aswboot.exe / Backdoor ASW ? Echter Trojaner oder Fehlalarm ?

#0
07.08.2006, 14:20
...neu hier

Beiträge: 6
#1 Hallo, ich hoffe ich habe alles richtig gemacht gemäss euren Beschreibungen bzgl. neuer threads und Vorarbeit.

Problem:

Ich bekomme seit gestern von einem meiner Antispywareprogramme (Spyware Terminator) eine Warnmeldung. daß ein Trojan-Backdoor ASW entdeckt wurde. Der Name der befallenen Datei ist C.\WINDOWS\SYSTEM32\aswboot.exe. Habe etwas im Netz recherchiert, avast darüber laufen lassen (Vollsuche - nicht nur die exe.Datei), auch BITDEFENDER (erst heute installiert) und die Datei auch mit den verschiedenen Onlinescannern die im Netzt stehen überprüft. Weder die eigenen noch die Onlinescanner haben etwas gefunden. Mein PC scheint auch normal zu laufen. Ich bekomme allerdings bei einem bestimmtem Programmaufruf von Spywareterminator resident die Meldung dass versucht wird Dateinamen (Endungen) zu ändern.

OK hier die diversen Logs, vielleicht hat ja jemand eine Idee.
Die Schritte wie Tempfiles löschen etc. mit euren Tools habe ich alle gemacht.
Danke im Vorraus

##### HIJACK THIS ##########

Logfile of HijackThis v1.99.1
Scan saved at 12:34:55 PM, on 8/7/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Anti-Spyware Blocker\Anti-Virus.exe
C:\Programme\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\AAAVIREN\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://finance.yahoo.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll
O3 - Toolbar: &Google Notebook - {CCCCCCDB-4DDB-4703-95D4-DD2C526397BF} - C:\Programme\Google\Google Notebook\gnotes1.0.2.6--1666891177.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.exe /silent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Anti-Spyware Blocker.lnk = C:\Programme\Anti-Spyware Blocker\Anti-Virus.exe
O4 - Global Startup: Digimax Viewer 1.0.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Note this (Google Note&book) - res://C:\Programme\Google\Google Notebook\gnotes1.0.2.6--1666891177.dll/gn_menu1.html
O8 - Extra context menu item: Note this (Google Notebook) - res://C:\Programme\Google\Google Notebook\gnotes1.0.2.6--1666891177.dll/gn_menu2.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.bloomberg.com
O15 - Trusted Zone: http://www.cnbceurope.com
O15 - Trusted Zone: www.warrants.dresdner.com
O15 - Trusted Zone: www.heise.de
O15 - Trusted Zone: www.marketwatch.com
O15 - Trusted Zone: http://optionsscheine.onvista.de
O15 - Trusted Zone: portfolio.onvista.de
O15 - Trusted Zone: www.onvista.de
O15 - Trusted Zone: zertifikate.onvista.de
O15 - Trusted Zone: www.panikboard.de
O15 - Trusted Zone: www.theflyonthewall.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AD37925-0596-449E-A976-B3FDFF8F6F8C}: NameServer = 217.237.150.33 217.237.150.188
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgafg.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Programme\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

##### COMBOFIX

Start Time= Mon 08/07/2006 12:49:54.53
Running from: C:\AAAVIREN

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-07 12:36:08 ( .D... ) "C:\Programme\CleanUp!"
2006-08-07 10:13:38 ( .D... ) "C:\Programme\Softwin"
2006-08-07 10:10:22 ( .D... ) "C:\Programme\Gemeinsame Dateien\Softwin"
2006-08-06 21:30:52 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-08-06 20:53:42 ( .D... ) "C:\Programme\Windows Defender"
2006-08-06 18:04:12 ( .D... ) "C:\Programme\Trisnap Technologies"
2006-07-29 13:59:58 ( .D... ) "C:\Dokumente und Einstellungen\test\Anwendungsdaten\PC Tools"
2006-07-17 20:47:38 ( .D... ) "C:\Programme\Yahoo!"
2006-07-04 14:03:04 ( .D... ) "C:\Programme\Gemeinsame Dateien\xing shared"
2006-07-04 14:02:52 176167 ( A.... ) "C:\WINDOWS\system32\rmoc3260.dll"
2006-07-04 14:02:34 6656 ( A.... ) "C:\WINDOWS\system32\pndx5016.dll"
2006-07-04 14:02:34 5632 ( A.... ) "C:\WINDOWS\system32\pndx5032.dll"
2006-07-04 14:02:32 278528 ( A.... ) "C:\WINDOWS\system32\pncrt.dll"
2006-07-04 14:02:24 ( .D... ) "C:\Programme\Gemeinsame Dateien\Real"
2006-07-04 14:02:22 ( .D... ) "C:\Programme\Real"
2006-07-04 14:02:04 ( .D... ) "C:\Dokumente und Einstellungen\test\Anwendungsdaten\Real"
2006-06-07 09:53:44 ( .D... ) "C:\Programme\DVDCoverPrint"
2006-05-31 11:02:04 624640 ( A.... ) "C:\WINDOWS\system32\aswBoot.exe"
2006-05-31 10:54:36 90112 ( A.... ) "C:\WINDOWS\system32\AVASTSS.scr"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2006-05-09 18:19:24 81920 ( ....R ) "C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe"
2006-05-09 13:24:14 192512 ( ..... ) "C:\WINDOWS\ddedll.dll"
2006-05-09 13:24:14 73728 ( A.... ) "C:\WINDOWS\system32\TwsSocketClient.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-06 22:33 624,640 C:\WINDOWS\system32\aswBoot.exe
2006-07-04 14:02 6,656 C:\WINDOWS\system32\pndx5016.dll
2006-07-04 14:02 5,632 C:\WINDOWS\system32\pndx5032.dll
2006-07-04 14:02 278,528 C:\WINDOWS\system32\pncrt.dll
2006-07-04 14:02 176,167 C:\WINDOWS\system32\rmoc3260.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Matrox PowerDesk 8"="C:\\WINDOWS\\system32\\PowerDesk8\\Matrox.PowerDesk.exe /silent"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_05\\bin\\jusched.exe"
"zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"SpywareTerminator"="\"C:\\Programme\\Spyware Terminator\\SpywareTerminatorShield.exe\""
"Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
"BDMCon"="\"C:\\Programme\\Softwin\\BitDefender8\\bdmcon.exe\""
"BDNewsAgent"="\"C:\\Programme\\Softwin\\BitDefender8\\bdnagent.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,de,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{81559C35-8464-49F7-BB0E-07A383BEF910}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WinDefend


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job

Completion time: Mon 08/07/2006 12:50:36.50
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt


##### die 4 Batchprotokolle

#####

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\WINDOWS\system32

08/07/2006 12:47 PM 35,997 vsconfig.xml
08/07/2006 12:44 PM 56,270 ikhcore.log
08/07/2006 10:18 AM 2,148 x_dtrace_log
08/06/2006 10:33 PM 3,002 CONFIG.NT
08/06/2006 09:43 PM 12,598 wpa.dbl
07/14/2006 03:38 AM 380,350 perfh009.dat
07/14/2006 03:38 AM 52,764 perfc009.dat
07/14/2006 03:38 AM 391,000 perfh007.dat
07/14/2006 03:38 AM 63,580 perfc007.dat
07/14/2006 03:38 AM 897,778 PerfStringBackup.INI
07/06/2006 06:21 PM 6,757,792 MRT.exe
07/04/2006 02:02 PM 176,167 rmoc3260.dll
07/04/2006 02:02 PM 5,632 pndx5032.dll
07/04/2006 02:02 PM 6,656 pndx5016.dll
07/04/2006 02:02 PM 278,528 pncrt.dll
06/22/2006 12:47 PM 181,248 rasmans.dll
06/07/2006 09:53 AM 5,363 INSTALL.LOG
06/01/2006 08:47 PM 27,648 jgpl400.dll
06/01/2006 08:47 PM 163,840 jgdw400.dll
05/31/2006 11:02 AM 624,640 aswBoot.exe
05/31/2006 10:54 AM 90,112 AVASTSS.scr
05/29/2006 05:30 PM 1,494,016 shdocvw.dll
05/28/2006 11:44 PM 4,212 zllictbl.dat
05/19/2006 05:09 PM 3,073,536 mshtml.dll
05/19/2006 03:09 PM 112,128 dhcpcsvc.dll
05/19/2006 03:09 PM 95,744 iphlpapi.dll
05/19/2006 03:09 PM 148,480 dnsapi.dll
05/18/2006 07:36 AM 450,560 jscript.dll
05/17/2006 11:23 AM 579,888 LegitCheckControl.DLL
05/16/2006 10:23 PM 339,968 pxwave.dll
05/16/2006 10:23 PM 28,672 vxblock.dll
05/16/2006 10:23 PM 56,832 pxinsa64.exe
05/16/2006 10:23 PM 450,560 pxdrv.dll
05/16/2006 10:23 PM 61,440 pxhpinst.exe
05/16/2006 10:23 PM 1,257,472 pxsfs.dll
05/16/2006 10:23 PM 57,344 pxcpya64.exe
05/16/2006 10:23 PM 176,128 pxmas.dll
05/16/2006 10:23 PM 430,080 px.dll
05/14/2006 07:34 AM 207,304 FNTCACHE.DAT
05/11/2006 10:57 AM 27,136 xpsp3res.dll
05/10/2006 07:52 PM 1,197 lvcoinst.log
05/10/2006 07:23 AM 664,064 wininet.dll
05/10/2006 07:22 AM 615,936 urlmon.dll
05/10/2006 07:22 AM 474,624 shlwapi.dll
05/10/2006 07:22 AM 532,480 mstime.dll
05/10/2006 07:22 AM 146,432 msrating.dll
05/10/2006 07:22 AM 39,424 pngfilt.dll
05/10/2006 07:22 AM 448,512 mshtmled.dll
05/10/2006 07:22 AM 16,384 jsproxy.dll
05/10/2006 07:22 AM 96,768 inseng.dll
05/10/2006 07:22 AM 357,888 dxtmsft.dll
05/10/2006 07:22 AM 1,056,256 danim.dll
05/10/2006 07:22 AM 251,392 iepeers.dll
05/10/2006 07:22 AM 55,808 extmgr.dll
05/10/2006 07:22 AM 205,312 dxtrans.dll
05/10/2006 07:22 AM 152,064 cdfview.dll
05/10/2006 07:22 AM 1,022,976 browseui.dll
05/09/2006 01:24 PM 73,728 TwsSocketClient.dll
04/29/2006 06:07 AM 5,533,696 wmp.dll


#####

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\DOKUME~1\test\LOKALE~1\Temp

08/07/2006 12:57 PM 88 LVCOMSX.LOG
08/07/2006 12:48 PM 16,384 Perflib_Perfdata_9d0.dat
08/07/2006 12:46 PM 16,384 ~DF4144.tmp
08/07/2006 12:46 PM 16,384 ~DF7543.tmp
4 Datei(en) 49,240 Bytes
0 Verzeichnis(se), 185,242,132,480 Bytes frei


#####

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\WINDOWS

08/07/2006 12:53 PM 1,460,303 WindowsUpdate.log
08/07/2006 12:50 PM 120 setupact.log
08/07/2006 12:47 PM 46,196 setupapi.log
08/07/2006 12:46 PM 0 0.log
08/07/2006 12:45 PM 50 wiaservc.log
08/07/2006 12:44 PM 159 wiadebug.log
08/07/2006 12:44 PM 2,048 bootstat.dat
08/07/2006 12:43 PM 32,548 SchedLgU.Txt
08/07/2006 10:14 AM 659 win.tmp
08/07/2006 10:14 AM 659 win.ini
08/06/2006 07:04 PM 0 setuperr.log
08/06/2006 06:41 PM 54,156 QTFont.qfn
08/06/2006 06:41 PM 1,409 QTFont.for
07/10/2006 01:45 PM 40 nero.INI
07/04/2006 02:06 PM 1,171 cdPlayer.ini
05/09/2006 06:26 PM 0 Sti_Trace.log
05/09/2006 06:21 PM 316,640 WMSysPr9.prx
05/09/2006 06:19 PM 81,920 bwUnin-6.1.4.68-8876480L.exe
05/09/2006 01:24 PM 192,512 ddedll.dll
04/20/2006 11:58 PM 5,119 mozver.dat

#######

08/07/2006 12:59 PM 0 sys.txt
08/07/2006 12:59 PM 5,392 system.txt
08/07/2006 12:59 PM 464 systemtemp.txt
08/07/2006 12:58 PM 112,820 system32.txt
08/07/2006 12:58 PM 464 temp.txt
08/07/2006 12:50 PM 7,159 ComboFix.txt
08/07/2006 12:44 PM 2,145,386,496 pagefile.sys
07/17/2006 09:02 PM 146 YServer.txt
05/09/2006 06:19 PM 183 LogiSetup.log
01/27/2006 04:14 PM 4,622,336 08 - Jonesmann - Fi
Seitenanfang Seitenende
07.08.2006, 17:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Spyware Terminator" >>files.txt
dir "C:\Programme\Anti-Spyware Blocker" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\test\Anwendungsdaten\PC Tools" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.08.2006, 17:34
...neu hier

Themenstarter

Beiträge: 6
#3 Hier die Reports

>>>>>>>>>>>>>>>>>>>>>> Listen.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\Program Files

07/28/2006 12:16 PM <DIR> .
07/28/2006 12:16 PM <DIR> ..
12/15/2005 05:28 PM <DIR> InterMute
05/09/2006 06:19 PM <DIR> Logitech
07/28/2006 12:16 PM <DIR> Musicmatch
01/05/2006 07:01 PM <DIR> PC Coach
0 Datei(en) 0 Bytes
6 Verzeichnis(se), 185,186,930,688 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\WINDOWS\Downloaded Program Files

05/15/2006 06:48 PM 367 LegitCheckControl.inf
02/24/2006 12:49 PM 882 mcfscan.inf
10/09/2003 11:32 AM 144 QTPlugin.inf
03/27/2006 01:00 PM 5,019 swflash.inf
4 Datei(en) 6,412 Bytes
0 Verzeichnis(se), 185,186,926,592 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\Programme\Spyware Terminator

08/07/2006 05:22 PM <DIR> .
08/07/2006 05:22 PM <DIR> ..
08/07/2006 04:36 PM 20,354 BIN_RSDATA.SPT
08/07/2006 04:07 PM 6,079 BIN_RSREPORT.XML
08/07/2006 05:24 PM 270,079 BIN_RSSID.SPI
07/22/2006 09:25 AM 278,584 BIN_RSSID.SPT
08/07/2006 02:05 AM 230,431 BIN_STDATA.SPT
08/07/2006 02:05 AM 151 BIN_STDATA_DIF.SPT
05/08/2006 11:11 AM 1,132 BIN_STNEWS.SPT
07/19/2006 07:20 AM 10,072 history.txt
05/24/2006 07:00 AM 41,062 language.txt
08/06/2006 06:20 PM <DIR> languages
04/28/2006 09:38 AM <DIR> quarantine
08/07/2006 05:22 PM 29,449 report.txt
05/24/2006 07:00 AM <DIR> res
07/17/2006 03:02 AM 6,033,920 SpywareTerminator.Exe
07/19/2006 07:20 AM 1,654,272 Spywareterminatorshield.Exe
04/24/2006 10:25 PM 456 strsdata.spt
01/07/2006 12:45 PM 2,203 unins000.dat
01/07/2006 12:45 PM 677,423 unins000.exe
08/07/2006 03:53 PM <DIR> update
15 Datei(en) 9,255,667 Bytes
6 Verzeichnis(se), 185,186,926,592 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\Programme\Anti-Spyware Blocker

10/22/2005 10:06 AM <DIR> .
10/22/2005 10:06 AM <DIR> ..
04/18/2005 09:24 PM 344,064 Anti-Virus.exe
01/23/2005 03:13 AM 13,245 Anti_Virus Help.chm
08/07/2006 01:34 PM 36,028 EGhostLog.txt
04/18/2005 09:26 PM 823,274 hook.dll
01/26/2005 06:06 PM 10,960 Products.htm
10/22/2005 10:06 AM 3,212 unins000.dat
12/17/2002 03:00 AM 82,253 unins000.exe
02/10/2005 04:50 PM 4,224 virus.update
03/06/2003 03:23 PM 129 Visit Our Site.url
9 Datei(en) 1,317,389 Bytes
2 Verzeichnis(se), 185,186,926,592 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\WINDOWS\Temp

08/07/2006 05:23 PM <DIR> .
08/07/2006 05:23 PM <DIR> ..
08/07/2006 12:44 PM 0 ib2
08/07/2006 12:44 PM 0 ib3
08/07/2006 12:44 PM 0 ib4
08/07/2006 12:45 PM 16,384 Perflib_Perfdata_744.dat
08/07/2006 12:44 PM <DIR> tmp00001534
08/07/2006 01:26 PM <DIR> tmp00004175
08/07/2006 12:45 PM 256 ZLT021a4.TMP
08/07/2006 05:13 PM <DIR> _avast4_
5 Datei(en) 16,640 Bytes
5 Verzeichnis(se), 185,186,926,592 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\Programme

