Wie entferne ich Spywarequake etc.? |
||
---|---|---|
#0
| ||
17.07.2006, 13:56
Member
Beiträge: 11 |
||
|
||
17.07.2006, 16:26
Ehrenmitglied
Beiträge: 29434 |
#2
Step
1. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\** es fehlt das dritte log von datfindbat -> C:\Windows __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.07.2006, 17:48
Ehrenmitglied
Beiträge: 29434 |
#3
bitte korrekt arbeiten ! du hast wieder das System32-Log gepostet und nicht das von Windows
und die andere Textdatei (listen.bat)...wo ist der text ??? und wo ist das log von HijackThis ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.07.2006, 12:56
Member
Themenstarter Beiträge: 11 |
#4
Logfile of HijackThis v1.99.1
Scan saved at 12:49:39, on 18.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\isnotify.exe C:\WINDOWS\system32\ishost.exe C:\WINDOWS\system32\issearch.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE D:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\ipwins\ipwins.exe C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}\Update.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\ismon.exe C:\Programme\Titlebar Time\Titlebar Time.exe C:\WINDOWS\system32\SMBOLS~1\svchost.exe C:\WINDOWS\RACLE~1\svchost.exe C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe C:\Programme\TClock\TClock.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\system32\SLEE11.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Raxco\PerfectDisk\PDSched.exe C:\WINDOWS\System32\alg.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Avant Browser\avant.exe C:\Dokumente und Einstellungen\Stefan\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - Default URLSearchHook is missing O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Titlebar Time] C:\Programme\Titlebar Time\Titlebar Time.exe O4 - HKCU\..\Run: [Aoeb] "C:\WINDOWS\system32\SMBOLS~1\svchost.exe" -vt yazr O4 - HKCU\..\Run: [Blkntk] C:\WINDOWS\RACLE~1\svchost.exe O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121507466352 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{544A9B98-0B8F-4A91-952A-074E44E931F2}: NameServer = 195.50.140.250 195.50.140.114 O20 - AppInit_DLLs: C:\WINDOWS\system32\dexplore.dll O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - (no file) O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE11.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe Das tut mir leid, sorry ! Hier das Hijack Log, aber welche Textdateien sind noch gemeint ? Bitte um Erklärung da ich nicht so viel darüber weiß. Vielen Dank |
|
|
||
18.07.2006, 13:05
Ehrenmitglied
Beiträge: 29434 |
#5
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.07.2006, 12:43
Member
Themenstarter Beiträge: 11 |
#6
Beim Versuch die listen.bat Dateien in die Antwort zu kopieren bekomme ich die Meldung "Der Text ist zu lang".
Muss ich nun alle die rot eingefärbten Dateien von hand löschen oder wie verfahre ich weiter ? |
|
|
||
19.07.2006, 13:02
Ehrenmitglied
Beiträge: 29434 |
#7
unten findest du Anhang, erstelle also eine txt-Datei und poste sie per Anhang
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.07.2006, 13:10
Member
Themenstarter Beiträge: 11 |
#8
OK, ist im Anhang, nochmal die Frage: Muss ich die rot eingefärbten Dateien von hand löschen ?
Vielen Dank Anhang: listen-bat.rar
|
|
|
||
19.07.2006, 13:45
Ehrenmitglied
Beiträge: 29434 |
#9
1.
wende CleanUp an http://virus-protect.org/cleanup.html 2. wende vundofix an http://virus-protect.org/artikel/tools/vundofixx.html 3. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** 4. poste das log vom avenger, was erscheint ** 5. wende smitfraud.fix an (Option 1 und 2 - lasse auch die registry mitreinigen) - poste die scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html ** 6. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - Default URLSearchHook is missing7. manuell loeschen: C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp00000e04 C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp00001cef C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp00002854 C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp000050bf C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp000078d3 C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Sret C:\WINDOWS\Temp\ alle win... loeschen ! (oder Cleanup korrekt anwenden, wie ich schon geschrieben hatte) 13.07.2006 10:32 0 win10.tmp 11.07.2006 23:57 0 win100.tmp 15.07.2006 04:52 0 win1000.tmp 15.07.2006 04:54 0 win1001.tmp 15.07.2006 04:54 0 win1002.tmp 15.07.2006 04:54 0 win1003.tmp 15.07.2006 04:56 0 win1004.tmp 15.07.2006 04:56 0 win1005.tmp 15.07.2006 04:56 0 win1006.tmp 15.07.2006 04:58 0 win1007.tmp 15.07.2006 04:58 0 win1008.tmp 15.07.2006 04:58 0 win1009.tmp 15.07.2006 04:58 0 win100A.tmp 15.07.2006 05:00 0 win100B.tmp loeschen: C:\Programme\Cowabanga C:\Programme\ipwins C:\Programme\TClock C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031} C:\WINDOWS\system32\components ------------------------------------------------------------------------- ** 10. scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html Hinweis: die Reinigung wird nicht komplett sein, weil du es nicht gebacken bekommen hast, das 3.Log von datfindbat zu posten (C:\Windows) und ich hoffe, dass der ewido auch den Purityscan findet/loescht,..... C:\WINDOWS\system32\SMBOLS.... C:\WINDOWS\RACLE.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.07.2006, 13:30
Member
Themenstarter Beiträge: 11 |
#10
3. Bei dem Versuch die Files im Avenger zu deleten kommt ständig die Error Meldung "Selected file does not appear to be a valid script", oder "Fatal Error: could not create new script file" ???
Warum kann ich die angegebenen files nicht im Avenger deleten ? Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\cisacsfu ******************* Script file located at: \??\C:\WINDOWS\kpntholw.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\.sys not found! Deletion of file C:\WINDOWS\system32\.sys failed! Could not process line: C:\WINDOWS\system32\.sys Status: 0xc0000034 File C:\WINDOWS\system32\wsock32.sys not found! Deletion of file C:\WINDOWS\system32\wsock32.sys failed! Could not process line: C:\WINDOWS\system32\wsock32.sys Status: 0xc0000034 File C:\WINDOWS\system32\ckl009.dat not found! Deletion of file C:\WINDOWS\system32\ckl009.dat failed! Could not process line: C:\WINDOWS\system32\ckl009.dat Status: 0xc0000034 File C:\WINDOWS\system32\scvhost.exe not found! Deletion of file C:\WINDOWS\system32\scvhost.exe failed! Could not process line: C:\WINDOWS\system32\scvhost.exe Status: 0xc0000034 File C:\WINDOWS\system32\15894N6EHO.ini not found! Deletion of file C:\WINDOWS\system32\15894N6EHO.ini failed! Could not process line: C:\WINDOWS\system32\15894N6EHO.ini Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Dieser Beitrag wurde am 20.07.2006 um 14:25 Uhr von Step editiert.
|
|
|
||
21.07.2006, 01:34
Ehrenmitglied
Beiträge: 29434 |
#11
ich weiss nicht, was du in den Avenger kopiert hast, aber bestimmt nicht, was ich angewiesen hatte.
loesche alles mit der killbox (einzeln reinkopieren) , aber zuerst wende vundofix an. http://virus-protect.org/killbox.html Zitat C:\WINDOWS\system32\dfhkj.iniund arbeite alles weitere ab. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2006, 13:52
Member
Themenstarter Beiträge: 11 |
#12
alles abgearbeitet, die Einträge in der Taskleiste sind verschwunden, super !
Hier der ewido-Bericht: ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 13:47:47 21.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Classes\CLSID\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Mit Backup gesäubert (unter Quarantäne gestellt). HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Mit Backup gesäubert (unter Quarantäne gestellt). HKU\S-1-5-21-484763869-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Mit Backup gesäubert (unter Quarantäne gestellt). :mozilla.6:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert. :mozilla.7:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert. :mozilla.8:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. :mozilla.48:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.71i : Gesäubert. :mozilla.16:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Com : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert. :mozilla.20:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Esomniture : Gesäubert. :mozilla.21:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Esomniture : Gesäubert. :mozilla.22:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Esomniture : Gesäubert. :mozilla.23:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Esomniture : Gesäubert. :mozilla.11:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert. :mozilla.12:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert. :mozilla.13:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert. :mozilla.14:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert. :mozilla.51:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.38:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Cookies\stefan@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@revenue[1].txt -> TrackingCookie.Revenue : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@vegasred[2].txt -> TrackingCookie.Vegasred : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@www.vegasred[1].txt -> TrackingCookie.Vegasred : Gesäubert. :mozilla.44:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Yieldmanager : Gesäubert. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Gesäubert. C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}\Update.exe -> Trojan.Starter.65 : Mit Backup gesäubert (unter Quarantäne gestellt). [1864] C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}\Update.exe -> Trojan.Starter.65 : Fehler während der Säuberung. ::Berichtende Bei dem Trojaner Starter.65 tritt die Meldung "Fehler währen der Qurantäne " auf ?! Wie bekomme ich diesen Übeltäter noch los ??? Auf jeden fall schon mal vielen Dank für die Super Hilfe ! |
|
|
||
21.07.2006, 15:31
Ehrenmitglied
Beiträge: 29434 |
#13
Pocket KillBox
http://virus-protect.org/killbox.html Options: "Delete on Reboot" und "Single File"--> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: .... Zitat C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dlldann sanne noch mal mit ewido und berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.07.2006, 17:41
Member
Themenstarter Beiträge: 11 |
#14
ewido anti-spyware - Scan-Bericht
--------------------------------------------------------- + Erstellt um: 17:40:39 22.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Keine Aktion durchgeführt. HKU\S-1-5-21-484763869-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. [1916] C:\WINDOWS\system32\SMBOLS~1\svchost.exe -> Trojan.PurityAd : Keine Aktion durchgeführt. ::Berichtende |
|
|
||
22.07.2006, 17:42
Ehrenmitglied
Beiträge: 29434 |
#15
**
scanne noch mal mit ewido, aber lasse auch alles loeschen, vor allem den Purityscan (Trojan.PurityAd) Keine Aktion durchgeführt <--das darf so nicht sein........ ** hast du schon mit smitfraud.fix gescannt ???? Ich weiss es nicht, weil du die scanreporte nicht gepostet hast.......... http://virus-protect.org/artikel/tools/smitfrautfix.html ** poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ständige Popups und Einwalversuche und das lästige Fake Programm "Spyquake", sowie die Meldung "Your System is infected"
Bitte um Hilfe diesen lästigen Mist loszuwerden.
Alle Versuch schlugen bisher fehl.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4B6-2D10
Verzeichnis von C:\WINDOWS\system32
15.07.2006 17:30 867 dfhkj.ini
15.07.2006 17:17 16.384 ixt0.dll
15.07.2006 17:17 5.632 ismon.exe
15.07.2006 17:17 65.040 ld101.tmp
14.07.2006 21:13 4.286 ot.ico
14.07.2006 21:13 4.286 ts.ico
14.07.2006 18:31 653.046 dfhkj.bak2
14.07.2006 13:03 4.952 stdole3.tlb
14.07.2006 11:50 8.612 isnotify.exe
14.07.2006 11:50 26.112 issearch.exe
14.07.2006 11:48 39.440 ishost.exe
13.07.2006 11:53 98.324 mdehxnvu.dll
11.07.2006 15:30 9.728 simpole.tlb
11.07.2006 15:30 58.880 hp102.tmp
11.07.2006 14:34 58.880 hp101.tmp
11.07.2006 14:31 143 mcrh.tmp
11.07.2006 14:18 579.506 dfhkj.bak1
11.07.2006 14:18 569.396 jkhfd.dll
11.07.2006 12:13 11.804 atmclk.exe
11.07.2006 12:13 58.880 hp100.tmp
11.07.2006 02:10 81.920 dexplore.dll
11.07.2006 02:04 2.206 wpa.dbl
10.07.2006 12:37 39.437 efcdefd.dll
10.07.2006 12:37 76.816 regperf.exe
10.07.2006 12:37 18.432 winodn32.dll
07.07.2006 03:21 6.757.792 MRT.exe
13.06.2006 17:00 130.096 FNTCACHE.DAT
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
15.05.2006 22:01 1 SI.bin
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 532.480 mstime.dll
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4B6-2D10
Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp
15.07.2006 17:27 48.718 jusched.log
15.07.2006 17:26 16.384 ~DF1FA.tmp
15.07.2006 17:24 222 STG116.tmp
15.07.2006 17:24 25.214 STG115.tmp
15.07.2006 17:24 25.214 STG114.tmp
15.07.2006 17:19 16.384 Perflib_Perfdata_e78.dat
15.07.2006 17:19 16.384 Perflib_Perfdata_e80.dat
15.07.2006 17:19 16.384 ~DFD12E.tmp
15.07.2006 17:17 16.384 Perflib_Perfdata_e8.dat
15.07.2006 17:17 0 BCG2.tmp
15.07.2006 17:17 16.384 ~DF372B.tmp
15.07.2006 17:03 16.384 ~DFDE70.tmp
15.07.2006 15:45 16.384 ~DF778A.tmp
15.07.2006 15:39 32.768 AVP19B8.tmp
15.07.2006 15:39 4.096 AVP19B6.tmp
15.07.2006 15:39 12.288 AVP19B7.tmp
15.07.2006 15:39 16.384 AVP19B5.tmp
15.07.2006 14:21 16.384 ~DF82B9.tmp
15.07.2006 09:58 16.384 Perflib_Perfdata_fbc.dat
15.07.2006 09:58 16.384 Perflib_Perfdata_fc4.dat
15.07.2006 09:56 16.384 Perflib_Perfdata_b4.dat
15.07.2006 09:56 1.404 BCG42.tmp
15.07.2006 09:56 16.384 ~DF3033.tmp
14.07.2006 22:02 32.768 AVPDE0.tmp
14.07.2006 22:02 4.096 AVPDDE.tmp
14.07.2006 22:02 12.288 AVPDDF.tmp
14.07.2006 22:02 16.384 AVPDDD.tmp
14.07.2006 20:11 1.404 BCG3F.tmp
14.07.2006 20:11 16.384 ~DF4A89.tmp
14.07.2006 15:01 32.768 AVPEC2.tmp
14.07.2006 15:01 4.096 AVPEC0.tmp
14.07.2006 15:01 12.288 AVPEC1.tmp
14.07.2006 15:01 16.384 AVPEBF.tmp
14.07.2006 14:05 16.384 ~DF865C.tmp
14.07.2006 14:03 16.384 Perflib_Perfdata_dd8.dat
14.07.2006 14:03 16.384 Perflib_Perfdata_dd0.dat
14.07.2006 14:02 16.384 Perflib_Perfdata_108.dat
14.07.2006 14:02 1.404 BCG3E.tmp
14.07.2006 14:02 16.384 ~DF5226.tmp
14.07.2006 12:56 16.384 ~DFBF41.tmp
14.07.2006 12:02 16.384 ~DF4388.tmp
14.07.2006 11:45 16.384 ~DFF496.tmp
14.07.2006 11:41 16.384 ~DF47E6.tmp
14.07.2006 11:23 16.384 ~DF3EF1.tmp
14.07.2006 11:22 16.384 ~DF3237.tmp
14.07.2006 01:17 73.276 ~e5.0001
14.07.2006 01:07 16.384 ~DFFCFA.tmp
13.07.2006 20:28 16.384 ~DF783.tmp
13.07.2006 18:08 16.384 ~DF1AD9.tmp
13.07.2006 17:53 16.384 ~DF771B.tmp
13.07.2006 10:37 16.384 ~DF51D4.tmp
13.07.2006 10:33 16.384 ~DF22F3.tmp
13.07.2006 01:48 16.384 ~DF1D0A.tmp
13.07.2006 01:39 222 STG30F.tmp
13.07.2006 01:39 25.214 STG30E.tmp
13.07.2006 01:39 25.214 STG30D.tmp
13.07.2006 01:24 16.384 ~DFDC25.tmp
13.07.2006 01:10 16.384 ~DF1135.tmp
12.07.2006 10:50 16.384 ~DF42E0.tmp
11.07.2006 21:33 16.384 ~DFFBEB.tmp
11.07.2006 21:23 4.952 temp.frA9D3
11.07.2006 14:22 222 STG1970.tmp
11.07.2006 14:22 25.214 STG196F.tmp
11.07.2006 14:22 25.214 STG196E.tmp
11.07.2006 14:22 188.158 b121.exe
11.07.2006 14:14 167.991 b122.exe
11.07.2006 12:13 90.112 temp.fr92DB
11.07.2006 02:06 16.384 ~DF14D8.tmp
10.07.2006 12:41 71.680 !update.exe
10.07.2006 12:37 184 mst602.bat
10.07.2006 12:37 0 win643.tmp
10.07.2006 12:37 0 win642.tmp
10.07.2006 12:37 0 win63F.tmp
10.07.2006 12:37 0 win63A.tmp
10.07.2006 12:37 0 win636.tmp
10.07.2006 12:37 151.112 win62F.tmp.exe
10.07.2006 12:37 0 win62C.tmp
10.07.2006 12:37 310.482 win62B.tmp.exe
10.07.2006 12:37 43 removalfile.bat
10.07.2006 12:37 0 win627.tmp
10.07.2006 12:37 0 win61D.tmp
10.07.2006 12:37 0 win610.tmp
10.07.2006 12:37 0 win60F.tmp
10.07.2006 12:37 915 win609.tmp
10.07.2006 12:37 18.432 mst602.tmp
08.07.2006 20:56 104 0CF6E057.TMP
08.07.2006 10:48 16.384 ~DF83FB.tmp
08.07.2006 10:45 16.384 ~DFEBB7.tmp
03.05.2006 11:42 3.988.680 betandwineuro_de.exe
16.09.2005 19:58 180.736 temp.fr8C02
12.10.2004 11:14 57.344 InstHelp.dll
91 Datei(en) 6.344.665 Bytes
0 Verzeichnis(se), 14.011.310.080 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4B6-2D10
Verzeichnis von C:\
15.07.2006 17:33 0 sys.txt
15.07.2006 17:32 8.210 windows.txt
15.07.2006 17:32 8.210 system.txt
15.07.2006 17:31 4.792 systemtemp.txt
15.07.2006 17:30 103.094 system32.txt
15.07.2006 17:16 1.610.612.736 pagefile.sys
13.07.2006 17:57 389 boot.ini
22.04.2006 19:48 91 sysrun23.dll
18.07.2005 13:08 3.567 LGSInst.Log
16.07.2005 11:34 0 IO.SYS
16.07.2005 11:34 0 CONFIG.SYS
16.07.2005 11:34 0 AUTOEXEC.BAT
16.07.2005 11:34 0 MSDOS.SYS
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 251.184 ntldr
31.12.2002 14:00 47.564 NTDETECT.COM
16 Datei(en) 1.611.044.789 Bytes
0 Verzeichnis(se), 14.011.256.832 Bytes frei