Security Alert: Spyware found...geht nicht mehr weg...!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
09.09.2006, 23:26
Member
Themenstarter Beiträge: 17 |
||
|
||
09.09.2006, 23:27
Ehrenmitglied
Beiträge: 29434 |
#17
nun warte, ich muss das erst einarbeiten, denn diese Variante ist neu, ich gebe dir bescheid
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 23:34
Ehrenmitglied
Beiträge: 29434 |
#18
1.
mediacodec.zip laden -> http://virus-protect.org/zip/mediacodec.zip entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 2. Avenger arbeite das alles genau nach Anleitung ab http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** nach dem neustart wird das log vom avenger erscheinen, kopiere es hier ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 23:50
Member
Themenstarter Beiträge: 17 |
#19
bisher geht noch keine Werbung auf....ich hab Hoffnung !
Hier der Text vom Editor: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\csqikyqb ******************* Script file located at: \??\C:\ffdbbjkm.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Folder C:\Programme\iCodecPack deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iCodecPack not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iCodecPack failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
|
|
||
09.09.2006, 23:53
Ehrenmitglied
Beiträge: 29434 |
#20
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html option 1 und 2 - poste beide scanreporte (du musst nicht in den agesicherten modus, mache beide optionen im normalmodus) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 23:59
Member
Themenstarter Beiträge: 17 |
#21
Nr. 1
SmitFraudFix v2.85 Scan done at 23:58:59,33, 09.09.2006 Run from C:\Dokumente und Einstellungen\Martin\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\gtpbx.dll FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Martin\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Martin\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
||
10.09.2006, 00:08
Ehrenmitglied
Beiträge: 29434 |
#22
nun noch option 2, damit es auch geloescht wird....
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.09.2006, 00:13
Member
Themenstarter Beiträge: 17 |
#23
sorry, bin nicht der schnellste...
SmitFraudFix v2.85 Scan done at 0:07:33,24, 10.09.2006 Run from C:\Dokumente und Einstellungen\Martin\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
||
10.09.2006, 00:18
Ehrenmitglied
Beiträge: 29434 |
#24
kopiere noch mal iCodecPack in den regsearch, zur Ueberpruefung
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.09.2006, 00:21
Member
Themenstarter Beiträge: 17 |
#25
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 10.09.2006 00:20:19 for strings: ; 'icodecpack' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-820002020-3943083813-1018753854-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\iCodecPack\\pmsngr.exe"="pmsngr" "C:\\Programme\\iCodecPack\\isamonitor.exe"="isamonitor" ; End Of The Log... |
|
|
||
10.09.2006, 00:27
Ehrenmitglied
Beiträge: 29434 |
#26
poste bitte dieses Log
http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.09.2006, 00:28
Member
Themenstarter Beiträge: 17 |
#27
Martin - 06-09-10 0:27:50,74
ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Martin\Desktop Microsoft Windows XP [Version 5.1.2600] ((((((((((((((((((((((((((((((( Files Created from 2006-08-10 to 2006-09-10 )))))))))))))))))))))))))))))))))) 2006-09-09 23:57 53,248 --a------ C:\WINDOWS\system32\Process.exe 2006-09-09 23:57 40,960 --a------ C:\WINDOWS\system32\swsc.exe 2006-09-09 23:57 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2006-09-09 23:57 135,168 --a------ C:\WINDOWS\system32\swreg.exe 2006-08-19 23:29 322,560 --a------ C:\WINDOWS\SMUn.EXE (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-09 17:21 -------- d-------- C:\Programme\Simplyzip 2006-09-09 16:41 -------- d-------- C:\Programme\Virus-Burst 2006-09-09 10:28 -------- d-------- C:\Programme\QuickTime 2006-09-01 00:30 -------- d-------- C:\Programme\PDFDrucker 2006-08-20 01:33 -------- d-------- C:\Programme\WISO 2006-08-20 01:32 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-19 23:33 -------- d-------- C:\Programme\SuperMailer 2006-08-19 23:29 -------- d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\SuperMailer 2006-08-08 23:07 -------- d-------- C:\Programme\Internet Explorer 2006-08-01 21:31 -------- d-------- C:\Programme\eBay 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-22 01:22 -------- d-------- C:\Programme\FRITZ!DSL 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-20 01:35 -------- d-------- C:\Programme\FRITZ!Box (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" "ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe" "Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe" "ALDI_SUED_FotoSuite_Download"="\"C:\\Programme\\ALDI Sued Foto Service\\ALDI_Foto_Service\\FotoSuite.exe\" /autorun" "MMTray"="C:\\PROGRA~1\\MUSICM~1\\MUSICM~1\\mm_tray.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "PDFPrint"="\"C:\\Programme\\PDFDrucker\\PDF24Updater.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000000 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" Completion time: 10.09.2006 0:28:05.42 ComboFix.txt |
|
|
||
10.09.2006, 00:31
Ehrenmitglied
Beiträge: 29434 |
#28
es ist noch nicht ueberstanden....
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\dann kopiere in den regsearch: Virus-Burst __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.09.2006, 00:34
Member
Themenstarter Beiträge: 17 |
#29
Verzeichnis von C:\Programme\Virus-Burst
09.09.2006 16:41 <DIR> . 09.09.2006 16:41 <DIR> .. 09.09.2006 16:41 0 ignored.lst 09.09.2006 16:41 442 virbur.ini 08.09.2006 01:12 1.507.328 Virus-Burst.exe 3 Datei(en) 1.507.770 Bytes 2 Verzeichnis(se), 49.822.605.312 Bytes frei Bei Virus-Burst steht: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 10.09.2006 00:46:28 for strings: ; 'virus-burst' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}\1.0\0\win32] @="C:\\Programme\\Virus-Burst\\Virus-Burst.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}\1.0\HELPDIR] @="C:\\Programme\\Virus-Burst\\" ; End Of The Log... Dieser Beitrag wurde am 10.09.2006 um 00:47 Uhr von Martin77 editiert.
|
|
|
||
10.09.2006, 00:48
Member
Themenstarter Beiträge: 17 |
#30
habs gerade aktualisiert.....siehe Antwort vorher
|
|
|
||
Also jetzt steht was andres drin:
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0
; Results at 09.09.2006 23:24:55 for strings:
; 'icodecpack'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}\InprocServer32]
@="C:\\Programme\\iCodecPack\\isaddon.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5}\InprocServer32]
@="C:\\Programme\\iCodecPack\\iesplugin.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iCodecPack]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"homepage.monitor.exe"="C:\\Programme\\iCodecPack\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\iCodecPack\\pmsngr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack]
"DisplayName"="iCodecPack 7.0"
"UninstallString"="C:\\Programme\\iCodecPack\\uninst.exe"
"DisplayIcon"="C:\\Programme\\iCodecPack\\uninst.exe"
"URLInfoAbout"="www.icodecpack.com"
"Publisher"="iCodecPack Software"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006]
"UninstallString"="\"C:\\Programme\\iCodecPack\\iesuninst.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On]
"UninstallString"="\"C:\\Programme\\iCodecPack\\isauninst.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03]
"UninstallString"="\"C:\\Programme\\iCodecPack\\pmuninst.exe\""
[HKEY_USERS\S-1-5-21-820002020-3943083813-1018753854-1005\Software\Internet Security]
"Path"="C:\\Programme\\iCodecPack"
[HKEY_USERS\S-1-5-21-820002020-3943083813-1018753854-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\iCodecPack\\pmsngr.exe"="pmsngr"
"C:\\Programme\\iCodecPack\\isamonitor.exe"="isamonitor"
; End Of The Log...