Home » Spyware & Browser Hijacker Support Forum » Purityscan nach Entfernung von SpySheriff und SpywareQuake noch übrig » Themenansicht

Purityscan nach Entfernung von SpySheriff und SpywareQuake noch übrig

Thema ist geschlossen!
Thema ist geschlossen!
#0
18.10.2006, 19:27
mickymuc
...neu hier

Beiträge: 4
#1 Hallo liebe Spezialisten (und vorallem Sabina, deren Anleitungen mir bisher schon viel geholfen haben!),

gestern meldete mir mein Norton Anti Virus das mein Computer mit der Adware "SpySheriff", "SpywareQuake" und "PurityScan" infiziert sei. Mit hilfe von Online Anleitungen und den Tools "RogueScanFix", "SmitRem" und "SmitFraudFix" konnte ich "SpywareQuake" sowie "SpySheriff" entfernen, zumindest werden sie nun nicht mehr von Norton Antivirus gefunden.

Beim letzten komplett system check entdeckte Norton nun die drei Dateien:

c:\Program Files\Common Files\MCROSO~1\rundll32.exe

c:\Documents and Settings\Micky\Local Settings\Temporary Internet Files\Content.IE5\OB3LJ6VQ\!update-4295[1].0000

c:\Documents and Settings\Micky\Local Settings\Temp\!update.exe

...und konnte sie erfolgreich entfernen

Nun bin ich mir nicht sicher ob die Entfernung von "PurityScan" geglückt ist, da das wie ich in diesem Forum lesen konnte ja etwas komplizierter sei. Um das herauszufinden bin ich wohl auf die hilfe von einen von euch angewiesen und würde mich sehr freuen wenn ihr die Zeit finden könntet mir zu helfen.

Da sich "PurityScan" ja selbst updated, habe ich meinen Computer sicherheitshalber vom Netzwerk abgekabelt und führe nun im abgesicherten Modus alle checks durch.

Jetzt habe ich die Prozedur wie von Sabina beschrieben im Abgesicherten Modus (vom Netz abgekabelt) abgearbeitet, die Resultate stehen unten. Vielen Dank einmal für jegliche Hilfe!

Micky

---------------------------------------------

1. Es folgt meine HighJackThis Log File:

Logfile of HijackThis v1.99.1
Scan saved at 18:03:24, on 18.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\NMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\WINDOWS\regedit.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Common Files\{3CE554B0-04B8-1031-0114-020402010031}\MyToolBar.dll
O2 - BHO: (no name) - {E6144C2A-F192-A73A-B56A-FA7AE3E00F9C} - C:\WINDOWS\system32\rmcj.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Common Files\{3CE554B0-04B8-1031-0114-020402010031}\MyToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Program Files\Common Files\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{46D40035-FF63-4A92-80DD-8C713571E338}: NameServer = 192.168.1.254,0.0.0.0
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\DJSNETCN.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe



----------------------------------------------





2. Cleanup wurde erfolgreich ausgeführt. Nach dem neustart wieder im abgesicherten Modus mit Administrator Login ohne Netzwerk gebootet.





----------------------------------------------




3. Es folgt meine ComboFix Log Datei:

Administrator - 06-10-18 18:54:06,88 Service Pack 2
ComboFix 06.10.16 - Running from: "C:\Documents and Settings\Administrator\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\Common Files\Yazzle1162OinAdmin.exe
C:\Program Files\Common Files\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\components
C:\Program Files\Common Files\{3CE554B0-04B8-1031-0114-020402010031}
C:\Program Files\Common Files\{9CE554B0-04B8-1031-0114-020402010031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Program Files\Common Files\MCROSO~1
C:\QooBox\Purity\Program Files\Common Files\MCROSO~1\M?crosoft


((((((((((((((((((((((((((((((( Files Created from 2006-09-18 to 2006-10-18 ))))))))))))))))))))))))))))))))))


2006-10-18 11:37 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-10-18 11:37 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-10-18 11:37 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-10-18 11:37 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-10-17 17:45 2 --a------ C:\WINDOWS\system32\wnscpcc.exe
2006-10-12 17:20 921 --a------ C:\WINDOWS\QSFVExit.bat
2006-10-12 00:53 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-10-12 00:08 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2006-10-12 00:08 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2006-10-12 00:08 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2006-10-12 00:07 94,208 --a------ C:\WINDOWS\DIIUnin.exe
2006-10-12 00:07 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2006-10-11 23:24 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2006-10-09 23:25 221,184 --a------ C:\WINDOWS\system32\wmpns.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-18 18:57 -------- d-------- C:\Program Files\Common Files
2006-10-18 18:47 -------- d-------- C:\Program Files\CleanUp!
2006-10-18 12:22 -------- d-------- C:\Program Files\Mozilla Firefox
2006-10-18 12:19 -------- d-------- C:\Program Files\Microsoft Visual Studio 8
2006-10-18 12:18 -------- d-------- C:\Program Files\Common Files\Microsoft Shared
2006-10-18 12:17 -------- d-------- C:\Program Files\Common Files\Merge Modules
2006-10-18 11:58 -------- d-------- C:\Program Files\Internet Explorer
2006-10-18 11:43 -------- d-------- C:\Program Files\Symantec
2006-10-18 11:43 -------- d-------- C:\Program Files\Common Files\Symantec Shared
2006-10-18 10:59 -------- d-------- C:\Program Files\Roguescanfix
2006-10-17 23:49 -------- d-------- C:\Documents and Settings\Administrator\Application Data\Mozilla
2006-10-17 19:08 -------- d---s---- C:\Documents and Settings\Administrator\Application Data\Microsoft
2006-10-16 19:33 -------- d-------- C:\Program Files\Diablo II
2006-10-16 19:04 -------- d-------- C:\Program Files\The All-Seeing Eye
2006-10-13 14:02 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-10-11 23:30 -------- d-------- C:\Program Files\QuickSFV
2006-10-11 15:19 -------- d-------- C:\Program Files\Croteam
2006-10-11 03:52 -------- d-------- C:\Program Files\D-Tools
2006-10-11 02:50 -------- d-------- C:\Program Files\Common Files\DirectX
2006-10-09 23:24 -------- d-------- C:\Program Files\Windows Media Player
2006-10-09 14:24 -------- d-------- C:\Program Files\Steam
2006-10-08 16:01 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-08 14:34 -------- d-------- C:\Program Files\EA GAMES
2006-10-06 22:45 -------- d-------- C:\Program Files\Microsoft Speech SDK 5.1
2006-10-06 21:17 -------- d-------- C:\Program Files\Microsoft Visual Studio .NET 2003
2006-10-06 21:12 -------- d-------- C:\Program Files\Common Files\Crystal Decisions
2006-10-06 21:09 -------- d-------- C:\Program Files\Microsoft Office
2006-10-06 19:07 -------- d-------- C:\Program Files\GCFScape
2006-10-06 18:40 -------- d-------- C:\Program Files\De Blob
2006-10-06 18:20 -------- d-------- C:\Program Files\Microsoft SQL Server
2006-10-06 18:15 -------- d-------- C:\Program Files\Microsoft SQL Server 2005 Mobile Edition
2006-10-06 18:15 -------- d-------- C:\Program Files\Microsoft Device Emulator
2006-10-06 18:07 -------- d-------- C:\Program Files\HTML Help Workshop
2006-10-06 16:46 -------- d-------- C:\Program Files\Microsoft.NET
2006-10-06 16:46 -------- d-------- C:\Program Files\Common Files\Designer
2006-10-05 21:09 -------- d-------- C:\Program Files\Picasa2
2006-10-04 22:28 -------- d-------- C:\Program Files\Valve Hammer Editor
2006-10-04 13:43 -------- d-------- C:\Program Files\The Babylon Project
2006-10-04 12:30 -------- d-------- C:\Program Files\Real Alternative
2006-10-04 12:04 -------- d-------- C:\Program Files\Outcast
2006-10-04 01:20 -------- d-------- C:\Program Files\Fox
2006-09-23 02:23 -------- d-------- C:\Program Files\NetMeeting
2006-09-15 22:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 22:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-14 17:04 -------- d-------- C:\Program Files\Norton AntiVirus
2006-09-14 12:32 -------- d-------- C:\Program Files\SymNetDrv
2006-09-12 00:56 -------- d-------- C:\Program Files\MIDIOX
2006-09-11 10:38 -------- d-------- C:\Program Files\xampp
2006-09-11 10:32 -------- d-------- C:\Program Files\Common Files\Adobe
2006-09-11 10:31 -------- d-------- C:\Program Files\Adobe
2006-09-10 23:45 -------- d-------- C:\Program Files\ahead
2006-09-10 15:47 -------- d-------- C:\Program Files\coolpro2
2006-09-10 15:31 -------- d-------- C:\Program Files\MySQL
2006-09-10 02:28 -------- d-------- C:\Program Files\Creative
2006-09-09 23:58 -------- d-------- C:\Program Files\Common Files\InstallShield
2006-09-09 20:43 -------- d-------- C:\Program Files\VideoLAN
2006-09-08 14:12 -------- d-------- C:\Program Files\Java
2006-09-08 14:11 -------- d-------- C:\Program Files\Common Files\Java
2006-09-08 14:07 -------- d-------- C:\Program Files\JabRef
2006-09-07 15:12 -------- d-------- C:\Program Files\TeXnicCenter
2006-09-07 13:56 -------- d-------- C:\Program Files\MiKTeX 2.5
2006-09-07 01:04 -------- d-------- C:\Program Files\SoundSpectrum
2006-09-06 22:55 -------- d-------- C:\Program Files\OpenAL
2006-09-06 11:15 -------- d-------- C:\Program Files\OpenOffice.org 2.0
2006-09-06 02:36 -------- d-------- C:\Program Files\WinRAR
2006-09-05 02:30 -------- d-------- C:\Program Files\Messenger
2006-09-05 02:27 -------- d-------- C:\Program Files\Outlook Express
2006-09-05 02:27 -------- d-------- C:\Program Files\Common Files\System
2006-09-04 18:22 233472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2006-09-04 18:22 225280 --a------ C:\WINDOWS\system32\ReWire.dll
2006-09-04 18:22 -------- d-------- C:\Program Files\Propellerhead
2006-09-04 17:41 -------- d-------- C:\Program Files\Google
2006-09-04 17:21 -------- d-------- C:\Program Files\Macromedia
2006-09-04 17:21 -------- d-------- C:\Program Files\Common Files\Macromedia
2006-09-04 17:12 -------- d-------- C:\Program Files\MSN Messenger
2006-09-04 17:03 62 --ahs---- C:\Documents and Settings\Administrator\Application Data\desktop.ini
2006-09-04 17:03 -------- d-------- C:\Program Files\Common Files\SpeechEngines
2006-09-04 17:03 -------- d-------- C:\Program Files\Common Files\ODBC
2006-09-04 15:31 -------- d--h----- C:\Program Files\Uninstall Information
2006-09-04 15:18 0 -rahs---- C:\MSDOS.SYS
2006-09-04 15:18 0 -rahs---- C:\IO.SYS
2006-09-04 15:18 0 --a------ C:\CONFIG.SYS
2006-09-04 15:18 0 --a------ C:\AUTOEXEC.BAT
2006-09-04 15:18 -------- d-------- C:\Program Files\xerox
2006-09-04 15:18 -------- d-------- C:\Program Files\microsoft frontpage
2006-09-04 15:16 -------- d--h----- C:\Program Files\WindowsUpdate
2006-09-04 15:15 -------- d-------- C:\Program Files\Movie Maker
2006-09-04 15:15 -------- d-------- C:\Program Files\Common Files\Services
2006-09-04 15:15 -------- d-------- C:\Program Files\Common Files\MSSoap
2006-09-04 15:14 -------- d-------- C:\Program Files\Online Services
2006-09-04 15:14 -------- d-------- C:\Program Files\ComPlus Applications
2006-09-04 15:13 -------- d-------- C:\Program Files\Windows NT
2006-09-04 15:13 -------- d-------- C:\Program Files\MSN Gaming Zone
2006-09-04 15:13 -------- d-------- C:\Program Files\MSN
2006-08-21 14:21 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-16 17:55 208896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2006-08-11 21:45 888832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-08-11 21:45 581632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-08-11 21:45 5611520 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-08-11 21:45 5251072 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-08-11 21:45 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-08-11 21:45 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-08-11 21:45 3039232 --a------ C:\WINDOWS\system32\nvgames.dll
2006-08-11 21:45 2953216 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2006-08-11 21:45 2928640 --a------ C:\WINDOWS\system32\nvgamesr.dll
2006-08-11 21:45 2904064 --a------ C:\WINDOWS\system32\nvvitvs.dll
2006-08-11 21:45 2859008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2006-08-11 21:45 266240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2006-08-11 21:45 258048 --a------ C:\WINDOWS\system32\nvrsko.dll
2006-08-11 21:45 249856 --a------ C:\WINDOWS\system32\nvrssl.dll
2006-08-11 21:45 249856 --a------ C:\WINDOWS\system32\nvrssk.dll
2006-08-11 21:45 249856 --a------ C:\WINDOWS\system32\nvrshu.dll
2006-08-11 21:45 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2006-08-11 21:45 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2006-08-11 21:45 1732608 --a------ C:\WINDOWS\system32\nvwssr.dll
2006-08-11 21:45 1236992 --a------ C:\WINDOWS\system32\nvwss.dll
2006-08-11 21:44 323584 --a------ C:\WINDOWS\system32\nvrshe.dll
2006-08-11 21:44 323584 --a------ C:\WINDOWS\system32\nvrsar.dll
2006-08-11 21:44 274432 --a------ C:\WINDOWS\system32\nvrses.dll
2006-08-11 21:44 274432 --a------ C:\WINDOWS\system32\nvrsel.dll
2006-08-11 21:44 266240 --a------ C:\WINDOWS\system32\nvrspt.dll
2006-08-11 21:44 262144 --a------ C:\WINDOWS\system32\nvrsja.dll
2006-08-11 21:44 249856 --a------ C:\WINDOWS\system32\nvrstr.dll
2006-08-11 21:44 249856 --a------ C:\WINDOWS\system32\nvrspl.dll
2006-08-11 21:44 249856 --a------ C:\WINDOWS\system32\nvrsno.dll
2006-08-11 21:44 241664 --a------ C:\WINDOWS\system32\nvrscs.dll
2006-08-11 21:44 147456 --a------ C:\WINDOWS\system32\nvcolor.exe
2006-08-11 21:43 86016 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-08-11 21:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-08-11 21:43 794624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-08-11 21:43 7630848 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-08-11 21:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-08-11 21:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-08-11 21:43 425984 --a------ C:\WINDOWS\system32\keystone.exe
2006-08-11 21:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2006-08-11 21:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2006-08-11 21:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2006-08-11 21:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2006-08-11 21:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2006-08-11 21:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2006-08-11 21:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2006-08-11 21:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2006-08-11 21:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2006-08-11 21:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2006-08-11 21:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2006-08-11 21:43 311296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2006-08-11 21:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2006-08-11 21:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2006-08-11 21:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2006-08-11 21:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2006-08-11 21:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2006-08-11 21:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2006-08-11 21:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2006-08-11 21:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2006-08-11 21:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2006-08-11 21:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2006-08-11 21:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2006-08-11 21:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2006-08-11 21:43 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2006-08-11 21:43 278528 --a------ C:\WINDOWS\system32\nvrsfr.dll
2006-08-11 21:43 274432 --a------ C:\WINDOWS\system32\nvrsit.dll
2006-08-11 21:43 270336 --a------ C:\WINDOWS\system32\nvrsde.dll
2006-08-11 21:43 266240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2006-08-11 21:43 262144 --a------ C:\WINDOWS\system32\nvrsru.dll
2006-08-11 21:43 262144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2006-08-11 21:43 245760 --a------ C:\WINDOWS\system32\nvrssv.dll
2006-08-11 21:43 245760 --a------ C:\WINDOWS\system32\nvrsda.dll
2006-08-11 21:43 241664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2006-08-11 21:43 241664 --a------ C:\WINDOWS\system32\nvrseng.dll
2006-08-11 21:43 221184 --a------ C:\WINDOWS\system32\nvrszhc.dll
2006-08-11 21:43 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2006-08-11 21:43 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2006-08-11 21:43 196608 --a------ C:\WINDOWS\system32\nvapi.dll
2006-08-11 21:43 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2006-08-11 21:43 1662976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2006-08-11 21:43 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2006-08-11 21:43 1519616 --a------ C:\WINDOWS\system32\nwiz.exe
2006-08-11 21:43 1470464 --a------ C:\WINDOWS\system32\nview.dll
2006-08-11 21:43 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2006-08-11 21:43 122880 --a------ C:\WINDOWS\system32\nvrszht.dll
2006-08-11 21:43 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2006-08-11 21:43 1011712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2006-08-11 21:42 5636096 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-08-11 21:42 4496128 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-08-11 21:42 35840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-08-11 21:42 35840 --a------ C:\WINDOWS\system32\nvcod.dll
2006-08-11 21:42 208896 --a------ C:\WINDOWS\system32\nvudisp.exe
2006-08-11 21:42 155715 --a------ C:\WINDOWS\system32\nvsvc32.exe
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:24 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:24 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"CTHelper"="CTHELPER.EXE"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"Picasa Media Detector"="C:\\Program Files\\Picasa2\\PicasaMediaDetector.exe"
"DAEMON Tools-1033"="\"C:\\Program Files\\D-Tools\\daemon.exe\" -lang 1033"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"DJSNetCN"="C:\\Program Files\\Common Files\\Symantec Shared\\DJSNETCN.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-10-18 18:58:08.26
C:\ComboFix.txt ... 06-10-18 18:58




----------------------------------------------------

4. Es folgen die DatFindBat Logfiles (jeweils nur 3 monate oder komplett) in der Reihenfolge:

system32
systemtemp
windows
temp
down
c




Volume in drive C has no label.
Volume Serial Number is 9CE5-54B0

Directory of C:\WINDOWS\system32

18.10.2006 12:27 107.008 FNTCACHE.DAT
18.10.2006 12:26 11.564 DVCState-{00000000-00000000-0000000C-00001102-00000004-00511102}.rfx
18.10.2006 12:26 1.076 settings.sfm
18.10.2006 12:26 1.076 settingsbkup.sfm
18.10.2006 12:26 29.100 BMXBkpCtrlState-{00000000-00000000-0000000C-00001102-00000004-00511102}.rfx
18.10.2006 12:26 29.100 BMXCtrlState-{00000000-00000000-0000000C-00001102-00000004-00511102}.rfx
18.10.2006 12:26 30.480 BMXStateBkp-{00000000-00000000-0000000C-00001102-00000004-00511102}.rfx
18.10.2006 12:26 30.480 BMXState-{00000000-00000000-0000000C-00001102-00000004-00511102}.rfx
18.10.2006 11:59 447.468 perfh009.dat
18.10.2006 11:59 80.064 perfc009.dat
18.10.2006 11:59 519.090 PerfStringBackup.INI
18.10.2006 11:45 13.646 wpa.dbl
18.10.2006 11:45 81.191 nvapps.xml
17.10.2006 17:45 2 wnscpcc.exe
16.10.2006 19:32 43.520 CmdLineExt03.dll
12.10.2006 00:42 21.840 SIntfNT.dll
12.10.2006 00:42 17.212 SIntf32.dll
12.10.2006 00:42 12.067 SIntf16.dll
20.09.2006 17:35 571.696 LegitCheckControl.dll
20.09.2006 17:35 441.136 WgaLogon.dll
20.09.2006 17:35 280.368 WgaTray.exe
15.09.2006 22:52 91.904 S32EVNT1.DLL
11.09.2006 19:37 8.960.936 MRT.exe
08.09.2006 14:12 6.675 jupdate-1.5.0_06-b05.log
04.09.2006 18:22 233.472 REX Shared Library.dll
04.09.2006 18:22 225.280 ReWire.dll
04.09.2006 17:10 0 h323log.txt
04.09.2006 15:30 13.588 wpa.bak
04.09.2006 15:21 261 $winnt$.inf
04.09.2006 15:18 2.577 CONFIG.NT
04.09.2006 15:16 488 logonui.exe.manifest
04.09.2006 15:16 488 WindowsLogon.manifest
04.09.2006 15:16 749 sapi.cpl.manifest
04.09.2006 15:16 749 wuaucpl.cpl.manifest
04.09.2006 15:16 749 ncpa.cpl.manifest
04.09.2006 15:16 749 cdplayer.exe.manifest
04.09.2006 15:16 749 nwc.cpl.manifest
04.09.2006 15:14 21.640 emptyregdb.dat
29.08.2006 19:43 135.168 swreg.exe
21.08.2006 14:21 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
16.08.2006 17:55 208.896 NVUNINST.EXE



-------------------------------------------------


Volume in drive C has no label.
Volume Serial Number is 9CE5-54B0

Directory of C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


-------------------------------------------------

Volume in drive C has no label.
Volume Serial Number is 9CE5-54B0

Directory of C:\WINDOWS

18.10.2006 18:53 333.362 ntbtlog.txt
18.10.2006 18:52 2.048 bootstat.dat
18.10.2006 18:50 964.173 WindowsUpdate.log
18.10.2006 12:26 32.592 SchedLgU.Txt
18.10.2006 12:26 50 wiaservc.log
18.10.2006 12:26 309 wiadebug.log
18.10.2006 12:25 3.162.278 {00000000-00000000-0000000C-00001102-00000004-00511102}.BAK
18.10.2006 12:25 3.162.278 {00000000-00000000-0000000C-00001102-00000004-00511102}.CDF
18.10.2006 11:45 0 0.log
18.10.2006 11:38 169.015 setupact.log
13.10.2006 14:03 921 QSFVExit.bat
12.10.2006 00:53 18.407 DIIUnin.dat
12.10.2006 00:07 2.829 DIIUnin.pif
12.10.2006 00:07 94.208 DIIUnin.exe
11.10.2006 23:24 445.601 setupapi.log
11.10.2006 01:26 556 win.ini
11.10.2006 01:26 257 system.ini
09.10.2006 23:30 379 wmsetup10.log
09.10.2006 23:30 12.095 wmsetup.log
09.10.2006 23:22 316.640 WMSysPr9.prx
08.10.2006 14:46 531 eReg.dat
07.10.2006 17:35 441.693 iis6.log
07.10.2006 17:35 138.918 comsetup.log
07.10.2006 17:35 82.550 ntdtcsetup.log
07.10.2006 17:35 179.447 tsoc.log
07.10.2006 17:35 1.374 imsins.log
07.10.2006 17:35 19.912 tabletoc.log
07.10.2006 17:35 21.405 ocmsn.log
07.10.2006 17:35 2.810 KB885884.log
07.10.2006 17:35 67.770 netfxocm.log
07.10.2006 17:35 26.986 MedCtrOC.log
07.10.2006 17:35 189.692 ocgen.log
07.10.2006 17:35 19.411 msgsocm.log
07.10.2006 17:35 382.501 FaxSetup.log
07.10.2006 17:35 120.882 msmqinst.log
06.10.2006 21:21 316 ODBC.INI
06.10.2006 18:38 2.327 spupdsvc.log
06.10.2006 18:31 13.106 WgaNotify.log


---------------------------------------------

Volume in drive C has no label.
Volume Serial Number is 9CE5-54B0

Directory of C:\WINDOWS\temp


---------------------------------------------

Volume in drive C has no label.
Volume Serial Number is 9CE5-54B0

Directory of C:\WINDOWS\Downloaded Program Files

04.09.2006 15:16 65 desktop.ini
11.08.2006 09:40 523 CTSUEng.inf
11.08.2006 09:36 225.280 CTSUEng.ocx
10.08.2006 18:07 38.608 CTPID.ocx
10.08.2006 17:58 516 CTPID.inf
22.06.2006 11:41 5.032 swflash.inf
29.05.2003 15:00 160.864 messengerstatsclient.dll
7 File(s) 430.888 bytes
0 Dir(s) 49.466.617.856 bytes free

---------------------------------------------


Volume in drive C has no label.
Volume Serial Number is 9CE5-54B0

Directory of C:\

18.10.2006 19:10 0 sys.txt
18.10.2006 19:09 576 down.txt
18.10.2006 19:09 105 tmp.txt
18.10.2006 19:08 8.427 system.txt
18.10.2006 19:08 124 systemtemp.txt
18.10.2006 19:06 103.244 system32.txt
18.10.2006 18:58 19.549 ComboFix.txt
18.10.2006 18:52 1.610.612.736 pagefile.sys
18.10.2006 11:38 946 rapport.txt
18.10.2006 11:34 8.191 smitfiles.txt
04.10.2006 11:37 0 dbg_log.txt
04.10.2006 11:22 4 timestmp.tmp
17.09.2006 18:39 232 sqmdata04.sqm
17.09.2006 18:39 244 sqmnoopt04.sqm
15.09.2006 00:32 232 sqmdata03.sqm
15.09.2006 00:32 244 sqmnoopt03.sqm
14.09.2006 11:40 232 sqmdata02.sqm
14.09.2006 11:40 244 sqmnoopt02.sqm
10.09.2006 02:25 232 sqmdata01.sqm
10.09.2006 02:25 244 sqmnoopt01.sqm
05.09.2006 12:23 232 sqmdata00.sqm
05.09.2006 12:23 244 sqmnoopt00.sqm
04.09.2006 15:18 0 IO.SYS
04.09.2006 15:18 0 MSDOS.SYS
04.09.2006 15:18 0 CONFIG.SYS
04.09.2006 15:18 0 AUTOEXEC.BAT
04.09.2006 15:10 211 boot.ini
04.08.2004 14:00 250.032 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
29 File(s) 1.611.054.089 bytes
0 Dir(s) 49.466.613.760 bytes free

------------------------------------------------
Seitenanfang Seitenende
19.10.2006, 00:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 mickymuc

««
loeschen:
C:\WINDOWS\system32\wnscpcc.exe

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - Default URLSearchHook is missing

O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Common
Files\{3CE554B0-04B8-1031-0114-020402010031}\MyToolBar.dll

O2 - BHO: (no name) - {E6144C2A-F192-A73A-B56A-FA7AE3E00F9C} - C:\WINDOWS\system32\rmcj.dll (file missing)

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Common Files\{3CE554B0-04B8-1031-0114-020402010031}\MyToolBar.dll
PC neustarten
--------
combofix muesste den Purityscan geloescht haben, dennoch scann und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2006, 13:33
mickymuc
...neu hier

Themenstarter

Beiträge: 4
#3 So, guten Nachmittag!
Zuerst einmal ein ersauntes und herzliches Dankeschön für die super-schnelle Hilfe (und das um die Zeit!).

1. Ich habe "C:\WINDOWS\system32\wnscpcc.exe" über die Recovery console Löschen können, aus windows war das nicht möglich da die datei "in verwendung" war.

2. Bei HighJackThis konnte ich 3 von den vier Meldungen fixen, allerdings war "R3 - Default URLSearchHook is missing" schon verschwunden (also ach nicht nach nochmaligem scan im log zu finden)

3. Nach dem Neustart (nun im normal Modus mit Internetanbindung) habe ich mit "AVG Anti-Spyware 7.5" gescannt. In der Windows recovery Sektion wurden noch Reste gefunden. Auserdem waren trotz der cleanings noch cookies vorhanden (kann ich die einfach durch löschen loswerden?).

Es folgen die Drei Logs von AVG Anti-Spyware 7.5:



---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:46:17 19.10.2006

+ Scan-Ergebnis:



HKU\S-1-5-21-1454471165-113007714-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522} -> Adware.Generic : Keine Aktion durchgeführt.
:mozilla.187:C:\Documents and Settings\Micky\Application Data\Mozilla\Firefox\Profiles\wkellkky.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
.EDIT

::Berichtende


-----------------------------------------

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 13:17:46 19.10.2006

+ Scan-Ergebnis:



C:\System Volume Information\_restore{F173D28A-8E2D-440F-8DCE-7D440B751D7D}\RP69\A0009075.dll -> Adware.PurityScan : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{F173D28A-8E2D-440F-8DCE-7D440B751D7D}\RP69\A0012997.dll -> Adware.Softomate : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{F173D28A-8E2D-440F-8DCE-7D440B751D7D}\RP69\A0012999.dll -> Adware.Softomate : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{F173D28A-8E2D-440F-8DCE-7D440B751D7D}\RP69\A0012819.exe -> Downloader.PurityScan.co : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{F173D28A-8E2D-440F-8DCE-7D440B751D7D}\RP69\A0012994.exe -> Downloader.PurityScan.dc : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{F173D28A-8E2D-440F-8DCE-7D440B751D7D}\RP69\A0009085.dll -> Not-A-Virus.Hoax.Win32.Renos.ds : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{F173D28A-8E2D-440F-8DCE-7D440B751D7D}\RP69\A0009131.dll -> Not-A-Virus.Hoax.Win32.Renos.ds : Keine Aktion durchgeführt.


::Berichtende

-
::Berichtende
Seitenanfang Seitenende
19.10.2006, 14:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 mickymuc

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

««
C:\QooBox\Purity -> loeschen

»»
Papierkorb leeren

««
dann loesche alles , was AVG Anti-Spyware gefunden hat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2006, 16:11
mickymuc
...neu hier

Themenstarter

Beiträge: 4
#5 Purity Scan schein nun entfernt zu sein, nachdem ich alle cookies auf Firefox gelöscht habe und die Systemwiederherstellung ausgeschaltet habe.

AVG Anti-Spyware hat allerdings zwei andere Spywares entdeckt!

1. zum einen wurde (wie in der Log zu sehen ist) "Adware.Generic" Gefunden und konnte von AVG nicht entfernt werden

"HKU\S-1-5-21-1454471165-113007714-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522} -> Adware.Generic : Keine Aktion durchgeführt."


2. Dann erkannte AVG noch "Adware.Isearch"

"HKU\S-1-5-21-1454471165-113007714-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A43385F0-7113-496D-96D7-B9B550E3FCCA} -> Adware.Generic : Keine Aktion durchgeführt."

Ich hab bei AVG "Löschen" ausgeführt, dann wieder gescannt. AVG konnte die Schlüssel anscheinend entfernen.

Meine (naive) Frage is jetzt ob ich gleich alle Schlüssel die sich unter "Ext" befinden (diesen Schlüssel Ordner gibt es bei meinen anderen XP Versionen nämlich garnicht) entfernen? Sämtliche schlüssel scheinen nämlich Internet Explorer extensions zu sein, den ich für den Internetbetrieb gar nicht nutze (hab natürlich Firefox).

Ich schicke im Anhang noch einmal einen aktuellen HighJackThis und einen DatFind Log die ich beide nach der Entfernung der oben genannten Registry Keys durchgeführt habe.

Nochmals vielen Dank für die Hilfe Sabina

Anhang: HJT und DatFind Logs 19 10 06.txt
Seitenanfang Seitenende
19.10.2006, 16:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 fixe mit dem hijackthis:

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {E6144C2A-F192-A73A-B56A-FA7AE3E00F9C} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O4 - HKCU\..\Run: [Dtei] "C:\WINDOWS\system32\FNTS~1\spoolsv.exe" -vt ndrv

O4 - HKCU\..\Run: [Jnj] C:\Documents and Settings\Micky\Application Data\T?sks\?hkdsk.exe
PC neustarten

dann sollte eigentlich alles wieder o.k. sein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2006, 20:24
mickymuc
...neu hier

Themenstarter

Beiträge: 4
#7 So, habe nun AVG noch einmal alles durchchecken lasse. Dann computer wieder ans Netzwerk angeschlossen und Panda ActiveScan laufen lassen.

Ergebnisse:

AVG - Scan Abgeschlossen. Keine Bedrohung gefunden.
Panda - 5 "Hacking Tools and potentially unwanted tools" gefunden....aber

-------------------------------------------------------

Log Datei von ActiveScan:

Incident Status Location

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Micky\Desktop\Desktop2\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Micky\Desktop\Desktop2\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Micky\Desktop\Desktop2\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Micky\Desktop\Desktop2\smitRem.exe[smitRem/Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe


-------------------------------------------------------

Dabei handelt es sich um das tool das ich zum entfernen von SpyQuake verwendet habe! Deswegen denke ich das hiervon keine Gefahr ausgeht, oder?

Ich habe die Dateien aber vorsichthalber entfernt. Danke noch einmal vielmals für die tolle Hilfe!

lieben Gruß aus München,

Micky
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1