08/07/2006 12:36 PM <DIR> .
08/07/2006 12:36 PM <DIR> ..
08/19/2005 03:40 PM <DIR> AC3Filter
05/08/2006 04:55 PM <DIR> ActiveTraderDE3
02/23/2005 10:16 PM <DIR> Adobe
02/24/2005 09:17 PM <DIR> Ahead
03/28/2005 10:18 AM <DIR> Alwil Software
10/22/2005 10:06 AM <DIR> Anti-Spyware Blocker
07/18/2005 06:11 PM <DIR> Apache Software Foundation
10/20/2005 04:32 PM <DIR> Ashampoo
08/25/2005 02:38 PM <DIR> Avisynth
03/11/2005 06:50 PM <DIR> biu software
03/20/2005 12:12 PM <DIR> CCleaner
08/07/2006 12:36 PM <DIR> CleanUp!
04/07/2006 09:45 AM <DIR> ClearProg
05/16/2005 05:39 PM <DIR> Common Files
11/12/2004 03:37 PM <DIR> ComPlus Applications
01/05/2006 07:01 PM <DIR> Crazy Browser
05/14/2005 04:47 PM <DIR> Creative
07/23/2005 01:02 PM <DIR> DDEForJava
04/25/2006 12:54 PM <DIR> decomp
11/02/2005 04:48 PM <DIR> directx
08/19/2005 03:18 PM <DIR> DivX
02/23/2005 09:58 PM <DIR> DVD Shrink
06/07/2006 10:02 AM <DIR> DVDCoverPrint
11/02/2005 05:48 PM <DIR> EA Sports
08/04/2006 06:22 PM <DIR> eMule
08/06/2006 09:44 PM <DIR> ewido anti-spyware 4.0
02/23/2005 07:42 PM <DIR> Fimatex
08/07/2006 10:10 AM <DIR> Gemeinsame Dateien
06/10/2006 01:23 PM <DIR> Google
03/05/2005 04:06 PM <DIR> Hewlett-Packard
03/05/2005 04:09 PM <DIR> hp deskjet 3820 series
06/28/2005 01:16 PM <DIR> IBM
01/05/2006 07:03 PM <DIR> ICQLite
12/07/2005 07:42 PM <DIR> ICQToolbar
04/12/2005 07:49 AM <DIR> IEbatch
02/21/2005 01:57 PM <DIR> Intel
06/18/2006 03:06 AM <DIR> Internet Explorer
04/02/2005 02:06 PM <DIR> IrfanView
11/22/2005 06:39 PM <DIR> Java
05/06/2006 02:45 PM <DIR> JUDE-Community
08/27/2005 12:35 PM <DIR> KLK
04/02/2005 01:52 PM <DIR> Lavalys
02/23/2005 09:47 PM <DIR> Lavasoft
05/09/2006 06:22 PM <DIR> Logitech
08/20/2005 03:55 PM <DIR> mesics
02/23/2005 07:18 PM <DIR> Messenger
12/13/2005 04:03 PM <DIR> MGI
02/25/2005 05:08 PM <DIR> Microsoft ActiveSync
11/12/2004 03:41 PM <DIR> microsoft frontpage
02/25/2005 05:08 PM <DIR> Microsoft Office
02/25/2005 05:08 PM <DIR> Microsoft.NET
08/07/2006 03:48 PM <DIR> mIRC
11/12/2004 03:38 PM <DIR> Movie Maker
08/07/2006 01:00 PM <DIR> Mozilla Firefox
11/12/2004 03:36 PM <DIR> MSN
05/07/2006 11:30 PM <DIR> MSN Apps
11/12/2004 03:37 PM <DIR> MSN Gaming Zone
05/07/2006 11:26 PM <DIR> MSN Messenger
02/24/2005 05:01 PM <DIR> MUSICMATCH
07/17/2005 08:47 AM <DIR> MyEclipse
05/13/2006 09:15 AM <DIR> MySQL
05/13/2006 11:19 AM <DIR> MySQL-Front
05/27/2006 08:42 AM <DIR> Napster
08/09/2005 09:03 PM <DIR> NASA
11/12/2004 03:38 PM <DIR> NetMeeting
03/01/2006 06:10 PM <DIR> Nike
11/12/2004 03:37 PM <DIR> Online Services
11/12/2004 03:39 PM <DIR> Online-Dienste
04/16/2006 11:37 PM <DIR> Outlook Express
06/15/2005 09:50 AM <DIR> Picasa2
04/21/2005 03:06 PM <DIR> Polar
07/16/2005 04:55 PM <DIR> PostgreSQL
07/16/2005 01:00 PM <DIR> PremiumSoft Navicat
04/25/2005 07:08 AM <DIR> Quicknote
03/16/2005 12:26 PM <DIR> QuickTime
11/07/2005 02:26 PM <DIR> QuoteTracker
12/18/2005 04:08 PM <DIR> Ratajik Software
07/04/2006 02:02 PM <DIR> Real
04/06/2005 07:04 PM <DIR> RegCleaner
12/13/2005 03:59 PM <DIR> Samsung
04/23/2005 12:41 PM <DIR> SchahoSoft
08/31/2005 10:18 PM <DIR> Serif
02/23/2005 09:50 PM <DIR> Shareaza
03/28/2005 11:34 AM <DIR> Skype
08/07/2006 10:13 AM <DIR> Softwin
04/10/2006 10:10 PM <DIR> Spybot - Search & Destroy
08/07/2006 03:07 PM <DIR> Spyware Doctor
08/07/2006 05:22 PM <DIR> Spyware Terminator
07/29/2006 01:51 PM <DIR> SpywareBlaster
05/08/2006 11:28 PM <DIR> SpywareGuard
03/28/2005 11:44 AM <DIR> The Rosetta Stone
08/19/2005 01:18 PM <DIR> TrainingsplanV3.0
08/06/2006 06:04 PM <DIR> Trisnap Technologies
08/25/2005 02:43 PM <DIR> Tsunami-Filter-Pack
02/20/2006 07:02 PM <DIR> TVgenial
11/02/2005 04:50 PM <DIR> Ubi Soft
11/02/2005 04:49 PM <DIR> ubi.com
08/06/2006 06:37 PM <DIR> UBISOFT
10/06/2005 01:44 PM <DIR> USB 2.0 SVGA Adapter V5.1001.1229.01
03/14/2005 11:34 AM <DIR> Viewpoint
08/25/2005 02:38 PM <DIR> VirtualDub
05/27/2006 04:05 PM <DIR> Winamp
08/06/2006 08:53 PM <DIR> Windows Defender
02/17/2006 01:38 AM <DIR> Windows Media Player
11/12/2004 03:36 PM <DIR> Windows NT
08/28/2005 07:56 PM <DIR> WinRAR
12/01/2005 10:30 AM <DIR> WISO
11/12/2004 03:41 PM <DIR> xerox
01/19/2006 11:56 PM <DIR> xtprtd
07/17/2006 09:02 PM <DIR> Yahoo!
02/23/2005 07:32 PM <DIR> Zone Labs
0 Datei(en) 0 Bytes
113 Verzeichnis(se), 185,186,914,304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\Dokumente und Einstellungen\test\Anwendungsdaten

03/24/2005 07:01 PM <DIR> ACD Systems
03/24/2005 06:57 PM <DIR> Adobe
02/23/2005 10:16 PM 1,216 AdobeDLM.log
02/23/2005 10:18 PM <DIR> AdobeUM
07/27/2006 10:26 AM <DIR> Creative
02/23/2005 10:16 PM 0 dm.ini
05/09/2006 06:22 PM <DIR> FotoWire
06/10/2006 01:24 PM <DIR> Google
08/27/2005 08:10 AM <DIR> Help
11/12/2004 03:45 PM <DIR> Identities
07/10/2006 10:09 PM <DIR> Lavasoft
08/25/2005 02:39 PM <DIR> Leadertech
02/27/2005 02:57 PM <DIR> Macromedia
07/21/2005 06:17 AM <DIR> Mozilla
05/13/2006 09:55 AM <DIR> MySQL
08/09/2005 09:09 PM <DIR> NASA
02/24/2005 12:25 AM <DIR> NeroVision
07/29/2006 01:59 PM <DIR> PC Tools
06/28/2005 01:27 PM <DIR> Rational
07/04/2006 02:06 PM <DIR> Real
05/25/2006 03:56 PM <DIR> Roxio
02/23/2005 09:50 PM <DIR> Shareaza
03/28/2005 11:36 AM <DIR> Skype
05/13/2006 11:19 AM <DIR> Star-Tools
02/23/2005 08:53 PM <DIR> Sun
02/25/2005 12:57 AM 0 sversion.ini
11/02/2005 04:49 PM <DIR> ubi.com
3 Datei(en) 1,216 Bytes
24 Verzeichnis(se), 185,186,918,400 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18F5-FC59

Verzeichnis von C:\Programme\Gemeinsame Dateien

08/07/2006 10:10 AM <DIR> .
08/07/2006 10:10 AM <DIR> ..
04/24/2005 12:58 PM <DIR> ACD Systems
02/23/2005 10:17 PM <DIR> Adobe
02/24/2005 09:17 PM <DIR> Ahead
12/01/2005 10:30 AM <DIR> Buhl Data Service
02/25/2005 05:08 PM <DIR> DESIGNER
11/12/2004 03:38 PM <DIR> Dienste
05/09/2006 06:22 PM <DIR> FotoWire
11/02/2005 04:37 PM <DIR> InstallShield
02/23/2005 07:48 PM <DIR> Java
05/09/2006 06:19 PM <DIR> Logitech
12/13/2005 04:03 PM <DIR> MGI Shared
02/25/2005 05:08 PM <DIR> Microsoft Shared
11/12/2004 03:38 PM <DIR> MSSoap
12/14/2005 08:35 PM <DIR> Napster Shared
11/12/2004 03:30 PM <DIR> ODBC
11/02/2005 04:49 PM <DIR> PocketSoft
07/04/2006 02:02 PM <DIR> Real
08/07/2006 10:13 AM <DIR> Softwin
11/12/2004 03:30 PM <DIR> SpeechEngines
04/16/2006 11:37 PM <DIR> System
07/23/2005 03:44 PM <DIR> Wise Installation Wizard
07/04/2006 02:03 PM <DIR> xing shared
0 Datei(en) 0 Bytes
24 Verzeichnis(se), 185,186,914,304 Bytes frei

>
Seitenanfang Seitenende
07.08.2006, 21:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 tomffm

seit wann hast du die zwei unten aufgefuehrten Proggies auf dem Rechner ???

LSPfix
http://www.spychecker.com/program/lspfix.html
schreibe mir, welche dll du rechts oder links findest.

---------------------------------------------------------------
ist fuer mich.... ;)

Zitat

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)

C:\Programme\Spyware Terminator\BIN_RSDATA.SPT
C:\Programme\Spyware Terminator\BIN_RSREPORT.XML
C:\Programme\Spyware Terminator\BIN_RSSID.SPI
C:\Programme\Spyware Terminator\BIN_RSSID.SPT
C:\Programme\Spyware Terminator\BIN_STDATA.SPT
C:\Programme\Spyware Terminator\BIN_STDATA_DIF.SPT
C:\Programme\Spyware Terminator\BIN_STNEWS.SPT
C:\Programme\Spyware Terminator\history.txt
C:\Programme\Spyware Terminator\language.txt
C:\Programme\Spyware Terminator\report.txt
C:\Programme\Spyware Terminator\SpywareTerminator.Exe
C:\Programme\Spyware Terminator\Spywareterminatorshield.Exe
C:\Programme\Spyware Terminator\strsdata.spt
C:\Programme\Spyware Terminator\unins000.dat
C:\Programme\Spyware Terminator\unins000.exe
C:\Programme\Anti-Spyware Blocker\Anti-Virus.exe
C:\Programme\Anti-Spyware Blocker\Anti_Virus Help.chm
C:\Programme\Anti-Spyware Blocker\EGhostLog.txt
C:\Programme\Anti-Spyware Blocker\hook.dll
C:\Programme\Anti-Spyware Blocker\Products.htm
C:\Programme\Anti-Spyware Blocker\unins000.dat
C:\Programme\Anti-Spyware Blocker\unins000.exe
C:\Programme\Anti-Spyware Blocker\virus.update
C:\Programme\Anti-Spyware Blocker\Visit Our Site.url


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.08.2006, 21:54
...neu hier

Themenstarter

Beiträge: 6
#5 Die Programme habe ich seit einigen Woche laufen, weiss aber nicht mehr den genauen Zeitpunkt.

LSP zeigt 3 dlls

mswsock.dll
winrnr.dll
rsvpsp.dll

stehen alle auf der keep (linken) Seite
Seitenanfang Seitenende
08.08.2006, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ich nehme an, dass es gefakte Tools sind, also runter damit:

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system

Files to delete:

C:\Programme\Spyware Terminator\BIN_RSDATA.SPT
C:\Programme\Spyware Terminator\BIN_RSREPORT.XML
C:\Programme\Spyware Terminator\BIN_RSSID.SPI
C:\Programme\Spyware Terminator\BIN_RSSID.SPT
C:\Programme\Spyware Terminator\BIN_STDATA.SPT
C:\Programme\Spyware Terminator\BIN_STDATA_DIF.SPT
C:\Programme\Spyware Terminator\BIN_STNEWS.SPT
C:\Programme\Spyware Terminator\history.txt
C:\Programme\Spyware Terminator\language.txt
C:\Programme\Spyware Terminator\report.txt
C:\Programme\Spyware Terminator\SpywareTerminator.Exe
C:\Programme\Spyware Terminator\Spywareterminatorshield.Exe
C:\Programme\Spyware Terminator\strsdata.spt
C:\Programme\Spyware Terminator\unins000.dat
C:\Programme\Spyware Terminator\unins000.exe
C:\Programme\Anti-Spyware Blocker\Anti-Virus.exe
C:\Programme\Anti-Spyware Blocker\Anti_Virus Help.chm
C:\Programme\Anti-Spyware Blocker\EGhostLog.txt
C:\Programme\Anti-Spyware Blocker\hook.dll
C:\Programme\Anti-Spyware Blocker\Products.htm
C:\Programme\Anti-Spyware Blocker\unins000.dat
C:\Programme\Anti-Spyware Blocker\unins000.exe
C:\Programme\Anti-Spyware Blocker\virus.update
C:\Programme\Anti-Spyware Blocker\Visit Our Site.url
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - Global Startup: Anti-Spyware Blocker.lnk = C:\Programme\Anti-Spyware Blocker\Anti-Virus.exe
PC neustarten

**
lade Counterspy , scanne und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.08.2006, 16:02
...neu hier

Themenstarter

Beiträge: 6
#7 Hm muss ich dazu die Programme dazu vorher deinstallieren ? Nehme zumindest mal an die dürfen nicht laufen wenn ich die Prozedur ausführe ?

Tom
Seitenanfang Seitenende
08.08.2006, 16:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 der Avenger startet neu und loescht waehrend des bootens
du kannst aber vorher deinstallieren ;) - wenn es geht..............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.08.2006, 16:25
...neu hier

Themenstarter

Beiträge: 6
#9 Hi,

der Avenger hat Fehler reported nachdem ich die grüne Ampel gedrückt habe, ich habtrotzdem durchlaufen lassen. Nach dem Reboot ist ein CMD Fenster aufgegangen auch da waren ein paar Fehler drin. Ausserdem ging eine log-datei auf. Habe das Script genauso in den Avenger kopiert wie es in deinem Posting stand. Hier ist die Log-Datei:

Achso die Programme scheinen aber gelöscht zu sein !


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system


Error: could not create zip file.
Error code: 1813


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\belnxhql

*******************

Script file located at: ksqehwyk

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!



OK,

ich hab trotzdem mal weiter gemacht.

Bei Hijack-This habe ich die beiden Einträge löschen lassen.
PC neu gebootet.
CounterSpy hat nichts gefunden bis auf einen uralten Edonkey-Eintrag (benutz ich natürlich nicht mehr ist ja illegal :-) ) in der Registy und zwei Cookies, alles Gefahrenstufe Low. Hab alles gelöscht. Im Speicher und auf Platte wurde nichts gefunden.
Hoffe mal das wars, wenn du natürlich noch weitere Anweisungen hast werd ich die natürlich befolgen :-)

2 Fragen hab ich aber noch.

Lohnt es sich eine Vollversion von Counterspy ?
Stimmt die paypal-ID die mit Nik...... nicht dass die irgendwie gehackt wurde :-)

Tom


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Spyware Scan Details
Start Date: 8/8/2006 4:39:34 PM
End Date: 8/8/2006 5:14:15 PM
Total Time: 34 mins 41 secs

Detected spyware

eDonkey2000 P2P Program more information...
Details: eDonkey2000 is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\InProcServer32 C:\Programme\eDonkey2000\plugins\ed2kie.dll
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\InProcServer32 ThreadingModel Both
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\ProgID eD2KDownloadManager.object.1
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\TypeLib {379919F2-1612-45B7-B9F4-773F6D5214F5}
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\VersionIndependentProgID eD2KDownloadManager.object
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620} eD2K downloadManager object


ad.yieldmanager Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\test\cookies\test@ad.yieldmanager[2].txt


Ajan 1.0 Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\test\cookies\test@xiti[1].txt
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Dieser Beitrag wurde am 08.08.2006 um 17:29 Uhr von tomffm editiert.
Seitenanfang Seitenende
08.08.2006, 21:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
kopiere noch mal in den avenger

Zitat

Files to delete:

C:\Programme\Spyware Terminator\BIN_RSDATA.SPT
C:\Programme\Spyware Terminator\BIN_RSREPORT.XML
C:\Programme\Spyware Terminator\BIN_RSSID.SPI
C:\Programme\Spyware Terminator\BIN_RSSID.SPT
C:\Programme\Spyware Terminator\BIN_STDATA.SPT
C:\Programme\Spyware Terminator\BIN_STDATA_DIF.SPT
C:\Programme\Spyware Terminator\BIN_STNEWS.SPT
C:\Programme\Spyware Terminator\history.txt
C:\Programme\Spyware Terminator\language.txt
C:\Programme\Spyware Terminator\report.txt
C:\Programme\Spyware Terminator\SpywareTerminator.Exe
C:\Programme\Spyware Terminator\Spywareterminatorshield.Exe
C:\Programme\Spyware Terminator\strsdata.spt
C:\Programme\Spyware Terminator\unins000.dat
C:\Programme\Spyware Terminator\unins000.exe
C:\Programme\Anti-Spyware Blocker\Anti-Virus.exe
C:\Programme\Anti-Spyware Blocker\Anti_Virus Help.chm
C:\Programme\Anti-Spyware Blocker\EGhostLog.txt
C:\Programme\Anti-Spyware Blocker\hook.dll
C:\Programme\Anti-Spyware Blocker\Products.htm
C:\Programme\Anti-Spyware Blocker\unins000.dat
C:\Programme\Anti-Spyware Blocker\unins000.exe
C:\Programme\Anti-Spyware Blocker\virus.update
C:\Programme\Anti-Spyware Blocker\Visit Our Site.url


1.1
loesche das backup vom avenger.
2.
Counterspy (14 Tage free) - du hast schon windowsdefender, ist das gleiche in gruen, nur free ;)
3.
mein Paypal ist o.k. - nikitasintra
4.
wenn wieder was ist...komm wieder....wir graben dann weiter ;)
5.
Lade keine suspekten Tools, dein Rechner ist mehr als sicher mit ewido und Windowsdefender und AntivirenProggie
5.
wenn du keine Popups magst, der browser Firefox hat einen Blocker integriert



Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.08.2006, 21:30
...neu hier

Themenstarter

Beiträge: 6
#11 Äh musst mir nur noch sagen wo das backup ist, bzw. wie die datei heisst.

Danke für deine kompetente Hilfe und Gruss

Tom
Seitenanfang Seitenende
08.08.2006, 21:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 c:\Avenger\backup.zip oder aehnlich ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: