malware, spyware probs und event. viren probs

#16 lass , loesche den den Purityscan nicht manuell, ewido muesste das finden/entfernen.
arbeite also alles ab, ausser dem manuell loeschen der c:\Programme\?asks und c:\Programme\?icrosoft
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hier ist der Ewido Bericht:

C:\RECYCLER\S-1-5-21-1292428093-484061587-839522115-1005\Dc3\Cowabanga.exe -> Adware.MediaTicket : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup.zip/avenger/wuaclt.dll -> Adware.PurityScan : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Programme\DAEMON Tools\SetupDTSB.exe -> Adware.SaveNow : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup.zip/avenger/isnotify.exe -> Downloader.Zlob.zd : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup.zip/avenger/issearch.exe -> Downloader.Zlob.zd : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup.zip/avenger/ixt0.dll -> Downloader.Zlob.zd : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup.zip/avenger/ixt1.dll -> Downloader.Zlob.zd : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup.zip/avenger/flx5.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Ignoriert.
:mozilla.47:C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.48:C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt


::Berichtende

#18 ZyL

1.
loesche: C:\avenger\backup.zip

2.
suche noch mal:

c:\Programme

03.06.2006 20:07 <DIR> ?asks -> suche "ask" + das Datum vom 3.06.
03.06.2006 19:29 <DIR> ?icrosoft -> suche "crosoft" + das Datum vom 3.06

(ewido hat es nicht gefunden)

Beispiel:..nicht von deinem PC, aber auch der Purityscan



__________
MfG Sabina

rund um die PC-Sicherheit

#19 C:\avenger\backup.zip - im ordner ist keine datei...ordner ist leer...sind die backups von avenger vielleicht in der ewido quarantäne ?

c:\Programme\?asks und c:\Programme\?icrosoft - ebenfalls nicht mehr da... falls es die Ordner waren ?asks = Tasks und ?icrosoft = Microsoft... die hatte ich schon vor ewido gelöscht

#20 scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 lasse über nacht durchlaufen ....muss um 5 aufstehen...arbeiten ...hab kene ferien...erst in 2 1/2 wochen erstmal 3 wochen urlaub ^^

poste den scanreport gegen 5 uhr ...

#22 na fein ...ich steh um 5 auf (ich hab Ferien) und schau mir den Report an (Spass.......)
__________
MfG Sabina

rund um die PC-Sicherheit

#23 ^^...na dann... report ist doch schneller fertig geworden als erwartet
aber gehe jetzt wie gesagt pennen ^^


Incident Status Location

Adware:Adware/MaxFiles Not disinfected C:\Programme\ipwins\ipwins.exe
Adware:adware/ist.istbar Not disinfected C:\Dokumente und Einstellungen\ZyL\Favoriten\~ VIP Free Porn ~.url
Adware:adware/maxifiles Not disinfected c:\programme\ToolBar888
Spyware:spyware/virtumonde Not disinfected Windows Registry
Adware:adware/sidesearch Not disinfected Windows Registry
Adware:adware/ncase Not disinfected Windows Registry
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[.atdmt.com/]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\ZyL\Desktop\brauch ich ...nicht löschen\SmitfraudFix.zip[SmitfraudFix/Process.exe]

#24 Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\ZyL\Favoriten\~ VIP Free Porn ~.url

Folders to delete:
C:\Programme\ipwins
C:\Programme\ToolBar888

2.

falls der Avenger nicht loescht:
gehe im IE in die favoriten, suche und loesche:

C:\Dokumente und Einstellungen\ZyL\Favoriten\~ VIP Free Porn ~.url
__________
MfG Sabina

rund um die PC-Sicherheit

#25 1.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tnqkcsdf

*******************

Script file located at: \??\C:\WINDOWS\hwdojekx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\ZyL\Favoriten\~ VIP Free Porn ~.url deleted successfully.


File C:\Programme\Toolbar888\ToolBar888.dll not found!
Deletion of file C:\Programme\Toolbar888\ToolBar888.dll failed!

Could not process line:
C:\Programme\Toolbar888\ToolBar888.dll
Status: 0xc0000034



File C:\Programme\ToolBar888\MyToolBar.dll not found!
Deletion of file C:\Programme\ToolBar888\MyToolBar.dll failed!

Could not process line:
C:\Programme\ToolBar888\MyToolBar.dll
Status: 0xc0000034

File C:\Programme\ToolBar888\Activate.exe deleted successfully.
File C:\Programme\ToolBar888\Uninst.exe deleted successfully.
File C:\Programme\ipwins\count.dat deleted successfully.
File C:\Programme\ipwins\data.dat deleted successfully.
File C:\Programme\ipwins\date.dat deleted successfully.
File C:\Programme\ipwins\settings.dat deleted successfully.
File C:\Programme\ipwins\settingsDate.dat deleted successfully.
File C:\Programme\ipwins\Uninst.exe deleted successfully.


File C:\Programme\ipwins\s154.1.dat not found!
Deletion of file C:\Programme\ipwins\s154.1.dat failed!

Could not process line:
C:\Programme\ipwins\s154.1.dat
Status: 0xc0000034



File C:\Programme\ipwins\s20c.1.dat not found!
Deletion of file C:\Programme\ipwins\s20c.1.dat failed!

Could not process line:
C:\Programme\ipwins\s20c.1.dat
Status: 0xc0000034



File C:\Programme\ipwins\s3rc.1.dat not found!
Deletion of file C:\Programme\ipwins\s3rc.1.dat failed!

Could not process line:
C:\Programme\ipwins\s3rc.1.dat
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


2. beide ordner gelöscht


ps. liebe heißen wetter....das ist es bei uns im büro so heiß (keine Klimanlage) das wir früher feierabend machen dürfen ^^

#26 hier sind 40 Grad (In Lissabon...)

scanne noch mal mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Incident Status Location

Spyware:spyware/virtumonde Not disinfected Windows Registry
Adware:adware/sidesearch Not disinfected Windows Registry
Adware:adware/ncase Not disinfected Windows Registry
Adware:Adware/DollarRevenue Not disinfected C:\avenger\backup.zip[avenger/Uninst.exe][²ÜÇ\nsProcess.dll]
Adware:Adware/Maxifiles Not disinfected C:\avenger\backup.zip[avenger/Uninst.exe-ren-217]
Adware:Adware/DollarRevenue Not disinfected C:\avenger\backup.zip[avenger/Uninst.exe-ren-217][²ÜÇ\nsProcess.dll]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\ZyL\Anwendungsdaten\Mozilla\Firefox\Profiles\qmtz9xso.default\cookies.txt[.atdmt.com/]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\ZyL\Desktop\brauch ich ...nicht löschen\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Hacktool:HackTool/Flood Not disinfected C:\Dokumente und Einstellungen\ZyL\Desktop\Mathias\girc435.exe[nHTMLn_2.92.dll]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\ZyL\Desktop\SmitfraudFix\Process.exe
Hacktool:Hacktool/PatchTCPSP2 Not disinfected C:\Dokumente und Einstellungen\ZyL\Eigene Dateien\ICQ Lite\346807987\MaYeR_303802183\555_In Memory Of X S 1 C H T_xs1chtcfg_edit\xs1chtcfg_edit\xs1chtcfg_edit\netsettings.exe
Hacktool:Hacktool/PatchTCPSP2 Not disinfected C:\Dokumente und Einstellungen\ZyL\Eigene Dateien\ICQ Lite\346807987\MaYeR_303802183\555_In Memory Of X S 1 C H T_xs1chtcfg_edit.rar[xs1chtcfg_edit\xs1chtcfg_edit\netsettings.exe]
Potentially unwanted tool:Application/Ardamax Not disinfected C:\Programme\eMule\Incoming\wow Anti-AFK-Bot.rar[wow Anti-AFK-Bot\Anti-AFK-Bot.exe]
Potentially unwanted tool:Application/Ardamax Not disinfected C:\Programme\eMule\Incoming\wow Farmbot.rar[wow Farmbot\Farmbot.exe]
Potentially unwanted tool:Application/Ardamax Not disinfected C:\Programme\eMule\Incoming\wow fishbot.rar[wow fishbot\Fishbot.exe]
Potentially unwanted tool:Application/Ardamax Not disinfected C:\Programme\eMule\Incoming\wow levelbot.rar[wow levelbot\Levelbot.exe]
Hacktool:HackTool/Flood Not disinfected C:\Programme\Gamers.IRC\bin\dll\nHTMLn_2.92.dll
Spyware:Spyware/Virtumonde Not disinfected C:\Programme\Gemeinsame Dateien\{CCA69E68-08A3-1031-0310-050406110031}\services.dll
Adware:Adware/Maxifiles Not disinfected C:\Programme\InetGet2\direct3.exe
Adware:Adware/MaxFiles Not disinfected C:\Programme\InetGet2\mc-0-0-0.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Programme\Roguescanfix\Process.exe
Adware:Adware/MaxFiles Not disinfected C:\WINDOWS\Temp\b122.exe
Adware:Adware/PurityScan Not disinfected C:\WINDOWS\Temp\win20.tmp.exe
Adware:Adware/Maxifiles Not disinfected C:\WINDOWS\Temp\win25.tmp.exe



mmmh müsste mal emule löschen....meine brüder laden zu viel mist runter

#28 1.
Avenger:

Zitat

Files to delete:

C:\Programme\Gamers.IRC\bin\dll\nHTMLn_2.92.dll
C:\Dokumente und Einstellungen\ZyL\Desktop\Mathias\girc435.exe
C:\WINDOWS\Temp\b122.exe
C:\WINDOWS\Temp\win20.tmp.exe
C:\WINDOWS\Temp\win25.tmp.exe
C:\Programme\InetGet2\direct3.exe
C:\Programme\InetGet2\mc-0-0-0.exe
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe
C:\Programme\eMule\Incoming\wow Farmbot.rar
C:\Programme\eMule\Incoming\wow fishbot.rar
C:\Programme\eMule\Incoming\wow levelbot.rar

2.
dann loesche alle backups vom Avenger

3.
loesche:
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}
C:\Programme\InetGet2

C:\Dokumente und Einstellungen\ZyL\Eigene Dateien\ICQ Lite\346807987\MaYeR_303802183\555_In Memory Of X S 1 C H T_xs1chtcfg_edit.rar

--------------------------------------------------------------------------------

4.
ueberpruefe, ob C:\WINDOWS\Temp leer ist.

5.
ueberpruefe , ob die temporaeren Dateien geloescht sind:
Verzeichnis von C:\Dokumente und Einstellungen\ZyL\Lokale Einstellungen\Temp

z.B:

27.05.2006 18:46 299.008 4323c93823a9d38b086030b9c8e83af0.exe
30.06.2006 19:06 0 5551942.tmp
13.02.2006 16:37 278.528 568b73cc8f85c1be6e6aef3cf29507a6.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#29 1.


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qdwgcpes

*******************

Script file located at: \??\C:\WINDOWS\owpucbyn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\ZyL\Eigene Dateien\ICQ Lite\346807987\MaYeR_303802183\555_In Memory Of X S 1 C H T_xs1chtcfg_edit\xs1chtcfg_edit\xs1chtcfg_edit\netsettings.exe deleted successfully.
File C:\Dokumente und Einstellungen\ZyL\Desktop\Mathias\girc435.exe deleted successfully.
File C:\WINDOWS\Temp\b122.exe deleted successfully.
File C:\WINDOWS\Temp\win20.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win25.tmp.exe deleted successfully.
File C:\Programme\InetGet2\direct3.exe deleted successfully.
File C:\Programme\InetGet2\mc-0-0-0.exe deleted successfully.


Could not open file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll for deletion
Deletion of file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
Status: 0xc000003a



Could not open file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe for deletion
Deletion of file C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe
Status: 0xc000003a



File C:\Programme\eMule\Incoming\wow Farmbot.rar not found!
Deletion of file C:\Programme\eMule\Incoming\wow Farmbot.rar failed!

Could not process line:
C:\Programme\eMule\Incoming\wow Farmbot.rar
Status: 0xc0000034

(manuell gelöscht)


File C:\Programme\eMule\Incoming\wow fishbot.rar not found!
Deletion of file C:\Programme\eMule\Incoming\wow fishbot.rar failed!

Could not process line:
C:\Programme\eMule\Incoming\wow fishbot.rar
Status: 0xc0000034

(manuell gelöscht)


File C:\Programme\eMule\Incoming\wow levelbot.rar not found!
Deletion of file C:\Programme\eMule\Incoming\wow levelbot.rar failed!

Could not process line:
C:\Programme\eMule\Incoming\wow levelbot.rar
Status: 0xc0000034

(manuell gelöscht)

Completed script processing.

*******************

Finished! Terminate.



2. erledigt

3. erledigt

4. lauter win...tmp's

#30 win... alles muss raus !!!!!!!!!!

Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

das wird lange dauern...du solltest alle anderen Anwendungen derweilen schliessen
__________
MfG Sabina

rund um die PC-Sicherheit