ein paar fragen zu spyquake und registry |
||
---|---|---|
#0
| ||
20.07.2006, 19:44
Member
Beiträge: 51 |
||
|
||
20.07.2006, 20:07
Ehrenmitglied
Beiträge: 29434 |
#2
arbeite erst mal mit smitfraud.fix und lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html dann poste die 4 logs, ich sehe nach, was noch drauf ist: Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.07.2006, 21:38
Member
Themenstarter Beiträge: 51 |
#3
ok, also :
smitfraud mit dem profil dessen, der sich alles eingefangen hat : SmitFraudFix v2.74 Scan done at 20:40:22,58, Do 20.07.2006 Run from H:\H_programme\SmitfraudFix\SmitfraudFix OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32 C:\WINNT\system32\issearch.exe FOUND ! C:\WINNT\system32\ixt?.dll FOUND ! C:\WINNT\system32\ixt??.dll FOUND ! C:\WINNT\system32\ot.ico FOUND ! C:\WINNT\system32\ts.ico FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\hrm\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\hrm\FAVORI~1 C:\DOKUME~1\hrm\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End smitfraud mit einem anderen (admin-)profil : SmitFraudFix v2.74 Scan done at 20:54:02,10, Do 20.07.2006 Run from H:\H_programme\SmitfraudFix\SmitfraudFix OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINNT\system32\issearch.exe Deleted C:\WINNT\system32\ixt?.dll Deleted C:\WINNT\system32\ot.ico Deleted C:\WINNT\system32\ts.ico Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End spielt es bei smitfraud eine rolle, ob auf h oder c ist ? *mir gerade einfällt* datfind - sys : Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\ 20.07.2006 21:15 0 sys.txt 20.07.2006 21:15 4.753 datfindsystem.txt 20.07.2006 21:14 137 datfindsystemtemp.txt 20.07.2006 21:13 137 systemtemp.txt 20.07.2006 21:13 4.753 system.txt 20.07.2006 21:13 441 datfindsystem32.txt 20.07.2006 21:12 81.864 system32.txt 20.07.2006 20:57 201.326.592 PAGEFILE.SYS 20.07.2006 20:54 1.011 rapport.txt 23.07.2005 07:22 104.990 wtge61ge.HST 19 Datei(en) 202.089.866 Bytes 0 Verzeichnis(se), 3.991.654.400 Bytes frei datfind - system : Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\WINNT 20.07.2006 20:53 14.654 ntbtlog.txt 20.07.2006 20:48 32.634 SchedLgU.Txt 20.07.2006 20:48 554.841 WindowsUpdate.log 18.07.2006 23:58 62 wininit.ini 15.07.2006 13:50 7.883 hrm8.xlb 01.06.2006 04:19 207.434 setupapi.log 25.04.2006 18:28 348 DINFO.INI 87 Datei(en) 4.424.681 Bytes 0 Verzeichnis(se), 3.991.543.808 Bytes frei datfind - system32 : Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\WINNT\system32 05.07.2006 21:55 57.384 avsda.dll 30.04.2006 02:36 3.233 FFASTLOG.TXT 30.03.2006 02:07 88.704 FNTCACHE.DAT 10.11.2005 09:34 100.352 dfrg.msc 1581 Datei(en) 211.561.977 Bytes 0 Verzeichnis(se), 3.991.629.824 Bytes frei datfind - systemtemp : Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\DOKUME~1\hrmad\LOKALE~1\Temp und weil es oft noch gefragt ist, ein hijackthis-log : Logfile of HijackThis v1.98.2 Scan saved at 21:31:07, on 20.07.2006 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe D:\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe D:\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\Explorer.EXE D:\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\System32\internat.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe H:\H_programme\firebird\MozillaFirebird.exe H:\H_programme\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [DInfoSetup] d:\D-Info2000\SDinfo.exe /INIKEY O4 - HKLM\..\Run: [WheelMouse] C:\psn\wh_exec.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1124.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8ACA03BF-6E00-4623-AC5E-82D0AA8A09C2}: NameServer = 194....,192.168.1.1 hm... - keine ahnung ob für spyquake-lösung interessant, ich weiß, daß evtl noch trojaner drauf sind/waren, um die ich mich später kümmern wollte : - TR/FakeAlert.CO.1 auf C:\WINNT\system32\components\flx5.dll - signatur von SPR/Hoax.Renos.DW.2-Programmes auf C:\WINNT\system32\yephk.dll - TR/Agent.TC.1 auf C:\WINNT\system32\isnotify.exe - TR/Dldr.Zlob.YT auf C:\WINNT\system32\ishost.exe - TR/Drop.Zlob.VY.11 auf C:\WINNT\system32\ishost.exe - SPR/Fake.Spyware Qua auf C:\Pogramme\Spyquake2.com\Spy-Quake2.exe - enthält signatur des java-virus Java/Black-Box.AA.1 auf C:\Doku und Einstellungen\hrm\Lokale Einst\Temp Inet Files\Content.IE5\ENCZSR85\count[1].jar *seufz + wenn der pc wieder sauber ist, die benutzerrechte noch mehr einsschränke grml danke + viele grüße, skys Dieser Beitrag wurde am 20.07.2006 um 23:02 Uhr von skys editiert.
|
|
|
||
20.07.2006, 22:51
Ehrenmitglied
Beiträge: 29434 |
#4
skys
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.07.2006, 22:56
Member
Themenstarter Beiträge: 51 |
#5
der text im admin profil :
Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\WINNT\system32\components 15.07.2006 19:26 <DIR> . 15.07.2006 19:26 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 3.990.433.792 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\WINNT\Downloaded Program Files 22.04.2005 17:57 <DIR> . 22.04.2005 17:57 <DIR> .. 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 30.06.2003 22:41 1.689 WMV9VCM.inf 02.03.2001 13:43 2.132 wmv8ax.inf 01.05.2000 19:06 1.988 wmvax.inf 27.08.2005 13:30 5.065 swflash.inf 09.02.2005 16:54 1.271 erma.inf 18.07.2005 17:08 315.392 mail_upload.ocx 18.07.2005 17:36 863 mail_upload.inf 9 Datei(en) 330.259 Bytes 2 Verzeichnis(se), 3.990.433.792 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme\Safety Bar 15.07.2006 19:26 <DIR> . 15.07.2006 19:26 <DIR> .. 15.07.2006 19:26 24.064 Safety Bar.dll 15.07.2006 19:26 312 Uninstall.bat 2 Datei(en) 24.376 Bytes 2 Verzeichnis(se), 3.990.433.792 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme 22.04.2005 17:44 <DIR> . 22.04.2005 17:44 <DIR> .. 22.04.2005 17:44 <DIR> Gemeinsame Dateien 22.04.2005 17:55 <DIR> Windows NT 22.04.2005 17:55 <DIR> Zubeh”r 22.04.2005 17:55 <DIR> Windows Media Player 22.04.2005 17:56 <DIR> Internet Explorer 22.04.2005 17:56 <DIR> Outlook Express 22.04.2005 17:56 <DIR> NetMeeting 22.04.2005 17:59 <DIR> microsoft frontpage 05.08.2005 19:09 <DIR> EPSON 23.08.2005 05:22 <DIR> Logitech 10.12.2005 12:51 <DIR> Yahoo! 30.04.2006 02:24 <DIR> AntiVir PersonalEdition Classic 15.07.2006 19:26 <DIR> Safety Bar 0 Datei(en) 0 Bytes 15 Verzeichnis(se), 3.990.433.792 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme\Gemeinsame Dateien Dieser Beitrag wurde am 20.07.2006 um 22:59 Uhr von skys editiert.
|
|
|
||
20.07.2006, 23:00
Member
Themenstarter Beiträge: 51 |
#6
und noch der text im profil des grml-users :
Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\WINNT\system32\components 15.07.2006 19:26 <DIR> . 15.07.2006 19:26 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 3.990.433.792 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\WINNT\Downloaded Program Files 22.04.2005 17:57 <DIR> . 22.04.2005 17:57 <DIR> .. 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 30.06.2003 22:41 1.689 WMV9VCM.inf 02.03.2001 13:43 2.132 wmv8ax.inf 01.05.2000 19:06 1.988 wmvax.inf 27.08.2005 13:30 5.065 swflash.inf 09.02.2005 16:54 1.271 erma.inf 18.07.2005 17:08 315.392 mail_upload.ocx 18.07.2005 17:36 863 mail_upload.inf 9 Datei(en) 330.259 Bytes 2 Verzeichnis(se), 3.990.433.792 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme\Safety Bar 15.07.2006 19:26 <DIR> . 15.07.2006 19:26 <DIR> .. 15.07.2006 19:26 24.064 Safety Bar.dll 15.07.2006 19:26 312 Uninstall.bat 2 Datei(en) 24.376 Bytes 2 Verzeichnis(se), 3.990.433.792 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme 22.04.2005 17:44 <DIR> . 22.04.2005 17:44 <DIR> .. 22.04.2005 17:44 <DIR> Gemeinsame Dateien 22.04.2005 17:55 <DIR> Windows NT 22.04.2005 17:55 <DIR> Zubeh”r 22.04.2005 17:55 <DIR> Windows Media Player 22.04.2005 17:56 <DIR> Internet Explorer 22.04.2005 17:56 <DIR> Outlook Express 22.04.2005 17:56 <DIR> NetMeeting 22.04.2005 17:59 <DIR> microsoft frontpage 05.08.2005 19:09 <DIR> EPSON 23.08.2005 05:22 <DIR> Logitech 10.12.2005 12:51 <DIR> Yahoo! 30.04.2006 02:24 <DIR> AntiVir PersonalEdition Classic 15.07.2006 19:26 <DIR> Safety Bar 0 Datei(en) 0 Bytes 15 Verzeichnis(se), 3.990.433.792 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme\Gemeinsame Dateien Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\WINNT\system32\components 15.07.2006 19:26 <DIR> . 15.07.2006 19:26 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 3.989.786.624 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\WINNT\Downloaded Program Files 22.04.2005 17:57 <DIR> . 22.04.2005 17:57 <DIR> .. 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 30.06.2003 22:41 1.689 WMV9VCM.inf 02.03.2001 13:43 2.132 wmv8ax.inf 01.05.2000 19:06 1.988 wmvax.inf 27.08.2005 13:30 5.065 swflash.inf 09.02.2005 16:54 1.271 erma.inf 18.07.2005 17:08 315.392 mail_upload.ocx 18.07.2005 17:36 863 mail_upload.inf 9 Datei(en) 330.259 Bytes 2 Verzeichnis(se), 3.989.786.624 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme\Safety Bar 15.07.2006 19:26 <DIR> . 15.07.2006 19:26 <DIR> .. 15.07.2006 19:26 24.064 Safety Bar.dll 15.07.2006 19:26 312 Uninstall.bat 2 Datei(en) 24.376 Bytes 2 Verzeichnis(se), 3.989.655.552 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme 22.04.2005 17:44 <DIR> . 22.04.2005 17:44 <DIR> .. 22.04.2005 17:44 <DIR> Gemeinsame Dateien 22.04.2005 17:55 <DIR> Windows NT 22.04.2005 17:55 <DIR> Zubeh”r 22.04.2005 17:55 <DIR> Windows Media Player 22.04.2005 17:56 <DIR> Internet Explorer 22.04.2005 17:56 <DIR> Outlook Express 22.04.2005 17:56 <DIR> NetMeeting 22.04.2005 17:59 <DIR> microsoft frontpage 05.08.2005 19:09 <DIR> EPSON 23.08.2005 05:22 <DIR> Logitech 10.12.2005 12:51 <DIR> Yahoo! 30.04.2006 02:24 <DIR> AntiVir PersonalEdition Classic 15.07.2006 19:26 <DIR> Safety Bar 0 Datei(en) 0 Bytes 15 Verzeichnis(se), 3.989.782.528 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3C62-18F6 Verzeichnis von C:\Programme\Gemeinsame Dateien welches profil ist relevant für dich ? nur das des users, da der sich den mist geholt hat ? viele grüße, skys Dieser Beitrag wurde am 20.07.2006 um 23:03 Uhr von skys editiert.
|
|
|
||
20.07.2006, 23:03
Ehrenmitglied
Beiträge: 29434 |
#7
1.
avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 2. poste das log vom avenfer, was erscheint 3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htmPC neustarten 4. neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 5. loesche: C:\WINNT\system32\components C:\Programme\Safety Bar __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.07.2006, 23:05
Member
Themenstarter Beiträge: 51 |
#8
sabina, ist es relevant, unter welchem profil ich das mache, ob vom adminprofil oder dem des users (hauptbenutzer) ?
|
|
|
||
20.07.2006, 23:06
Ehrenmitglied
Beiträge: 29434 |
#9
ist egal, wo du das machst, aber mache refresh mit der seite, ich habe noch was veraendert
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.07.2006, 23:21
Member
Themenstarter Beiträge: 51 |
#10
hm, hatte refreshed, aber meldung bekam nach der grünen ampel :
fenster : Fatal error : could not create new script file fenster : could not log error --- aborting now EDIT : Error code: 1421 die anderen punkte trotzdem schon machen hat dann keinen sinn, oder doch ? bzw, der text von dir für den avenger, um die dateien und in der reg zu löschen, auch von hand zu machen wäre - durch die pfadangabe ja recht sicher wäre, oder nicht ? Dieser Beitrag wurde am 20.07.2006 um 23:46 Uhr von skys editiert.
|
|
|
||
21.07.2006, 01:25
Ehrenmitglied
Beiträge: 29434 |
#11
wenn der avenger nicht funktioniert...loesche manuell aus der registry ,PC neustarten und C:\Programme\Safety Bar desinstallieren...loeschen
und alles andere abarbeiten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2006, 02:00
Member
Themenstarter Beiträge: 51 |
#12
hi sabina,
war mir nicht sicher, ob avenger im hintergrund noch mehr macht, daher fragte. habe nun alles manuall gemacht und abgearbeitet. ie mit startseite funktioniert auch wieder (wohl das sichtbarste an allem). ich habe nun im startmenü noch 2 einträge stehen, von denen ich nicht weiß, ob sie zu dieser komischen safety dingens gehören : Online Security Guide - link unter eigenschaft : http://securitysafeguard.com Security Troubleshooting - link unter eigenschaft : http://thesecuritytest.com (außerdem auf C ein ordner found.000 mit vielen dateien vom typ 'Recovered File Fragments' sind - am liebsten auch gleich löschen würde, sagt mir nix.) ist damit spyquake fertig ? betraf jetzt doch nur die safety bar oder ist das identisch ? was ist mit den spyquake-einträgen in der registry ? vielen dank schon mal und einen schönen (kühleren) tag morgen, skys ps: ich habe gesehen du hast etwas mit paypal. bin da etwas (evtl zu) mißtrauisch, auch wenn es angeblich recht sicher sein soll - stehen von dir woanders vielleicht auch normale blz, etc-infos ? |
|
|
||
21.07.2006, 02:13
Ehrenmitglied
Beiträge: 29434 |
#13
smitfraud.fix muesste das eigentlich loeschen.................
mache folgendes: SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) poste den scanreport ------------- die reg-Eintraege von spywarequake loeschen smitfraud.fix und smitrem. gesammelte "Werke" http://virus-protect.org/artikel/spyware/spywarequake.html - __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2006, 23:09
Member
Themenstarter Beiträge: 51 |
#14
hallo,
hm, irgendwie evtl etwas schief lief : bevor das prog startete, kamen die infos, wenn es einen uninstaller zu winhound, alfacleaner, spwarequake, trustcleaner gäbe, würde es deinstalliert werden. ok beim trust cleaner hieß es system kann pfad nicht finden. und beim spyheal stand : spyheal may open... just close it - wobei ich allerdings da nichts machen konnte, da keine ahnung, ob das prog habe bzw wie schließen. dann kamen noch die meldungen : smitfrau.reg und smitfra.reg kann nicht importiert werden, fehler beim zugriff auf registry. (evtl daran lag, daß nicht im admin-profil drin war - ergo nochmal wiederholen sollte ?) danach sah ich, daß alles gescannt wurde, aber dann war alles weg, gab nix zum kopieren oder text im editor. und danach bot es mir an disk cleanup zu machen, was 3 stdn dauern könnte *ahnte, daß das nicht sollte, aber keine andere option sah* ließ also bereinigen... (dauerte nicht mal eine minute) registry nochmal anch einträgen absuchte, je nach benutzerprofil unterschiede gab : admin-profil : 1) hkey_classes_root\applications\spy-quake2.exe wert nicht gesetzt 2) hkey_local_machine\software\classes\applications\spy-quake2.exe wert nicht gesetzt user-profil : 1) hkey_classes_root\applications\spy-quake2.exe 2) hkey_current_user\software\microsoft\windows\current version\explorer\menu order\start menu\programs\spyquake2.com 3) hkey_local_machine\software\classes\applications\spy-quake2.exe 4) hkey_users\s-1-5-2-1-1078081533-...\software\microsoft\windows\current version\explorer\menu order\start menu\programs\spyquake2.com meist nur mit standard und nicht gesetztem wert, manchmal auch noch einem 2.eintrag auf der rechten seite (zb namens order) daher frage : kann ich all diese einträge bzw spyquake-ordner von hand (in beiden profilen) löschen ? verschwinden danach zb auch die beiden einträge im startmenü ? bringt dir ein hijackthis etwas ? als wie sauber kann ich den pc betrachten ? ich hatte ja noch ein paar trojaner in quarantäne geschoben, wurden die bei den tools miteentfernt oder ist es besser, ich kümmere mich um die nochmals extra ? und was genau bedeutet "enthält signatur des java-virus" - liegt dann eine infektion mit dem virus vor oder nicht ? viele grüße + eiswürfel durch die gegend werfe, skys (grmpf, dann muß ich mich mal bei paypal einlesen *mir arg unwohl ist bei solchen sachen, aber ich guck mal...) |
|
|
||
22.07.2006, 00:31
Ehrenmitglied
Beiträge: 29434 |
#15
Tip 1 :
wenn du bei der Anwendung von smitfraud.fix auch laut Anweisungen die registry mitreinigen laesst (im abgesicherten Modus....), musst du nicht in die Registry und alles von spyquake2.com per Hand loeschen..... Tip 2 : wende auch roguescanfix.exe an (siehe meine Seite, Punkt 5) ..falls du es nicht schon angewendet hast. http://virus-protect.org/artikel/spyware/spywarequake.html diese meldungen gehoeren zum Programm...sind also normal Zitat bevor das prog startete, kamen die infos, wenn es einen uninstaller zu winhound, alfacleaner, spwarequake, trustcleaner gäbe, würde es deinstalliert werden. okTip 3: Mache einen Onlinescan mit ewido und poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ein paar fragen zum entfernen von spyquake2.com2.3. (habe win2000)
(die mir wichtigen fragen habe ich mal blau gemacht.)
ich habe mir hier schon einige threads durchgelesen (ua natürlich auch den http://virus-protect.org/artikel/spyware/spywarequake.html)
bis jetzt habe ich gemacht :
mit antivir alles durchsucht, gefundenes in quarantäne.
in systemeinstellungen/software das spyquake-programm deinstalliert – angeblich erfolgreich.
cleanup lt beschreibung aus dem thread http://virus-protect.org/artikel/spyware/spywarequake.html, allerdings habe ich komischerweise nicht die möglichkeit einen haken bei prefetch files zu machen, das kästchen bleibt grau.
dann adaware.
(msconfig – um häkchen beim autostart zu machen und dort evtl eine spyquake-datei zu deaktivieren – mir erst wieder auf win2000 holen muß bzw. noch danach suche)
nun bin ich in die registry gelandet und habe dort nach einträgen von spyquake gesucht.
einen schlüssel mit wert habe ich unter dem verzeichnis microsoft/software gelöscht - hätte es erst abschreiben sollen und vllt vorher fragen *zerknirscht guck
nun habe ich noch folgende einträge, von denen ich gerne wissen würde, ob man den schlüssel oder wert einfach löschen bzw ändern kann :
hkey_classes_root/{5e05ea9f-1ea7-4d0b-etc}/1.0/0/win32 :
name : (standard), typ : reg_sz, wert : c:\programme\spyquake2.com\spy-quake2.exe
hkey_classes_root/type lib/{5e05ea9f-1ea7-4d0b-etc}/1.0/helpdir :
name : (standard), typ : reg_sz, wert : c:\programme\spyquake2.com\
hkey_local_machine/software/classes/type lib/{5e05ea9f-1ea7-4d0b-etc}/1.0/0/win32 :
name : (standard), typ : reg_sz, wert : c:\programme\spyquake2.com\spy-quake2.exe
hkey_local_machine/software/classes/type lib/{5e05ea9f-1ea7-4d0b-etc}/1.0/helpdir :
name : (standard), typ : reg_sz, wert : c:\programme\spyquake2.com\
hkey_local_machine/software/classes/logitech/mouseware/current version/gaming compatibility :
name : quake 3, typ : reg_sz, wert : quake3.exe
(keine ahnung, ob das zu spyquake gehört, hatte nur nach "quake" gesucht)
hkey_local_machine/software/classes/microsoft/windows nt/current version/ comatibility :
name : quake, typ : reg_sz, wert : 0x80
(ebenfalls : keine ahnung, ob das zu spyquake gehört, hatte nur nach "quake" gesucht)
hkey_users/s-1-5-21-107etc/software/microsoft/windows/current version/explorer/menu ordner/start menu/programs/spy quake2.com
(ist das für das start-popup im ie verantwortlich ?)
per google fand ich dies hier, da ich mich fragte, ob ich den ganzen type lib eintrag {5e05ea9f-1ea7-4d0b-etc} mit den ordnern löschen könnte :
Zitat
demnach nehme ich an, type lib einträge kann man löschen, wenn man das programm deinstalliert hat ?und die frage, ob mein optimismus zu recht besteht, daß nach löschung/änderung dieser registry-einträge, spyquake weg ist ?
oder muß ich tatsächlich noch alles weitere aus dem thread http://virus-protect.org/artikel/spyware/spywarequake.html durchgehen (zb mit vundo, aber in anderen threads auch noch von vielen anderen scan- und fix-progs etwas gelesen habe) ?
vielen dank für die mühe und viele grüße, skys