Virusbuster-(Critical System Error Anzeige)-Video ActiveX Object

#0
29.11.2006, 12:36
...neu hier

Beiträge: 5
#1 Hallo,

Hab mir leider auch über ein Media Codec den Virusbuster-Trojaner eingefangen und würde eure Hilfe brauchen.
Mein Computer zeigt die selben Sypthome wie bei den anderen Posts: Critical System Errror Anzeige. Hab versucht ihn mit Spycatcher und AVG zu bekämpfen funktionierte jedoch nicht.

Im Anhang findet ihr in der Log files.rar Datei

Schritt 1.mein Hijack This Logfile

(Schritt 2. Hab Clean up durchlaufen lassen [nicht im Anhang])

Schritt 3. mein Combofix log file

Schritt 4. meine 6 datafind.bat Texdateien (auf drei Monate abgespeckt)

Schritt 5. AVG Hat keinen Virus/Trojaner gefunden
Spycatcher lieferte mir diese Liste

Ich hoffe ihr könnt mir auch helfen, vielen Dank schon mal im Voraus

LG

jarano

PS: Bin ein relativer Anfänger benötige daher möglichst prezise Anweisungen.

Seitenanfang Seitenende
29.11.2006, 13:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Video ActiveX Object

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

in: "Enter search strings" (reinschreiben oder reinkopieren)

Virus-Bursters

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

_____________________________________


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Virus-Bursters" >>files.txt
dir "C:\Programme\Video ActiveX Object" >>files.txt
dir "C:\Programme\Odigo" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 15:59
...neu hier

Themenstarter

Beiträge: 5
#3 Hi Sabina,

Danke für deine schnelle Reaktion.

Hier der Log den ich mit Registry search für Video ActiveX Object erhalten habe:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 29.11.2006 15:47:36 for strings:
; 'video activex object'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5}\InprocServer32]
@="C:\\Programme\\Video ActiveX Object\\iesplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}\InprocServer32]
@="C:\\Programme\\Video ActiveX Object\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Video ActiveX Object]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Video ActiveX Object\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006]
"UninstallString"="\"C:\\Programme\\Video ActiveX Object\\iesuninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On]
"UninstallString"="\"C:\\Programme\\Video ActiveX Object\\isauninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03]
"UninstallString"="\"C:\\Programme\\Video ActiveX Object\\pmuninst.exe\""

[HKEY_USERS\S-1-5-21-1949208750-3513126244-1450059325-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Video ActiveX Object\\isamonitor.exe"="isamonitor"
"C:\\Programme\\Video ActiveX Object\\pmsngr.exe"="pmsngr"

; End Of The Log...



Und Hier der Log den ich mit Registry search für Virus-Bursters erhalten habe:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 29.11.2006 15:51:12 for strings:
; 'virus-busters'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



Und hier der Text der mit der listen.bat erschienen ist:


Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 98C1-218F

Verzeichnis von C:\Programme\Virus-Bursters

28.11.2006 19:13 <DIR> .
28.11.2006 19:13 <DIR> ..
24.11.2006 04:25 1.372.160 Virus-Bursters.exe
28.11.2006 17:03 356 virusburster.ini
2 Datei(en) 1.372.516 Bytes
2 Verzeichnis(se), 2.706.997.248 Bytes frei
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 98C1-218F

Verzeichnis von C:\Programme\Video ActiveX Object

28.11.2006 19:02 <DIR> .
28.11.2006 19:02 <DIR> ..
28.11.2006 16:59 25.600 iesplugin.dll
28.11.2006 16:59 13.824 iesuninst.exe
29.11.2006 15:38 12.288 isaddon.dll
29.11.2006 15:38 5.632 isamini.exe
28.11.2006 16:59 30.208 isamonitor.exe
28.11.2006 16:59 14.848 isauninst.exe
28.11.2006 16:59 4.286 ot.ico
29.11.2006 15:38 2.856 pmmon.exe
28.11.2006 16:59 11.600 pmsngr.exe
28.11.2006 16:59 28.672 pmuninst.exe
28.11.2006 16:59 4.286 ts.ico
11 Datei(en) 154.100 Bytes
2 Verzeichnis(se), 2.706.993.152 Bytes frei
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 98C1-218F

Verzeichnis von C:\Programme\Odigo

03.11.2004 15:12 <DIR> .
03.11.2004 15:12 <DIR> ..
03.11.2004 15:12 <DIR> Bin
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 2.706.993.152 Bytes frei
Seitenanfang Seitenende
29.11.2006, 16:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 jarano

arbeite das avengerscript von dieser seite ab und wende den smitfraudfix nach Anleitung an ;)

videoactivexobject
http://virus-protect.org/artikel/spyware/videoactivexobject.html

________________________________________________________________________________

falls es noch vorhanden ist:

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - C:\PROGRA~1\Odigo\Bin\OdigoBHO.dll

O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Programme\Video ActiveX Object\isaddon.dll

O2 - BHO: (no name) - {F1A47A8D-F491-B156-6813-12124A9B822C} - (no file)

O3 - Toolbar: Protection Bar - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - C:\Programme\Video ActiveX Object\iesplugin.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 17:12
...neu hier

Themenstarter

Beiträge: 5
#5 Hallo Sabina,

hab deine Anweisungen Ausgeführt in punkto

Avenger

und

smitfraudfix

danach bin ich mir unsicher was mit den Anweisungen auf der Linkseite gemeint ist.

Habe nochmals mit Regestry search nach Video ActivX Objekt gescannt. und dies ist das Ergebnis.

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 29.11.2006 17:03:04 for strings:
; 'video activex object'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1949208750-3513126244-1450059325-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Video ActiveX Object\\isamonitor.exe"="isamonitor"
"C:\\Programme\\Video ActiveX Object\\pmsngr.exe"="pmsngr"

; End Of The Log...



und nach Virusbusters hab ich auch nochmals gesucht:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 29.11.2006 17:09:14 for strings:
; 'virusbusters'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Was beudeten diese Ergebnisse nun bin ich befreit oder immer noch infiziert?
Seitenanfang Seitenende
29.11.2006, 17:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 kein Grund zur Sorge ;) - der Rechner ist wieder i.o.

Zitat

MUICache]
"C:\\Programme\\Video ActiveX Object\\isamonitor.exe"="isamonitor"
Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien
http://virus-protect.org/mruclear.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 17:23
...neu hier

Themenstarter

Beiträge: 5
#7 Hab auch den Hijack This scan nochmals durgeführt:
zwei der von dir angegebenen Links/Adressen/Zeichenreichen waren noch vornahden:

O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - C:\PROGRA~1\Odigo\Bin\OdigoBHO.dll

und

O2 - BHO: (no name) - {F1A47A8D-F491-B156-6813-12124A9B822C} - (no file)

konnten beide mit checked/fixed-Button im Hijack This entfernt werden




Habe eben deinen Post gelesen und erhalten und möchte dir danke sagen ;)

Danke für deine schnelle und auch für nen Laien verständliche Hilfe!!

Gut dass es euer Forum und dich im speziellen ;) gibt.

Merci

jarano
Dieser Beitrag wurde am 29.11.2006 um 17:28 Uhr von jarano editiert.
Seitenanfang Seitenende
29.11.2006, 17:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 mache noch einen Onlinescan mit ewido und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 18:32
...neu hier

Themenstarter

Beiträge: 5
#9 Also Ewido liefert folgendes ergebnis:

wido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.PSGuard
Path: HKU\S-1-5-21-1949208750-3513126244-1450059325-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
{75048700-EF1F-11D0-9888-006097DEACF9}\
Count\\HRZR_EHACNGU:p:\Cebtenzzr\Tnzrf\Jbeyq Phc 2002\svsn_havafg.rkr
Risk: Medium

Name: Adware.CoolWebSearch
Path: HKU\S-1-5-21-1949208750-3513126244-1450059325-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
{F1A47A8D-F491-B156-6813-12124A9B822C}
Risk: Medium

Name: Adware.SearchAssistant
Path: C:\Program Files\PestTrap\heur001.dll
Risk: Medium

Name: Adware.Pesttrap
Path: C:\Program Files\PestTrap\PestTrap.exe
Risk: Medium

Name: Adware.Spysheriff
Path: C:\Program Files\PestTrap\Uninstall.exe
Risk: Medium

Name: Downloader.Agent.kr
Path: C:\System Volume Information\_restore{E2ECF0F1-88B3-491F-A07E-CB181E0AE6F5}\RP194\A0079747.exe
Risk: High

Name: Adware.SearchAssistant
Path: C:\System Volume Information\_restore{E2ECF0F1-88B3-491F-A07E-CB181E0AE6F5}\RP199\A0082375.dll
Risk: Medium

Name: Downloader.Zlob.ec
Path: C:\System Volume Information\_restore{E2ECF0F1-88B3-491F-A07E-CB181E0AE6F5}\RP208\A0082831.exe
Risk: High

hab alle infectionen entfernt, dake nochmals für den Hinweis mit ewido zu testen.

Ich hab sowohl schon mit adaware als auch mit AVG und mit Spycatcher gesucht und die haben diese Infectionen nicht erkannt, gibt mir zu denken
Seitenanfang Seitenende
29.11.2006, 19:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
nach dem onlinescan:
"remove infections" klicken

««
Avenger

Zitat

Folders to delete:
C:\Program Files\PestTrap
»»
scanne mit Trend Micro Anti-Spyware for the Web
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende