Security Alert: Spyware found...geht nicht mehr weg...!

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.09.2006, 23:26
Member

Themenstarter

Beiträge: 17
#16 Mann hast Du ne Geduld mit mir, Danke !

Also jetzt steht was andres drin:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 09.09.2006 23:24:55 for strings:
; 'icodecpack'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}\InprocServer32]
@="C:\\Programme\\iCodecPack\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5}\InprocServer32]
@="C:\\Programme\\iCodecPack\\iesplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iCodecPack]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"homepage.monitor.exe"="C:\\Programme\\iCodecPack\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\iCodecPack\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack]
"DisplayName"="iCodecPack 7.0"
"UninstallString"="C:\\Programme\\iCodecPack\\uninst.exe"
"DisplayIcon"="C:\\Programme\\iCodecPack\\uninst.exe"
"URLInfoAbout"="www.icodecpack.com"
"Publisher"="iCodecPack Software"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006]
"UninstallString"="\"C:\\Programme\\iCodecPack\\iesuninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On]
"UninstallString"="\"C:\\Programme\\iCodecPack\\isauninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03]
"UninstallString"="\"C:\\Programme\\iCodecPack\\pmuninst.exe\""

[HKEY_USERS\S-1-5-21-820002020-3943083813-1018753854-1005\Software\Internet Security]
"Path"="C:\\Programme\\iCodecPack"

[HKEY_USERS\S-1-5-21-820002020-3943083813-1018753854-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\iCodecPack\\pmsngr.exe"="pmsngr"
"C:\\Programme\\iCodecPack\\isamonitor.exe"="isamonitor"

; End Of The Log...
Seitenanfang Seitenende
09.09.2006, 23:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 nun warte, ich muss das erst einarbeiten, denn diese Variante ist neu, ich gebe dir bescheid
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.09.2006, 23:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 1.
mediacodec.zip laden -> http://virus-protect.org/zip/mediacodec.zip entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
arbeite das alles genau nach Anleitung ab ;)
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iCodecPack
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03

Folders to delete:
C:\Programme\iCodecPack
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
nach dem neustart wird das log vom avenger erscheinen, kopiere es hier ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.09.2006, 23:50
Member

Themenstarter

Beiträge: 17
#19 bisher geht noch keine Werbung auf....ich hab Hoffnung !

Hier der Text vom Editor:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\csqikyqb

*******************

Script file located at: \??\C:\ffdbbjkm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programme\iCodecPack deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iCodecPack not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iCodecPack failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCodecPack failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
09.09.2006, 23:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html

option 1 und 2 - poste beide scanreporte (du musst nicht in den agesicherten modus, mache beide optionen im normalmodus)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.09.2006, 23:59
Member

Themenstarter

Beiträge: 17
#21 Nr. 1

SmitFraudFix v2.85

Scan done at 23:58:59,33, 09.09.2006
Run from C:\Dokumente und Einstellungen\Martin\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\gtpbx.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Martin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Martin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
10.09.2006, 00:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 nun noch option 2, damit es auch geloescht wird....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.09.2006, 00:13
Member

Themenstarter

Beiträge: 17
#23 sorry, bin nicht der schnellste...

SmitFraudFix v2.85

Scan done at 0:07:33,24, 10.09.2006
Run from C:\Dokumente und Einstellungen\Martin\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
10.09.2006, 00:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 kopiere noch mal iCodecPack in den regsearch, zur Ueberpruefung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.09.2006, 00:21
Member

Themenstarter

Beiträge: 17
#25 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 10.09.2006 00:20:19 for strings:
; 'icodecpack'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-820002020-3943083813-1018753854-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\iCodecPack\\pmsngr.exe"="pmsngr"
"C:\\Programme\\iCodecPack\\isamonitor.exe"="isamonitor"

; End Of The Log...
Seitenanfang Seitenende
10.09.2006, 00:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
10.09.2006, 00:28
Member

Themenstarter

Beiträge: 17
#27 Martin - 06-09-10 0:27:50,74
ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Martin\Desktop

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-10 to 2006-09-10 ))))))))))))))))))))))))))))))))))


2006-09-09 23:57 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-09-09 23:57 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-09-09 23:57 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-09-09 23:57 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-08-19 23:29 322,560 --a------ C:\WINDOWS\SMUn.EXE


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-09 17:21 -------- d-------- C:\Programme\Simplyzip
2006-09-09 16:41 -------- d-------- C:\Programme\Virus-Burst
2006-09-09 10:28 -------- d-------- C:\Programme\QuickTime
2006-09-01 00:30 -------- d-------- C:\Programme\PDFDrucker
2006-08-20 01:33 -------- d-------- C:\Programme\WISO
2006-08-20 01:32 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-19 23:33 -------- d-------- C:\Programme\SuperMailer
2006-08-19 23:29 -------- d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\SuperMailer
2006-08-08 23:07 -------- d-------- C:\Programme\Internet Explorer
2006-08-01 21:31 -------- d-------- C:\Programme\eBay
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-22 01:22 -------- d-------- C:\Programme\FRITZ!DSL
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-20 01:35 -------- d-------- C:\Programme\FRITZ!Box


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"ALDI_SUED_FotoSuite_Download"="\"C:\\Programme\\ALDI Sued Foto Service\\ALDI_Foto_Service\\FotoSuite.exe\" /autorun"
"MMTray"="C:\\PROGRA~1\\MUSICM~1\\MUSICM~1\\mm_tray.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"PDFPrint"="\"C:\\Programme\\PDFDrucker\\PDF24Updater.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Completion time: 10.09.2006 0:28:05.42
ComboFix.txt
Seitenanfang Seitenende
10.09.2006, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 es ist noch nicht ueberstanden....

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Virus-Burst" >>files.txt
notepad files.txt
dann kopiere in den regsearch: Virus-Burst
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.09.2006, 00:34
Member

Themenstarter

Beiträge: 17
#29 Verzeichnis von C:\Programme\Virus-Burst

09.09.2006 16:41 <DIR> .
09.09.2006 16:41 <DIR> ..
09.09.2006 16:41 0 ignored.lst
09.09.2006 16:41 442 virbur.ini
08.09.2006 01:12 1.507.328 Virus-Burst.exe
3 Datei(en) 1.507.770 Bytes
2 Verzeichnis(se), 49.822.605.312 Bytes frei




Bei Virus-Burst steht:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 10.09.2006 00:46:28 for strings:
; 'virus-burst'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}\1.0\0\win32]
@="C:\\Programme\\Virus-Burst\\Virus-Burst.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}\1.0\HELPDIR]
@="C:\\Programme\\Virus-Burst\\"

; End Of The Log...
Dieser Beitrag wurde am 10.09.2006 um 00:47 Uhr von Martin77 editiert.
Seitenanfang Seitenende
10.09.2006, 00:48
Member

Themenstarter

Beiträge: 17
#30 habs gerade aktualisiert.....siehe Antwort vorher
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: