u.a. ezula Spyware wie entfernen? |
||
---|---|---|
#0
| ||
18.09.2006, 13:13
Member
Beiträge: 36 |
||
|
||
19.09.2006, 01:40
Ehrenmitglied
Beiträge: 29434 |
#2
scanne mit panda und mit ewido und poste die scanreporte
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2006, 11:08
Member
Themenstarter Beiträge: 36 |
#3
Hallo,
hier die Scan-Resultate von ewido und Panda: 1. Ewido: a.)Name: Adware.NewDotNet Path: HKU\S-1-5-21-1013834535-2650517331-3895153760-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} Risk: Medium b.) 8 verschiedene TrackingCookie habe ich mit ewido gelöscht. NewDotNet auch, ist aber immer noch da! 2. Panda:Incident Status Potentially unwanted tool:application/eblaster, Not disinfected Location c:\windows\system32\SvrWin.exe LG ulp |
|
|
||
19.09.2006, 11:14
Ehrenmitglied
Beiträge: 29434 |
#4
ulp
1. WinsockFix (Fuer alle Betriebssysteme) http://www.winsockfix.nl/ 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:poste das log vom avenger, was nach neustart erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2006, 11:41
Member
Themenstarter Beiträge: 36 |
#5
Hallo Sabina,
habe Winsock geladen,muss ich erst auf "Fix" oder auf "ReG-Backup" klicken? Und danach Avenger, richtig? Danke LG ulp |
|
|
||
19.09.2006, 11:43
Ehrenmitglied
Beiträge: 29434 |
||
|
||
19.09.2006, 12:23
Member
Themenstarter Beiträge: 36 |
#7
Hallo,
Winsock hat, Avenger hat nicht geklappt. Nachdem ich die Syntax einkopiert und abgeschickt habe, kamen 2-3 Meldungen: 1. Sysntax errorin line-does not appear to be a valid registry pat...Line will be ignored 2. Error code 1813 HKey-current_user\Software\new.net Trotzdem hat Avenger Neustart gemacht, es kam aber nach dem Start keine Hinweise oder Log-File; nichts! Was jetzt??? Muss in ca. 15 Minuten außer Haus undkommen gegen 16.30Uhr wieder. Bitte helfen Sie weiter, ich brauche einen Spy-Mal-Virus-Root etc. freien PC schnell wieder. Danke LG ulp |
|
|
||
19.09.2006, 13:03
Ehrenmitglied
Beiträge: 29434 |
#8
dein Rechner ist wieder sauber
ich denke mal, der Avenger, hat funktioniert, es wurde nur keine zip-Datei erstellt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2006, 17:11
Member
Themenstarter Beiträge: 36 |
#9
Hallo,
Klasse, NewDotNet ist gelöscht! mwav findet aber immer noch 1. purityscan 2. ezula 3. eblaster müsste auch noch da sein, habe den Scan abgebrochen. und ein Scan mit dem Tool Spyhunter findet: DyFuCa in Hkey_Loca_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Optimizer Bleiben noch diese 4 Viecher, dann is mein Rechner hoffentlich clean. Wie bekomm ich die weg? Schon mal herzlichen Dank! LG ulp P.S. Hallo, noch 'ne Frage mir wurde gesagt,dass es auf dem folgenden Link ein uninstallprogramm von purityscan gibt. Ich habe natürlich meine Bedenken es auszuprobieren. Wie ist Ihre Meinung, kann ma es wagen, hab den purityscan sowie so schon. Oder kann man was verbösen? "http://www.outerinfo.com/OiUninstaller.exe." Dieser Beitrag wurde am 19.09.2006 um 17:43 Uhr von ulp editiert.
|
|
|
||
19.09.2006, 22:33
Ehrenmitglied
Beiträge: 29434 |
#10
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2006, 22:55
Member
Themenstarter Beiträge: 36 |
#11
Hallo,
hier der file: - 06-09-19 22:50:09,84 Service Pack 2 ComboFix 06.09.19 - Running from: C:\Dokumente und Einstellungen\\Desktop (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\taskmgr.com ((((((((((((((((((((((((((((((( Files Created from 2006-08-19 to 2006-09-19 )))))))))))))))))))))))))))))))))) 2006-09-19 12:11 126,976 --a------ C:\zip.exe 2006-09-19 12:11 1,080 --a------ C:\bgr^phvc.bat 2006-09-19 12:10 437 --a------ C:\avexport.bat 2006-09-17 20:20 153,600 --a------ C:\WINDOWS\REGEDIT.COM 2006-09-17 20:20 153,600 --a------ C:\WINDOWS\R.COM 2006-09-17 20:20 140,800 --a------ C:\WINDOWS\system32\T.COM 2006-09-17 14:49 90,112 --a------ C:\WINDOWS\system32\AVASTSS.scr 2006-09-17 14:49 635,520 --a------ C:\WINDOWS\system32\aswBoot.exe 2006-09-12 20:18 36,864 -ra------ C:\WINDOWS\system32\deluidrv.exe 2006-09-12 20:18 32,768 -ra------ C:\WINDOWS\system32\usbmonit.exe 2006-09-12 20:18 32,768 -ra------ C:\WINDOWS\system32\delentry.exe 2006-09-09 09:48 1,179,136 --a------ C:\WINDOWS\system32\AutoPartNt.exe 2006-09-06 22:53 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-19 22:38 -------- d-------- C:\Programme\Mozilla Firefox 2006-09-19 22:35 5607804 --a------ C:\WINDOWS\system32\msmaindb.dll 2006-09-19 22:35 119 --ah----- C:\WINDOWS\system32\SWCTL.DLL 2006-09-19 21:43 -------- d-------- C:\Programme\PaperOffice Professional 2006-09-19 21:14 -------- d-------- C:\Programme\CCleaner 2006-09-19 20:09 -------- d-------- C:\Programme\Mozilla Thunderbird 2006-09-19 19:50 -------- d-------- C:\Programme\RegCleaner 2006-09-19 18:20 -------- d-------- C:\Programme\WinSweep 2006-09-19 12:11 60416 --a------ C:\WINDOWS\system32\drivers\sqlxgnmj.sys 2006-09-19 10:09 -------- d-------- C:\Programme\WinRAR 2006-09-19 10:09 -------- d-------- C:\Programme\TuneUp Utilities 2006 2006-09-19 10:07 -------- d-------- C:\Programme\Rainlendar 2006-09-19 09:58 -------- d-------- C:\Programme\Internet Explorer 2006-09-19 09:56 -------- d-------- C:\Programme\Gemeinsame Dateien\Funk Software 2006-09-19 09:56 -------- d-------- C:\Programme\Gemeinsame Dateien\AccSys 2006-09-19 09:54 -------- d-------- C:\Programme\AtomicClockPro 2006-09-18 18:38 -------- d-------- C:\Programme\Enigma Software Group 2006-09-18 11:05 -------- d-------- C:\Programme\StarMoney 5.0 2006-09-17 14:49 -------- d-------- C:\Programme\Alwil Software 2006-09-16 21:06 -------- d-------- C:\Programme\XoftSpySE 2006-09-16 20:26 -------- d-------- C:\Programme\klickTel 2006-09-16 20:26 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\InstallShield Installation Information 2006-09-16 20:04 -------- d-------- C:\Programme\ScanSoft 2006-09-16 20:04 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-16 20:04 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\ScanSoft 2006-09-16 20:02 -------- d-------- C:\Programme\Yahoo! 2006-09-16 19:52 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-09-15 08:22 388000 --a------ C:\WINDOWS\system32\drivers\timntr.sys 2006-09-15 08:22 32288 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys 2006-09-15 08:22 -------- d-------- C:\Programme\Gemeinsame Dateien\Acronis 2006-09-14 21:18 -------- d-------- C:\Programme\Gemeinsame Dateien\BDElster 2006-09-14 21:17 -------- d-------- C:\Programme\Gemeinsame Dateien\Buhl Data Service 2006-09-13 13:58 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe 2006-09-13 13:42 1736 --a------ C:\Dokumente und Einstellungen\\Anwendungsdaten\AdobeDLM.log 2006-09-13 13:42 0 --a------ C:\Dokumente und Einstellungen\\Anwendungsdaten\dm.ini 2006-09-08 23:48 99776 --a------ C:\WINDOWS\system32\drivers\snapman.sys 2006-09-08 23:48 -------- d-------- C:\Programme\Acronis 2006-09-08 08:04 -------- d-------- C:\Programme\Biet-O-Matic 2006-08-28 21:57 -------- d-------- C:\Programme\QuickTime 2006-08-28 21:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Real 2006-08-28 21:55 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\Real 2006-08-23 11:57 -------- d-------- C:\Programme\Kisi 2006-08-23 08:59 -------- d-------- C:\Programme\s25atonce 2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll 2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe 2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys 2006-08-09 22:40 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\Haufe 2006-08-05 17:25 87424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2006-08-05 17:25 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2006-08-05 17:24 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2006-08-05 17:22 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2006-08-05 17:20 24304 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2006-07-31 09:54 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\Google 2006-07-31 09:53 -------- d-------- C:\Programme\Google 2006-07-28 23:16 -------- d-------- C:\Programme\Haufe 2006-07-28 23:15 -------- d-------- C:\Programme\Lexware 2006-07-28 22:49 -------- d-------- C:\Programme\svnet 2006-07-28 22:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Lexware 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-23 20:20 -------- d---s---- C:\Dokumente und Einstellungen\\Anwendungsdaten\Microsoft 2006-07-23 20:19 -------- d-------- C:\Programme\Microsoft ActiveSync 2006-07-23 20:19 -------- d-------- C:\Programme\Common Files 2006-07-23 20:19 -------- d-------- C:\Programme\AvantGo Connect 2006-07-21 16:37 -------- d-------- C:\Programme\IVT Corporation 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll 2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AtomicClock"="\"C:\\Programme\\AtomicClockPro\\aclock.exe\"" "TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2006\\MemOptimizer.exe\" autostart" "AWMON"="\"C:\\Programme\\Lavasoft\\Ad-Aware SE Professional\\Ad-Watch.exe\"" "WINSWEEP"="C:\\Programme\\WinSweep\\WinSweep.Exe /AUTO" "WINSWEEP Popupblocker"="C:\\Programme\\WinSweep\\WSPopup.Exe" "NCLaunch"="C:\\WINDOWS\\NCLAUNCH.EXe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "SetDefPrt"="C:\\Programme\\Brother\\Brmfl05a\\BrStDvPt.exe" "ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "KAVPersonal50"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite\\Kaspersky Anti-Virus Personal\\kav.exe\" /minimize" "OESpamTest"="C:\\PROGRA~1\\KASPER~1\\KASPER~1\\KASPER~3\\OESpamTest.ExE" "KASP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite\\Kaspersky Anti-Spam Personal\\OESpamTest.exe\"" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "WinSvr"="C:\\WINDOWS\\system32\\WinSvr.exe" "AlcWzrd"="ALCWZRD.EXE" "Alcmtr"="ALCMTR.EXE" "vspdfprsrv.exe"="C:\\Programme\\Visagesoft\\eXPert PDF\\vspdfprsrv.exe --background" "SoundMan"="SOUNDMAN.EXE" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "OdTray.exe"="\"C:\\Programme\\Fujitsu Siemens Computers\\Odyssey Client for Fujitsu Siemens Computers\\OdTray.exe\"" "Optimizer"="C:\\T-Cont\\ConK.exe" "SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot" "PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe" "IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe" "Spy Protector"="C:\\Programme\\Anti-Spy.Info\\SpyProtector.exe /autostart" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "DisableClock"=dword:00000000 "NoDispCPL"=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "NoSetFolders"=dword:00000000 "NoSetTaskbar"=dword:00000000 "NoControlPanel"=dword:00000000 "NoSaveSettings"=dword:00000000 "NoRun"=dword:00000000 "NoFind"=dword:00000000 "NoMultiIE"=dword:00000000 "LWA"=dword:00000000 "LWB"=dword:00000000 "LWC"=dword:00000000 "LWD"=dword:00000000 "LWE"=dword:00000000 "LWF"=dword:00000000 "LWG"=dword:00000000 "LWH"=dword:00000000 "LWI"=dword:00000000 "LWJ"=dword:00000000 "LWK"=dword:00000000 "LWL"=dword:00000000 "LWM"=dword:00000000 "LWN"=dword:00000000 "LWO"=dword:00000000 "LWP"=dword:00000000 "LWQ"=dword:00000000 "LWR"=dword:00000000 "LWS"=dword:00000000 "LWT"=dword:00000000 "LWU"=dword:00000000 "LWV"=dword:00000000 "LWW"=dword:00000000 "LWX"=dword:00000000 "LWY"=dword:00000000 "LWZ"=dword:00000000 "NoDrives"=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] "WINSWEEP"="C:\\Programme\\WinSweep\\WinSweep.Exe /AUTO" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] "SMSERIAL"="sm56hlpr.exe" "AlcWzrd"="ALCWZRD.EXE" "Alcmtr"="ALCMTR.EXE" "SoundMan"="SOUNDMAN.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE " "item"="Adobe Reader - Schnellstart" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IndexSearch] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="IndexSearch" "hkey"="HKLM" "command"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\OdTray.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="OdTray" "hkey"="HKLM" "command"="\"C:\\Programme\\Fujitsu Siemens Computers\\Odyssey Client for Fujitsu Siemens Computers\\OdTray.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PaperPort PTD] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="pptd40nt" "hkey"="HKLM" "command"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SoundMan] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SOUNDMAN" "hkey"="HKLM" "command"="SOUNDMAN.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SSBkgdUpdate] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SSBkgdupdate" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot" "inimapping"="0" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OdysseyClient HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OdysseyClient\event HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\XoftSpy.job C:\WINDOWS\tasks\XoftSpySE.job Completion time: 19.09.2006 22:50:44.25 ComboFix.txt Noch was: Habe in der Zwischenzeit mit Avast-Scan nochmals alles abgesucht. Avast gibt Alarm und findet 1 Virus. win32:CTX in windows\system32\AvtiveScan\pskavs.dll In einem Tread im Forum hieß es, dass ist ein Fehlalarm.Avast erkennt Panda AntiVirensoftware als Virus. Ist das wahr. LG ulp Dieser Beitrag wurde am 19.09.2006 um 22:59 Uhr von ulp editiert.
|
|
|
||
20.09.2006, 00:34
Ehrenmitglied
Beiträge: 29434 |
#12
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\deluidrv.exe C:\WINDOWS\system32\SWCTL.DLL C:\WINDOWS\system32\msmaindb.dll C:\WINDOWS\system32\drivers\sqlxgnmj.sys ** poste die Reporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.09.2006, 07:46
Member
Themenstarter Beiträge: 36 |
#13
Hallo,
habe Sript ausgeführt! 1. Complete scanning result of "deluidrv.exe", received in VirusTotal at 09.20.2006, 06:15:57 (CET). No virus found Aditional Information File size: 36864 bytes MD5: 91e245e0c1d2e63395935d54686b2bfd SHA1: 0bfcd2c05cb82ab2eb5d51e906ac1da110fbead1 2. Complete scanning result of "SWCTL.DLL", received in VirusTotal at 09.20.2006, 06:25:35 (CET). No virus found Aditional Information File size: 119 bytes MD5: 272b8dfb31a98c7607933f15c0070fb8 SHA1: 3c0b1f4c68fe98e29f58bdc6c926bd357d697a50 3. Complete scanning result of "sqlxgnmj.sys", received in VirusTotal at 09.20.2006, 06:50:21 (CET). No virus found Aditional Information File size: 60416 bytes MD5: 4ad5d5229f85f42e873fda98190b2f19 SHA1: 7e1bc7c4f0324c0ad58b829b2524e0cb617ef158 4. Die 4 Datei; C:\WINDOWS\system32\msmaindb.dll, es klappt das Hochladen nicht. Dauert schon fast 1 Srunde? Was soll ich machen, weiterwarten? __________________________________________ Hallo, das Problem mit der msmaindb.dll und (C:\WINDOWS\system32\svrwin.exe) infected with eblaster Spyware/Adware, habe ich geklärt bekommen. Beides sind Dateien einer Kinderschutzsoftware (Salfeld). Ist o.K. das sie auf'n Rechner sind! Siehe: www.hilfdirselbst.ch/foren/gforum.cgi?post=124283 Bleibt nur noch das Problem mit: Purityscan (C:\WINDOWS\system32\usbmonit.exe), ezula (C:\Dokumente und Einstellungen\xxxxx\Desktop\tools\internet.lnk) und DyFuCa (Hkey_Loca_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Optimizer). Lieben Dank bisher! LG Ulp Dieser Beitrag wurde am 20.09.2006 um 11:22 Uhr von ulp editiert.
|
|
|
||
20.09.2006, 12:06
Ehrenmitglied
Beiträge: 29434 |
#14
««
start - Ausfuehren - regedit bearbeiten - suchen - Optimizer Hkey_Loca_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Optimizer -> loeschen, falls es wirklich vorhanden ist «« gehe in den Ordner "tools" C:\Dokumente und Einstellungen\xxxxx\Desktop\tools\internet.lnk-> loeschen ------------- ueberpruefe mit virustotal oder Jotti - http://virusscan.jotti.org/de/ C:\WINDOWS\system32\usbmonit.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.09.2006, 12:46
Member
Themenstarter Beiträge: 36 |
#15
Hallo,
Optimizer ist wirklich vorhanden (c:\T-Cont\Conk.exe), sogar im Arbeitsspeicher. Habe Ihn gelöscht, ist aber immer noch da. Sobald ich die regedit schließe ist sie wieder da. Habe noch andere Programme im Startup von Windows. Die Programme dazu gibt's schon lange nicht mehr, bekomme sie aber nicht weg. Obwohl ich "volle" admin-Rechte habe, kann ich im Ordner Arbeitsplatz unter Eigenschaften nur den Reiter Allgemein und Verknüpfung sehen? Die Internet.Ink Datei existiert nicht! Warum sie mwav findet weiß ich nicht? Was nicht da ist kann ich nicht löschen!? Das die Datei usbmonit.exe infiziert sein soll, sieht virustotal nicht so, wieder nur mwav (ist bei virustotal nicht mit im Boot)! Vieleicht findet mwav was, was nicht da ist, um ihr Programm zu verkaufen? Wie bekomme ich die anderen Reiter des Ordners Arbeitsplatz zu sehen? LG ulp |
|
|
||
wie bekomme ich die Spyware weg?
Wie kann ich die Systemwiederherstellung deaktiveren, um die Dateien manuell zu löschen. Arbeitsplatz->Eigenschaften-> bei mirgibtsnur den Reiter Verknüpfung und Allgemein. Habe aber eigentliche alle Rechte!
Danke für Tipps!
MWAV.log
Mon Sep 18 11:13:32 2006 => Source: C:\DOKUME~1\xxxxx\Desktop\Spy&More\mwav.exe
Mon Sep 18 11:13:32 2006 => Version 8.5.2
Mon Sep 18 11:13:32 2006 => Protokolldatei: C:\DOKUME~1\xxxxx\LOKALE~1\Temp\MWAV.LOG
Mon Sep 18 11:13:32 2006 => Datum und Uhrzeit des letzten Scans: 18.09.2006 00:44:53
1. Mon Sep 18 11:18:03 2006 => Offending file found: C:\WINDOWS\system32\usbmonit.exe
Mon Sep 18 11:18:03 2006 => System found infected with purityscan Spyware/Adware (usbmonit.exe)! Action taken: Keine Aktion vorgenommen.
2. Mon Sep 18 11:18:06 2006 => Offending file found: C:\Dokumente und Einstellungen\xxxxx\Desktop\tools\internet.lnk
Mon Sep 18 11:18:06 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
3. Mon Sep 18 11:18:11 2006 => Offending file found: C:\WINDOWS\system32\svrwin.exe
Mon Sep 18 11:18:11 2006 => System found infected with eblaster Spyware/Adware (C:\WINDOWS\system32\svrwin.exe)! Action taken: Keine Aktion vorgenommen.
Hier mein Logfile
Logfile of HijackThis v1.99.1
Scan saved at 07:50:37, on 18.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe
C:\WINDOWS\system32\WinSvr.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\AtomicClockPro\aclock.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Dokumente und Einstellungen\xxxxxx\Desktop\Tools\HijackThis\Hija ckThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {834AC5A7-9D01-4BDE-A3F8-1A26D0211AC5} - (no file)
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest. ExE
O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinSvr] C:\WINDOWS\system32\WinSvr.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [Optimizer] C:\T-Cont\ConK.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Anti-Spy.Info\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [AtomicClock] "C:\Programme\AtomicClockPro\aclock.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preis piraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F907EDEF-4326-4148-922A-5BA5E28B8A92} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F907EDEF-4326-4148-922A-5BA5E28B8A92} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136918032237
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: OdysseyClient - C:\WINDOWS\SYSTEM32\odyEvent.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: rpcapd - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe
LG ulp