF.tmp
12.07.2006 15:03 32.768 ~DF3C2C.tmp
12.07.2006 15:03 16.384 ~DF9E4B.tmp
12.07.2006 15:00 32.768 ~DF8691.tmp
12.07.2006 15:00 32.768 ~DF84DA.tmp
12.07.2006 15:00 32.768 ~DF82E0.tmp
12.07.2006 15:00 32.768 ~DF7DFB.tmp
12.07.2006 14:59 32.768 ~DF440D.tmp
12.07.2006 14:59 16.384 ~DF29E6.tmp
12.07.2006 14:59 16.384 ~DFF0CA.tmp
12.07.2006 14:59 16.384 ~DFCF5A.tmp
12.07.2006 14:59 32.768 ~DF94F7.tmp
12.07.2006 14:59 32.768 ~DF9386.tmp
12.07.2006 14:59 32.768 ~DF8F8B.tmp
12.07.2006 14:59 32.768 ~DF8DA7.tmp
12.07.2006 14:58 32.768 ~DF5196.tmp
12.07.2006 14:58 16.384 ~DF3815.tmp
12.07.2006 14:58 16.384 ~DFF83A.tmp
12.07.2006 14:57 32.768 ~DFBC52.tmp
12.07.2006 14:57 32.768 ~DFB66B.tmp
12.07.2006 14:57 32.768 ~DFB790.tmp
12.07.2006 14:57 32.768 ~DFA811.tmp
12.07.2006 14:57 32.768 ~DF7CF2.tmp
12.07.2006 14:57 16.384 ~DF62A8.tmp
12.07.2006 14:57 16.384 ~DF1EC5.tmp
12.07.2006 14:56 32.768 ~DFD758.tmp
12.07.2006 14:56 32.768 ~DFD4EE.tmp
12.07.2006 14:56 32.768 ~DFC9CB.tmp
12.07.2006 14:56 32.768 ~DFC9B9.tmp
12.07.2006 14:56 32.768 ~DF9A31.tmp
12.07.2006 14:56 16.384 ~DF81CD.tmp
12.07.2006 14:53 32.768 ~DFFE02.tmp
12.07.2006 14:53 32.768 ~DFFA4D.tmp
12.07.2006 14:53 32.768 ~DFFA53.tmp
12.07.2006 14:53 32.768 ~DFE537.tmp
12.07.2006 14:53 32.768 ~DFBF87.tmp
12.07.2006 14:53 16.384 ~DF9BA9.tmp
12.07.2006 14:51 32.768 ~DF265.tmp
12.07.2006 14:51 32.768 ~DFF895.tmp
12.07.2006 14:51 32.768 ~DFF5FB.tmp
12.07.2006 14:51 32.768 ~DFEB19.tmp
12.07.2006 14:51 32.768 ~DFB659.tmp
12.07.2006 14:51 16.384 ~DFA1E0.tmp
12.07.2006 14:49 32.768 ~DFB68C.tmp
12.07.2006 14:49 32.768 ~DFB406.tmp
12.07.2006 14:49 32.768 ~DFB32A.tmp
12.07.2006 14:49 32.768 ~DFA2BD.tmp
12.07.2006 14:49 32.768 ~DF7028.tmp
12.07.2006 14:48 16.384 ~DF5731.tmp
12.07.2006 14:47 16.384 ~DFDDD3.tmp
12.07.2006 14:47 16.384 ~DFB299.tmp
12.07.2006 14:47 16.384 ~DF87C3.tmp
12.07.2006 14:47 32.768 ~DF2F38.tmp
12.07.2006 14:47 32.768 ~DF2CB8.tmp
12.07.2006 14:47 32.768 ~DF25FA.tmp
12.07.2006 14:46 32.768 ~DF1462.tmp
12.07.2006 14:46 32.768 ~DFE133.tmp
12.07.2006 14:46 16.384 ~DFC91F.tmp
12.07.2006 14:45 32.768 ~DF5E59.tmp
12.07.2006 14:45 32.768 ~DF5DE6.tmp
12.07.2006 14:45 32.768 ~DF5B2E.tmp
12.07.2006 14:45 32.768 ~DF554E.tmp
12.07.2006 14:45 32.768 ~DF1AE0.tmp
12.07.2006 14:45 16.384 ~DF209.tmp
12.07.2006 14:41 32.768 ~DF5D22.tmp
12.07.2006 14:40 32.768 ~DF5881.tmp
12.07.2006 14:40 32.768 ~DF583C.tmp
12.07.2006 14:40 32.768 ~DF493F.tmp
12.07.2006 14:40 32.768 ~DF1D82.tmp
12.07.2006 14:40 16.384 ~DF43D.tmp
12.07.2006 14:39 16.384 ~DF7261.tmp
12.07.2006 14:38 32.768 ~DF4096.tmp
12.07.2006 14:38 32.768 ~DF3CF4.tmp
12.07.2006 14:38 32.768 ~DF39A2.tmp
12.07.2006 14:38 32.768 ~DF27BE.tmp
12.07.2006 14:38 32.768 ~DFF347.tmp
12.07.2006 14:38 16.384 ~DFDD14.tmp
12.07.2006 14:36 32.768 ~DFF713.tmp
12.07.2006 14:36 32.768 ~DFF706.tmp
12.07.2006 14:36 32.768 ~DFE88D.tmp
12.07.2006 14:36 32.768 ~DFB064.tmp
12.07.2006 14:36 16.384 ~DF9BDE.tmp
12.07.2006 14:32 32.768 ~DF797C.tmp
12.07.2006 14:32 32.768 ~DF7837.tmp
12.07.2006 14:32 32.768 ~DF7795.tmp
12.07.2006 14:32 32.768 ~DF638A.tmp
12.07.2006 14:32 32.768 ~DF3831.tmp
12.07.2006 14:31 16.384 ~DF2389.tmp
12.07.2006 14:30 32.768 ~DFAE7D.tmp
12.07.2006 14:30 32.768 ~DFAD46.tmp
12.07.2006 14:30 32.768 ~DFAC61.tmp
12.07.2006 14:30 32.768 ~DFAC0C.tmp
12.07.2006 14:30 32.768 ~DF68C8.tmp
12.07.2006 14:30 16.384 ~DF5411.tmp
23.01.2006 15:36 429 datFind.bat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\WINDOWS

12.07.2006 18:43 943.502 ntbtlog.txt
12.07.2006 18:43 0 0.log
12.07.2006 18:43 2.048 bootstat.dat
12.07.2006 16:06 32.576 SchedLgU.Txt
11.07.2006 14:36 50 wiaservc.log
11.07.2006 14:36 216 wiadebug.log
11.07.2006 14:27 39.424 YAXUninst.exe
11.07.2006 14:27 587.982 setupapi.log
19.05.2006 21:36 60.416 ALCFDRTM.VER
12.05.2006 00:40 247.449 DirectX.log
09.05.2006 01:30 277 system.ini
09.05.2006 01:30 659 win.ini
08.05.2006 21:24 32 pavsig.txt
07.05.2006 10:07 117.891.072 MEMORY.DMP
01.05.2006 12:34 3.753 mozver.dat
22.04.2006 08:25 15.375 wmsetup.log
22.04.2006 08:25 316.640 WMSysPr9.prx
22.04.2006 08:25 299.552 WMSysPrx.prx
22.04.2006 08:21 50 Winamp.ini
22.04.2006 08:21 41 winampa.ini
22.04.2006 01:29 0 nsreg.dat
22.04.2006 01:29 99.965 UninstallFirefox.exe
22.04.2006 00:09 60.416 ALCFDRTM.EXE
22.04.2006 00:08 4.096 d3dx.dat
21.04.2006 23:50 1.114 Windows Update.log
21.04.2006 23:47 5.684 Ascd_tmp.ini
21.04.2006 23:45 178.456 setupact.log
21.04.2006 23:42 1.442 COM+.log
21.04.2006 23:40 0 Sti_Trace.log
21.04.2006 23:27 1.310 regopt.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\

12.07.2006 18:53 0 sys.txt
12.07.2006 18:52 4.580 system.txt
12.07.2006 18:50 5.875 systemtemp.txt
12.07.2006 18:49 92.135 system32.txt
12.07.2006 18:43 1.610.612.736 pagefile.sys
09.05.2006 01:30 194 boot.ini
21.04.2006 23:20 0 AUTOEXEC.BAT
21.04.2006 23:20 0 IO.SYS
21.04.2006 23:20 0 MSDOS.SYS
21.04.2006 23:20 0 CONFIG.SYS



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
27.03.2006 13:00 5.019 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
10.11.2005 14:41 2.088 YazzleActiveX.inf
06.06.2006 11:52 249.856 YazzleActiveX.ocx

8 Datei(en) 396.216 Bytes
0 Verzeichnis(se), 8.395.517.952 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\Dokumente und Einstellungen\J”rg\Lokale Einstellungen\Temp

12.07.2006 18:54 <DIR> .
12.07.2006 18:54 <DIR> ..
23.01.2006 15:36 429 datFind.bat
12.07.2006 14:46 32.768 ~DF1462.tmp
12.07.2006 14:45 32.768 ~DF1AE0.tmp
12.07.2006 14:40 32.768 ~DF1D82.tmp
12.07.2006 14:57 16.384 ~DF1EC5.tmp
12.07.2006 14:45 16.384 ~DF209.tmp
12.07.2006 14:31 16.384 ~DF2389.tmp
12.07.2006 14:47 32.768 ~DF25FA.tmp
12.07.2006 14:51 32.768 ~DF265.tmp
12.07.2006 14:38 32.768 ~DF27BE.tmp
12.07.2006 14:59 16.384 ~DF29E6.tmp
12.07.2006 14:47 32.768 ~DF2CB8.tmp
12.07.2006 14:47 32.768 ~DF2F38.tmp
12.07.2006 16:07 32.768 ~DF37C2.tmp


So jetzt müsste ich alles haben.
Sry da hab ich heute mittag ganz schönen Blödasinn zusamen gepostet,
war wohl nicht so ganz bei der sache mir ist das in dem moment nicht aufgefallen.
Seitenanfang Seitenende
12.07.2006, 21:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 die zip enthaelt:

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
du hast nur gepostet bis:
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp
warum immer nur die Haelfte ;) nun...troepfechenweise werde ich noch alle notwendigen Daten aus deinem Rechner "rausschrauben"..................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.07.2006, 22:53
Member

Themenstarter

Beiträge: 23
#7 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
27.03.2006 13:00 5.019 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
10.11.2005 14:41 2.088 YazzleActiveX.inf
06.06.2006 11:52 249.856 YazzleActiveX.ocx
8 Datei(en) 396.216 Bytes
0 Verzeichnis(se), 8.395.517.952 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\Dokumente und Einstellungen\J”rg\Lokale Einstellungen\Temp

12.07.2006 18:54 <DIR> .
12.07.2006 18:54 <DIR> ..
23.01.2006 15:36 429 datFind.bat
12.07.2006 14:46 32.768 ~DF1462.tmp
12.07.2006 14:45 32.768 ~DF1AE0.tmp
12.07.2006 14:40 32.768 ~DF1D82.tmp
12.07.2006 14:57 16.384 ~DF1EC5.tmp
12.07.2006 14:45 16.384 ~DF209.tmp
12.07.2006 14:31 16.384 ~DF2389.tmp
12.07.2006 14:47 32.768 ~DF25FA.tmp
12.07.2006 14:51 32.768 ~DF265.tmp
12.07.2006 14:38 32.768 ~DF27BE.tmp
12.07.2006 14:59 16.384 ~DF29E6.tmp
12.07.2006 14:47 32.768 ~DF2CB8.tmp
12.07.2006 14:47 32.768 ~DF2F38.tmp
12.07.2006 16:07 32.768 ~DF37C2.tmp
12.07.2006 14:58 16.384 ~DF3815.tmp
12.07.2006 14:32 32.768 ~DF3831.tmp
12.07.2006 14:38 32.768 ~DF39A2.tmp
12.07.2006 16:44 32.768 ~DF39FF.tmp
12.07.2006 15:03 32.768 ~DF3C2C.tmp
12.07.2006 14:38 32.768 ~DF3CF4.tmp
12.07.2006 17:26 16.384 ~DF3F96.tmp
12.07.2006 14:38 32.768 ~DF4096.tmp
12.07.2006 14:40 16.384 ~DF43D.tmp
12.07.2006 14:59 32.768 ~DF440D.tmp
12.07.2006 18:43 32.768 ~DF45CA.tmp
12.07.2006 14:40 32.768 ~DF493F.tmp
12.07.2006 14:58 32.768 ~DF5196.tmp
12.07.2006 17:26 32.768 ~DF53B7.tmp
12.07.2006 14:30 16.384 ~DF5411.tmp
12.07.2006 14:45 32.768 ~DF554E.tmp
12.07.2006 14:48 16.384 ~DF5731.tmp
12.07.2006 14:40 32.768 ~DF583C.tmp
12.07.2006 14:40 32.768 ~DF5881.tmp
12.07.2006 14:45 32.768 ~DF5B2E.tmp
12.07.2006 14:41 32.768 ~DF5D22.tmp
12.07.2006 14:45 32.768 ~DF5DE6.tmp
12.07.2006 14:45 32.768 ~DF5E59.tmp
12.07.2006 14:57 16.384 ~DF62A8.tmp
12.07.2006 14:32 32.768 ~DF638A.tmp
12.07.2006 14:30 32.768 ~DF68C8.tmp
12.07.2006 14:49 32.768 ~DF7028.tmp
12.07.2006 14:39 16.384 ~DF7261.tmp
12.07.2006 16:44 16.384 ~DF75FF.tmp
12.07.2006 14:32 32.768 ~DF7795.tmp
12.07.2006 14:32 32.768 ~DF7837.tmp
12.07.2006 15:03 32.768 ~DF78BF.tmp
12.07.2006 14:32 32.768 ~DF797C.tmp
12.07.2006 16:07 32.768 ~DF7A69.tmp
12.07.2006 15:03 32.768 ~DF7A6D.tmp
12.07.2006 18:50 32.768 ~DF7B54.tmp
12.07.2006 16:07 32.768 ~DF7B6A.tmp
12.07.2006 14:57 32.768 ~DF7CF2.tmp
12.07.2006 16:07 32.768 ~DF7DEA.tmp
12.07.2006 15:00 32.768 ~DF7DFB.tmp
12.07.2006 16:07 16.384 ~DF7E35.tmp
12.07.2006 16:07 32.768 ~DF7FD4.tmp
12.07.2006 14:56 16.384 ~DF81CD.tmp
12.07.2006 17:26 32.768 ~DF8231.tmp
12.07.2006 17:26 32.768 ~DF8239.tmp
12.07.2006 15:00 32.768 ~DF82E0.tmp
12.07.2006 15:00 32.768 ~DF84DA.tmp
12.07.2006 15:00 32.768 ~DF8691.tmp
12.07.2006 14:47 16.384 ~DF87C3.tmp
12.07.2006 15:03 32.768 ~DF87DE.tmp
12.07.2006 14:59 32.768 ~DF8DA7.tmp
12.07.2006 15:03 32.768 ~DF8ECC.tmp
12.07.2006 14:59 32.768 ~DF8F8B.tmp
12.07.2006 14:59 32.768 ~DF9386.tmp
12.07.2006 14:59 32.768 ~DF94F7.tmp
12.07.2006 14:56 32.768 ~DF9A31.tmp
12.07.2006 14:53 16.384 ~DF9BA9.tmp
12.07.2006 14:36 16.384 ~DF9BDE.tmp
12.07.2006 15:03 16.384 ~DF9E4B.tmp
12.07.2006 14:51 16.384 ~DFA1E0.tmp
12.07.2006 14:49 32.768 ~DFA2BD.tmp
12.07.2006 18:43 16.384 ~DFA434.tmp
12.07.2006 14:57 32.768 ~DFA811.tmp
12.07.2006 14:30 32.768 ~DFAC0C.tmp
12.07.2006 14:30 32.768 ~DFAC61.tmp
12.07.2006 14:30 32.768 ~DFAD46.tmp
12.07.2006 14:30 32.768 ~DFAE7D.tmp
12.07.2006 14:36 32.768 ~DFB064.tmp
12.07.2006 14:47 16.384 ~DFB299.tmp
12.07.2006 14:49 32.768 ~DFB32A.tmp
12.07.2006 14:49 32.768 ~DFB406.tmp
12.07.2006 18:54 16.384 ~DFB5E3.tmp
12.07.2006 14:51 32.768 ~DFB659.tmp
12.07.2006 14:57 32.768 ~DFB66B.tmp
12.07.2006 14:49 32.768 ~DFB68C.tmp
12.07.2006 14:57 32.768 ~DFB790.tmp
12.07.2006 14:57 32.768 ~DFBC52.tmp
12.07.2006 14:53 32.768 ~DFBF87.tmp
12.07.2006 14:46 16.384 ~DFC91F.tmp
12.07.2006 14:56 32.768 ~DFC9B9.tmp
12.07.2006 14:56 32.768 ~DFC9CB.tmp
12.07.2006 18:54 32.768 ~DFCA33.tmp
12.07.2006 14:59 16.384 ~DFCF5A.tmp
12.07.2006 14:56 32.768 ~DFD4EE.tmp
12.07.2006 14:56 32.768 ~DFD758.tmp
12.07.2006 14:38 16.384 ~DFDD14.tmp
12.07.2006 14:47 16.384 ~DFDDD3.tmp
12.07.2006 14:46 32.768 ~DFE133.tmp
12.07.2006 14:53 32.768 ~DFE537.tmp
12.07.2006 14:36 32.768 ~DFE88D.tmp
12.07.2006 14:51 32.768 ~DFEB19.tmp
12.07.2006 14:59 16.384 ~DFF0CA.tmp
12.07.2006 14:38 32.768 ~DFF347.tmp
12.07.2006 14:51 32.768 ~DFF5FB.tmp
12.07.2006 14:36 32.768 ~DFF706.tmp
12.07.2006 14:36 32.768 ~DFF713.tmp
12.07.2006 16:46 32.768 ~DFF761.tmp
12.07.2006 14:58 16.384 ~DFF83A.tmp
12.07.2006 14:51 32.768 ~DFF895.tmp
12.07.2006 14:53 32.768 ~DFFA4D.tmp
12.07.2006 14:53 32.768 ~DFFA53.tmp
12.07.2006 16:46 32.768 ~DFFA62.tmp
12.07.2006 14:53 32.768 ~DFFE02.tmp
117 Datei(en) 3.342.765 Bytes
2 Verzeichnis(se), 8.395.476.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\WINDOWS\Temp

12.07.2006 14:27 <DIR> .
12.07.2006 14:27 <DIR> ..
12.07.2006 14:27 <DIR> tmp000000b6
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 8.395.476.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\Temp

03.05.2006 22:24 <DIR> .
03.05.2006 22:24 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.395.476.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\Programme

12.07.2006 08:45 <DIR> .
12.07.2006 08:45 <DIR> ..
21.04.2006 23:31 <DIR> Adobe
08.05.2006 21:50 <DIR> AntiVir PersonalEdition Classic
08.05.2006 01:10 <DIR> ATI Technologies
11.07.2006 17:01 <DIR> AVPersonal
21.04.2006 23:26 <DIR> AvRack
08.05.2006 14:30 <DIR> CleanUp!
21.04.2006 23:18 <DIR> ComPlus Applications
11.07.2006 14:27 <DIR> Cowabanga
12.05.2006 00:34 <DIR> digital tainment pool
11.07.2006 14:28 <DIR> F?nts
11.07.2006 14:29 <DIR> Gemeinsame Dateien
13.06.2006 08:59 <DIR> ICQLite
11.07.2006 14:41 <DIR> ICQToolbar
22.04.2006 08:21 808 INSTALL.LOG
08.05.2006 21:51 <DIR> Internet Explorer
28.05.2006 10:29 <DIR> IrfanView
22.04.2006 08:04 <DIR> Java
21.04.2006 23:57 <DIR> Kerio
23.04.2006 00:17 <DIR> Lavasoft
21.04.2006 23:45 <DIR> Logitech
01.05.2006 17:12 <DIR> MaaTec
21.04.2006 23:18 <DIR> Messenger
21.04.2006 23:20 <DIR> microsoft frontpage
11.05.2006 21:33 <DIR> Motherboard Monitor 5
21.04.2006 23:19 <DIR> Movie Maker
12.07.2006 18:43 <DIR> Mozilla Firefox
21.04.2006 23:18 <DIR> MSN
21.04.2006 23:18 <DIR> MSN Gaming Zone
21.04.2006 23:18 <DIR> NetMeeting
21.04.2006 23:18 <DIR> Online Services
21.04.2006 23:19 <DIR> Online-Dienste
21.04.2006 23:18 <DIR> Outlook Express
18.05.2006 08:11 <DIR> Real
21.04.2006 23:26 <DIR> Realtek Sound Manager
01.07.2006 14:42 <DIR> SFT Loader
23.04.2006 00:49 <DIR> Shareaza
12.05.2006 00:29 <DIR> Smart Projects
05.05.2006 16:18 <DIR> Softwin
12.05.2006 08:22 <DIR> SpeedFan
08.05.2006 12:01 <DIR> Spybot - Search & Destroy
12.07.2006 08:55 <DIR> SpyQuake2.com
08.05.2006 15:33 <DIR> Sunbelt Software
22.04.2006 20:02 <DIR> VideoLAN
22.04.2006 08:38 <DIR> Winamp
22.04.2006 08:25 <DIR> Windows Media Player
21.04.2006 23:18 <DIR> Windows NT
08.05.2006 21:52 <DIR> WinRAR
21.04.2006 23:20 <DIR> xerox
01.05.2006 12:34 <DIR> Yahoo!
11.07.2006 14:28 <DIR> ?icrosoft
1 Datei(en) 808 Bytes
51 Verzeichnis(se), 8.395.472.896 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\Dokumente und Einstellungen\J”rg\Anwendungsdaten

09.06.2006 08:30 <DIR> Adobe
12.07.2006 08:36 <DIR> AdobeUM
21.04.2006 23:43 <DIR> ATI
30.05.2006 01:59 <DIR> Help
23.04.2006 00:32 <DIR> ICQLite
21.04.2006 23:23 <DIR> Identities
23.04.2006 00:17 <DIR> Lavasoft
21.04.2006 23:46 <DIR> Logitech
01.05.2006 17:12 <DIR> MaaTec
01.05.2006 12:34 <DIR> Macromedia
22.04.2006 01:29 <DIR> Mozilla
18.05.2006 08:12 <DIR> Real
23.04.2006 00:49 <DIR> Shareaza
23.04.2006 01:38 <DIR> Sun
22.04.2006 20:04 <DIR> vlc
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 8.395.472.896 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\Programme\Gemeinsame Dateien

11.07.2006 14:29 <DIR> .
11.07.2006 14:29 <DIR> ..
21.04.2006 23:32 <DIR> Adobe
21.04.2006 23:18 <DIR> Dienste
21.04.2006 23:44 <DIR> InstallShield
22.04.2006 08:04 <DIR> Java
21.04.2006 23:45 <DIR> Logitech
21.04.2006 23:23 <DIR> Microsoft Shared
21.04.2006 23:18 <DIR> MSSoap
21.04.2006 23:27 <DIR> ODBC
22.04.2006 00:03 <DIR> PlayOnline
18.05.2006 08:11 <DIR> Real
05.05.2006 16:18 <DIR> Softwin
21.04.2006 23:27 <DIR> SpeechEngines
21.04.2006 23:18 <DIR> System
18.05.2006 08:11 <DIR> xing shared
11.07.2006 14:27 <DIR> {E034D2F9-07DA-1031-0120-061123050031}
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 8.395.472.896 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9



So das müsste jetzt wirklich alles sein.... Ich glaub wenn ja werde ich mir schonmal gedanken darüber machen wie ich das wieder gutmachen kann. Danke für die Gedult.
Seitenanfang Seitenende
13.07.2006, 01:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Noir

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html
---------------------------------------------------------------
1.
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring

Files to delete:

C:\WINDOWS\System32\zlara.dll
C:\WINDOWS\system32\wycdd.ini
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\wycdd.bak1
C:\WINDOWS\system32\ddcyw.dll
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\wcpcc.exe
C:\WINDOWS\system32\csrss.dll
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\iifddba.dll
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\winnya32.dll
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\YAXUninst.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
poste den report der nach neustart vom Avenger erscheint

4.
arbeite smitfraud.fix genau nach Anleitung ab und poste die reporte von option 1 und 2.
http://virus-protect.org/artikel/tools/smitfrautfix.html

5.
desinstalliere ...loesche

C:\Programme
11.07.2006 14:27 <DIR> Cowabanga
12.07.2006 08:55 <DIR> SpyQuake2.com-> ist wahrscheinlich nicht mehr vorhanden , nach der Anwendung von smitfraud.fix

das ist der Purityscan, du musst es loeschen, hier erscheinen "Fragezeichen" aber es sind kryptische Zeichen....
Suche also nach Datum und loesche diese zwei Programme komplett

11.07.2006 14:28 <DIR> ?icrosoft
11.07.2006 14:28 <DIR> F?nts

C:\Programme\Gemeinsame Dateien\{E034D2F9-07DA-1031-0120-061123050031}<--loeschen

C:\WINDOWS\Temp\tmp000000b6 <--loeschen

Verzeichnis von C:\Dokumente und Einstellungen\J”rg\Lokale Einstellungen\Temp

loesche alles !
12.07.2006 14:46 32.768 ~DF1462.tmp
12.07.2006 14:45 32.768 ~DF1AE0.tmp
12.07.2006 14:40 32.768 ~DF1D82.tmp
12.07.2006 14:57 16.384 ~DF1EC5.tmp
12.07.2006 14:45 16.384 ~DF209.tmp
12.07.2006 22:44 32.768 ~DF213B.tmp
12.07.2006 14:31 16.384 ~DF2389.tmp

usw..usw...

---------------

6.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 14:05
Member

Themenstarter

Beiträge: 23
#9 Das Script für den Avenger fuktioniert aus irgend einem Grund nicht, ich bekomme immer nur angezeigt das er den schritt abbricht.
Soll ich die Liste einfach weiter abarbeiten?

Gruß

Noir
Seitenanfang Seitenende
14.07.2006, 14:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 versuche es mit dem avenger...bis es klappt !!!!!!!!!!!!!

wenn du es nicht gebacken bekommst, kopiere alles einzeln in die Killbox (die Registry-Eintraege nicht, die Killbox loescht keine Eintraege in der Registry)
http://virus-protect.org/killbox.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 20:07
Member

Themenstarter

Beiträge: 23
#11 Hab alles auf der Liste gemacht.
Nur hab ich die Killbox statt dem Avenger beuntzt weil der bei mir immer wieder dieselbe Fehlermeldung angezeigt hat, ich poste trotzdem den Bericht vom Avenger.

Avenger:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\byeivppy

*******************

Script file located at: \??\C:\Program Files\nroqhwdc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\zlara.dll not found!
Deletion of file C:\WINDOWS\System32\zlara.dll failed!

Could not process line:
C:\WINDOWS\System32\zlara.dll
Status: 0xc0000034


smit:

1

SmitFraudFix v2.74

Scan done at 18:45:01,93, 19.07.2006
Run from C:\Dokumente und Einstellungen\J”rg\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld???.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\J”rg\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\JRG~1\FAVORI~1

C:\DOKUME~1\JRG~1\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyQuake2.com\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

2.

SmitFraudFix v2.74

Scan done at 18:47:53,23, 19.07.2006
Run from C:\Dokumente und Einstellungen\J”rg\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\zlara.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld???.tmp Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted
C:\DOKUME~1\JRG~1\FAVORI~1\Antivirus Test Online.url Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


ewido

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 19:56:10 19.07.2006

+ Scan-Ergebnis:



C:\VundoFix Backups\iifddba.dll -> Adware.Virtumonde : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\Progs\hijackthis\backups\backup-20060711-144746-362.dll -> Adware.Virtumonde : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Jörg\Desktop\down-fxm\down.exe -> Backdoor.Nono : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Jörg\Desktop\Warcraft_3_Reign_of_Chaos_by_Razor(2).rar/crack.exe -> Downloader.Adload.cw : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Jörg\Desktop\Warcraft_3_Reign_of_Chaos_by_Razor.rar/crack.exe -> Downloader.Adload.cw : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Jörg\Desktop\Warcraft_3_Reign_of_Chaos_by_Razor\crack.exe -> Downloader.Adload.cw : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Jörg\Desktop\Warcraft_3_Reign_of_Chaos_by_Razor(2).rar/install.exe -> Downloader.Small.bwy : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Jörg\Desktop\Warcraft_3_Reign_of_Chaos_by_Razor.rar/install.exe -> Downloader.Small.bwy : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Jörg\Desktop\Warcraft_3_Reign_of_Chaos_by_Razor\install.exe -> Downloader.Small.bwy : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Jörg\Eigene Dateien\Downloads\----- curse - lass uns doch freunde sein 59.zip/setup.exe -> Hijacker.Agent.hi : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\jlakwknn.dll -> Logger.VBStat.d : Mit Backup gesäubert (unter Quarantäne gestellt).
:mozilla.57:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.50:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.51:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.52:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.55:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert.
:mozilla.20:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.21:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.22:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.23:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.24:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.25:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.42:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.43:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.44:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.45:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.46:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.32:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.53:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.54:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.56:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert.
:mozilla.41:C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Mozilla\Firefox\Profiles\lr7m3rm6.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert.


::Berichtende


So das müsste alles sein
Seitenanfang Seitenende
19.07.2006, 22:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 poste noch mal das erste log von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.08.2006, 18:19
Member

Themenstarter

Beiträge: 23
#13 So jier ist die erste log :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\WINDOWS\system32

03.08.2006 18:12 2.206 wpa.dbl
14.06.2006 14:43 57.384 avsda.dll
18.05.2006 08:11 176.167 rmoc3260.dll
18.05.2006 08:11 5.632 pndx5032.dll
18.05.2006 08:11 6.656 pndx5016.dll
18.05.2006 08:11 278.528 pncrt.dll
11.05.2006 21:39 45 initdebug.nfo
08.05.2006 21:24 2.550 Uninstall.ico
08.05.2006 21:24 1.406 Help.ico
08.05.2006 21:24 30.590 pavas.ico
08.05.2006 19:25 0 asfiles.txt
06.05.2006 01:38 3.137 x_dtrace_log
06.05.2006 01:38 14 getfile.dat
01.05.2006 22:19 91.088 FNTCACHE.DAT
22.04.2006 08:04 7.006 jupdate-1.5.0_06-b05.log
22.04.2006 00:17 0 h323log.txt
22.04.2006 00:09 940.794 LoopyMusic.wav
22.04.2006 00:09 146.650 BuzzingBee.wav
21.04.2006 23:35 380.350 perfh009.dat
21.04.2006 23:35 391.000 perfh007.dat
21.04.2006 23:35 52.764 perfc009.dat
21.04.2006 23:35 63.580 perfc007.dat
21.04.2006 23:35 786.220 PerfStringBackup.INI
21.04.2006 23:23 25.065 wmpscheme.xml
21.04.2006 23:21 1.180 $winnt$.inf
21.04.2006 23:20 2.951 CONFIG.NT
21.04.2006 23:20 16.832 amcompat.tlb
21.04.2006 23:20 23.392 nscompat.tlb
21.04.2006 23:19 488 logonui.exe.manifest
21.04.2006 23:19 488 WindowsLogon.manifest
21.04.2006 23:19 749 wuaucpl.cpl.manifest
21.04.2006 23:19 749 ncpa.cpl.manifest
21.04.2006 23:19 749 sapi.cpl.manifest
21.04.2006 23:19 749 cdplayer.exe.manifest
21.04.2006 23:19 749 nwc.cpl.manifest
21.04.2006 23:18 21.740 emptyregdb.dat
06.04.2006 10:54 73.728 asuninst.exe

Ich konnte leider nicht früher posten da ich jetzt ein paar tage lang durch eine Krankheit ausgefallen bin.


mfg
Noir
Seitenanfang Seitenende
03.08.2006, 22:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
scanne noch mal mit ewido, bis alles sauber bleibt

2.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - AppInit_DLLs: C:\WINDOWS\System32\csrss.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\WINDOWS\System32\zlara.dll (file missing)

PC neustarten

3.
multiavtool
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie

-------
P.S: scanne auch ->klicke "2" , nun beginnt der Scan von Trend Micro

.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2006, 16:12
Member

Themenstarter

Beiträge: 23
#15 C:\Windows\System32


Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4821 created Aug 03 2006
Scanning for 202889 viruses, trojans and variants.

Virus Scan Results



08/04/2006 15:51:23


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 7228
Clean: ................. 7218
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:03.36


C:\Windows

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4821 created Aug 03 2006
Scanning for 202889 viruses, trojans and variants.

Virus Scan Results



08/04/2006 16:00:22


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 21406
Clean: ................. 21396
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:05.44


C:\


Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4821 created Aug 03 2006
Scanning for 202889 viruses, trojans and variants.

Virus Scan Results



08/04/2006 15:26:13


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\Programme\ICQToolbar\toolbaru.inf ... Found potentially unwanted program Adware-Softomate.
The file or process has been deleted.
C:\VundoFix Backups\ddcyw.dll ... Found the Vundo trojan !!!
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 140570
Clean: ................. 140377
Possibly Infected: ..... 1
Cleaned: ............... 0
Deleted: ............... 2
Non-critical Error(s): 3


Time: 00:22.10

Bitte schön
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: