Spyware! Ad-Aware & andere kostenlose Programme finden nichts!

#0
21.11.2006, 00:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winuqw32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39f25b12-74ff-4079-a51f-1d70f5b08b84}

Folders to delete:
C:\Programme\DAEMON Tools
C:\Programme\Gemeinsame Dateien\{6C366563-07DA-1031-1021-050214060001}
poste das log vom avenger nach neustart

**
loesche : C:\VundoFix Backups + C:\Avenger\backup.zip + leere den Papierkorb

______________________________

rechtsklick auf Arbeitsplatz -> Eigenschaften -> Erweitert -> "Starten und Wiederherstellen" -> Taste "Einstellungen" -> Häkchen vor "Automatisch Neustart durchführen" wegnehmen. Wenn er dann wieder abgestürtzt ist, gehe ins Systemprotrokoll -> Start -> Ausführen -> eventvwr.msc

Schau nach Fehlern unter System und Anwendung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 15:05
Member

Themenstarter

Beiträge: 39
#17 Logfile:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\opoqnopv

*******************

Script file located at: \??\C:\WINDOWS\iqwrqbyw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programme\DAEMON Tools deleted successfully.
Folder C:\Programme\Gemeinsame Dateien\{6C366563-07DA-1031-1021-050214060001} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winuqw32 deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39f25b12-74ff-4079-a51f-1d70f5b08b84} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

_______________________________________

und was mach ich dann mit dem systemprotokoll?

_______________________________________

Ihr (bzw. du, Sabina) seid einfach klasse!!!

MfG

Nox
__________
~!__/
.o.o <-------------- This is Einkaufswagen. Copy Einkaufswagen into your signature to help him on his way to world domination.
Seitenanfang Seitenende
21.11.2006, 15:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 kopiere es hier - vielleicht finden wir die Ursache der Abstuerze ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 15:51
Member

Themenstarter

Beiträge: 39
#19 Alles Klar, werde ich tun.

Bin ich "sauber"?^^
__________________
MfG

Nox
__________
~!__/
.o.o <-------------- This is Einkaufswagen. Copy Einkaufswagen into your signature to help him on his way to world domination.
Seitenanfang Seitenende
21.11.2006, 15:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 sauber ja ;) -

am besten du schaust mal im Geraetemanager, ob du dort ein gelbes Warnsymbol findest, dann weisst du, ob eventuell ein korrupter Treiber fuer die Abstuerze verantwortlich ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 16:46
Member

Themenstarter

Beiträge: 39
#21 Also der Gerätemanager beschwert sich, dass meine Maus nicht installiert ist und das zu Fehlverhalten führen könnte, aber wenn ich die Treiber automatisch installiere kann der sich das nicht merken und ich soll die jedes mal neu installeren...
Auf dem blauen Bildschirm stand als er abgestürzt ist, dass meine "Video"-Controller nicht in Ordnung wären.
Die Grafikkarte kann es nicht sein, denn da habe ich mit Sicherheit die neuesten Treiber.
Ich habe mal eine TV-Karte eingebaut, aber da ich keine Treiber hatte habe ich sie wieder ausgebaut, sollte es daran liegen, ich meine: Keine Karte, keine Beschwerden.
____________________________________

Ich hab das ausgeführt und folgende Fehler gefunden:

Bei Anwendungen:
-Application Hang
-Application Error

Bei System:
-System Error

Aber leider weiß ich nicht wo da die logfiles sind;)
____________________________________

Und sauber bin ich leider noch nicht;)!
Ich habe mit "Defenza" einen Viren-Test gemacht und noch:
-37 infizierte Registry-Einträge
-10 infizierte Dateien
-1 infizierten Cookie
gefunden.

Leider habe ich auch hier kein logfile, sondern könnte höchsten per Hand alle Pfade abschreiben(makieren ist nicht möglich)!

MfG

Nox
__________
~!__/
.o.o <-------------- This is Einkaufswagen. Copy Einkaufswagen into your signature to help him on his way to world domination.
Dieser Beitrag wurde am 21.11.2006 um 17:40 Uhr von Nox_NB editiert.
Seitenanfang Seitenende
21.11.2006, 18:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 kann man den Report vom Defenza nicht irgendwie in eine txt-Datei umwandeln und hier posten?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 19:19
Member

Themenstarter

Beiträge: 39
#23 Nein, kann man leider nicht, aber ich habe mir einfach mal die Mühe gemacht:

Cookies:

-Medialex.com
- c:\dokumente und einstellungen\nix\cookies\nix@mediaplex[1].txt
___________________________________________________________
Adware:

-webHancer
- C:\Dokumente und Einstellungen\NiX\Lokale Einstellungen\Temp\~DFA679.tmp

-Unclassified.Spyware.Loader

- C:\WINDOWS\system32\grwinsthlp.exe

-Freeprod/Toolbar888
- C:\PROGRAMME\GEMEINSAME DATEIEN\{3C366563-07DA-1031-1021-050214060001}\888.DLL

-Registryeinträge:
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\HELPDIR
___________________________________________________________________________________________
Potentially Unwanted Program:

-MyGlobalSearch.Toolbar
-C:\Programme\MyGlobalSearch
-C:\Programme\MyGlobalSearch\bar
-C:\Programme\MyGlobalSearch\bar\History
-C:\Programme\MyGlobalSearch\bar\History\search
-C:\Programme\MyGlobalSearch\bar\Settings

Registryeinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH\bar
_____

was sich da ändert ist der "ValueName"
_____

_________________________________________________
RAT:

Remote Aim (Raim)
-C:\Spiele\Programme\Dungeon Lords\MRUTCPIP.dat

(Das Spiel ist schon seit längerem deinstalliert, ich habe jetzt einfach den Ordner gelöscht)
_________________________________________________
Malware:

-Backdoor
-Haxdoor.Fam
-C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
-C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\Update\AVUPDATE_456487ca\winwks\de\basic-nt\addr_file.html

-Trojan
-Trojan.WinlogonHook.Delf.A

Registryeinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR

-Exploit
Registryeinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON\NOTIFY\WINUQW32
______________________________________________________________________________________________

Das hat viel Mühe gekostet und hoffe deshalb erst recht, dass hilft.

MfG

Nox
__________
~!__/
.o.o <-------------- This is Einkaufswagen. Copy Einkaufswagen into your signature to help him on his way to world domination.
Dieser Beitrag wurde am 21.11.2006 um 19:36 Uhr von Nox_NB editiert.
Seitenanfang Seitenende
22.11.2006, 00:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Avenger ;)

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winuqw32
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208}

Files to delete:
C:\Dokumente und Einstellungen\NiX\Lokale Einstellungen\Temp\~DFA679.tmp
C:\WINDOWS\system32\grwinsthlp.exe

Folders to delete:
C:\Programme\MyGlobalSearch
C:\Programme\Gemeinsame Dateien\{6C366563-07DA-1031-1021-050214060001}

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 22:08
Member

Themenstarter

Beiträge: 39
#25 Hier das logfile:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pvayetfs

*******************

Script file located at: \??\C:\hpjjgfsp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\NiX\Lokale Einstellungen\Temp\~DFA679.tmp deleted successfully.
File C:\WINDOWS\system32\grwinsthlp.exe deleted successfully.
Folder C:\Programme\MyGlobalSearch deleted successfully.


Folder C:\Programme\Gemeinsame Dateien\{6C366563-07DA-1031-1021-050214060001} not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\{6C366563-07DA-1031-1021-050214060001} failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{6C366563-07DA-1031-1021-050214060001}
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winuqw32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSMGR deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\MYGLOBALSEARCH deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{569304BA-83ED-4CFF-AC26-BE3E482F7208} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
__________________________________________________________________

Mhh.. scheint als hätte er was nicht gefunden - mein Anti-Virus-Programm wird wohl keine Viren ausdenken oder?;)

MfG

Nox
__________
~!__/
.o.o <-------------- This is Einkaufswagen. Copy Einkaufswagen into your signature to help him on his way to world domination.
Seitenanfang Seitenende
22.11.2006, 22:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 nun, scanne noch mal .... eigenartig ist nur, dass im letzten script geloescht wurde, was ich schon ins 1. script gepackt hatte ;) - komisch
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2006, 22:08
Member

Themenstarter

Beiträge: 39
#27 YEAH, du bist klasse; jetzt ist es nur noch das Mediaplex-Cookie, das Haxdoor.Fam, das Exploit.Smitfraud und das Remote AIM (RAIM)

Ich hoffe, dass du mir auch da noch weiterhelfen kannst.

MfG und HOOOOCHerfreut

Nox
__________
~!__/
.o.o <-------------- This is Einkaufswagen. Copy Einkaufswagen into your signature to help him on his way to world domination.
Seitenanfang Seitenende
23.11.2006, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 dann poste wieder alles mit korrektem pfad, dann packe ich es in den Avenger ;)
(Cookies interessieren nicht)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.11.2006, 21:11
Member

Themenstarter

Beiträge: 39
#29 Folgende:

webHancer
C:\Dokumente und Einstellungen\NiX\Lokale Einstellungen\Temp\~DF63CA.tmp

Remote Aim (Raim)
C:\Spiele\Programme\Dungeon Lords\MRUTCPIP.dat

Haxdoor.Fam
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\Update\AVUPDATE_456487ca\winwks\de\basic-nt\addr_file.html

Exploit.Smitfraud
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINUQW32
_______________________________________________________________

Nochmal zu meinem "Reboot"-Problem:
Ich benutze Flyakite OS| vielleicht hat es damit etwas zu tun?!
_______________________________________________________________
MfG und einem großen "DANKESCHÖN"

Nox
__________
~!__/
.o.o <-------------- This is Einkaufswagen. Copy Einkaufswagen into your signature to help him on his way to world domination.
Seitenanfang Seitenende
26.11.2006, 22:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 das proggie spinnt - es will wohl gekauft werden ! ;)

WINUQW32 - haben wir schon dreimal ausgeloescht und AntiVir PersonalEdition + die anderen Eintraege werden wir bestimmt nicht loeschen..........
Dungeon Lords - ist ein Spiel.

schmeiss den Defenza runter, vielleicht laeuft dann dein System besser ;)
ich habe ueberhaupt den Verdacht, dass es ein Faketool ist, ich hatte schon mal nachgeforscht, als du es jemand anderem hier im Forum angepriesen hast - deinstalliere das proggie.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: