Spyware Detection AlertThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
17.02.2007, 19:36
...neu hier
Beiträge: 9 |
||
|
||
17.02.2007, 23:40
Ehrenmitglied
Beiträge: 29434 |
#2
TrockenEis
«« wende vundofix an http://virus-protect.org/artikel/tools/vundofixx.html «« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k ººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººº Klicke: Start -Ausführen- schreib rein: cmd dann kopiere in das schwarze DOS-Fenster: del %windir%\temp\*.* /f klicke "enter" schreibe Y __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 03:27
...neu hier
Themenstarter Beiträge: 9 |
#3
Hallo Sabina,
vielen Dank für Deine Antwort. Hatte bisher noch folgendes durchgeführt: ********************* ****** Dritter Teil ****** ********************* Habe noch den ewido-online-scan gemacht: __________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Etracker Path: :mozilla.36:C:\Dokumente und Einstellungen\Lutz\Anwendungsdaten\Mozilla\Firefox\Profiles\ae5dat9h.default\cookies.txt Risk: Medium Name: TrackingCookie.Ivwbox Path: :mozilla.37:C:\Dokumente und Einstellungen\Lutz\Anwendungsdaten\Mozilla\Firefox\Profiles\ae5dat9h.default\cookies.txt Risk: Medium Name: TrackingCookie.Etracker Path: :mozilla.38:C:\Dokumente und Einstellungen\Lutz\Anwendungsdaten\Mozilla\Firefox\Profiles\ae5dat9h.default\cookies.txt Risk: Medium Name: TrackingCookie.Serving-sys Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc10.txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc13.txt Risk: Medium Name: TrackingCookie.Yadro Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc20.txt Risk: Medium Name: TrackingCookie.Adnet Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc22.txt Risk: Medium Name: TrackingCookie.Yieldmanager Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc23.txt Risk: Medium Name: TrackingCookie.Adbrite Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc25.txt Risk: Medium Name: TrackingCookie.Adrevolver Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc27.txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc29.txt Risk: Medium Name: TrackingCookie.Atdmt Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc30.txt Risk: Medium Name: TrackingCookie.Addcontrol Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc31.txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc36.txt Risk: Medium Name: TrackingCookie.Hotlog Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc42.txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc43.txt Risk: Medium Name: TrackingCookie.Komtrack Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc44.txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc50.txt Risk: Medium Name: TrackingCookie.Komtrack Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc51.txt Risk: Medium Name: TrackingCookie.Mediaplex Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc53.txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc59.txt Risk: Medium Name: TrackingCookie.Etracker Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc64.txt Risk: Medium Name: TrackingCookie.Adnet Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc68.txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc71.txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc72.txt Risk: Medium Name: TrackingCookie.Atdmt Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc73.txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc77.txt Risk: Medium Name: Not-A-Virus.Downloader.Win32.PopCap.a Path: C:\WINDOWS\Downloaded Program Files\popcaploader.dll Risk: Low Danach habe ich CounterSpy laufen lassen: Scan History Details Start Date: 18.02.2007 01:14:01 End Date: 18.02.2007 02:47:58 Total Time: 93 Min 57 Sec Detected security risks Advanced Computer Monitor Commercial Key Logger more information... Details: Advanced Computer Monitor is a tool for Windows 95/98/ME/NT/2K/XP that records computer activities. It will monitor keystrokes, take screenshots, log web pages visited and programs run. Advanced Computer Monitor can e-mail the logs or the logs can be copied to a network computer or can be viewed on the computer being monitored. Status: Deleted Files detected D:\addon\tts\setup.exe Packed.Win32.Klone.ab Trojan more information... Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32 ******* Vielen Dank ****** Werde jetzt noch Deine Tipps erledigen. Gruß TrockenEis ********************* ****** Vierter Teil ****** ********************* So, habe jetzt alles andere auch durchgeführt. Die Entfernung der Dateien aus dem "temp" Verzeichnis über das Eingabefenster hat jedoch für folgende Dateien nicht funktioniert, da sie gerade verwendet werden: CLML_AGENT_LOG1.txt sqlite_psSC7vS1AyFJUhv ******* Vielen Dank bis dahin ****** Was brauchst Du jetzt noch von mir, damit Du weißt, ob alles entfernt ist? Gruß TrockenEis Dieser Beitrag wurde am 18.02.2007 um 04:11 Uhr von TrockenEis editiert.
|
|
|
||
18.02.2007, 12:27
Ehrenmitglied
Beiträge: 29434 |
#4
1.
Anwenden vom avengerscript wenn der Rechner neustartet, erscheint ein log vom Avenger - poste es hier + noch mal die 6 logs von datfindbat 2. arbeite das ab und poste das log hier http://virus-protect.org/artikel/tools/comboscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 13:03
...neu hier
Themenstarter Beiträge: 9 |
#5
Hallo Sabina,
1. Avenger hat eine leere Textdatei nach dem Neustart erstellt. 2. Hier die aktuellen LOGs von DatFind: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\WINDOWS\system32 18.02.2007 10:57 2.206 wpa.dbl 18.02.2007 03:41 1.231.790 kspydoc.log 18.02.2007 01:14 0 SBFC.dat 18.02.2007 01:14 0 SBRC.dat 17.02.2007 22:05 0 Sweeper.cfg 10.02.2007 10:24 24.816 SBBD.exe 02.02.2007 06:56 1.634 EraserAHS.log 02.02.2007 06:56 28.506 coh.cache 02.02.2007 06:56 15.552 EraserAHS.tlg 25.01.2007 20:25 13.312 BASSMOD.dll 21.01.2007 13:14 48.776 S32EVNT1.DLL 20.01.2007 10:46 14.622 muzika.xm 16.01.2007 20:15 1.055 setup.inf 16.01.2007 20:15 283 setup.rpt 16.01.2007 20:15 161.540 ASTULog.cab 12.01.2007 20:03 2.323.072 TUKernel.exe 11.01.2007 06:34 430.786 perfh009.dat 11.01.2007 06:34 73.742 perfc009.dat 11.01.2007 06:34 450.662 perfh007.dat 11.01.2007 06:34 89.800 perfc007.dat 11.01.2007 06:34 1.058.620 PerfStringBackup.INI 08.01.2007 18:21 9.074 jupdate-1.5.0_10-b03.log 28.12.2006 16:13 516.832 capicom.dll 20.12.2006 21:05 520.192 ati2sgag.exe 17.12.2006 03:50 263.168 ati2dvag.dll 17.12.2006 03:44 118.784 atipdlxx.dll 17.12.2006 03:44 102.400 Oemdspif.dll 17.12.2006 03:44 26.112 Ati2mdxx.exe 17.12.2006 03:44 42.496 ati2edxx.dll 17.12.2006 03:44 110.592 ati2evxx.dll 17.12.2006 03:42 434.176 ati2evxx.exe 17.12.2006 03:42 53.248 ATIDDC.DLL 17.12.2006 03:41 307.200 atiiiexx.dll 17.12.2006 03:35 2.676.672 ati3duag.dll 17.12.2006 03:30 1.289.472 ativvaxx.dll 17.12.2006 03:30 3.107.788 ativvaxx.dat 17.12.2006 03:21 5.304.320 atioglxx.dll 17.12.2006 03:17 241.664 atikvmag.dll 17.12.2006 03:16 303.104 ATIDEMGR.dll 17.12.2006 03:16 17.408 atitvo32.dll 17.12.2006 03:10 315.392 ati2cqag.dll 28.11.2006 20:55 142.347 atiicdxx.dat 23.11.2006 16:45 24.072 uxtuneup.dll 21.11.2006 23:48 6.973 atifglpf.xml 09.11.2006 15:07 127.078 javaws.exe 09.11.2006 15:07 49.265 jpicpl32.cpl 09.11.2006 13:28 53.346 javaw.exe 09.11.2006 13:28 49.248 java.exe 09.11.2006 04:03 12.722 atioglgl.xml Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\DOKUME~1\Schiko\LOKALE~1\Temp 18.02.2007 12:56 336 WcesView.log 18.02.2007 12:50 512 ~DF2A96.tmp 18.02.2007 12:46 131.072 ~DF7DDD.tmp 18.02.2007 12:23 0 JETB9B5.tmp 18.02.2007 12:21 0 hs~7.tmp 18.02.2007 11:03 865 jusched.log 18.02.2007 11:00 16.384 Perflib_Perfdata_13e4.dat 18.02.2007 11:00 32.768 ~DFAECA.tmp 18.02.2007 10:59 16.384 Perflib_Perfdata_a90.dat 18.02.2007 10:58 375 WCESCOMM.LOG 18.02.2007 10:58 2.312 WCESLog.log 18.02.2007 04:03 32.768 ~DF63BF.tmp 18.02.2007 03:46 32.768 ~DF337A.tmp 17.02.2007 22:08 32.768 ~DFF59E.tmp 17.02.2007 19:59 32.768 ~DFC0B.tmp Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\WINDOWS 18.02.2007 11:02 451.988 WindowsUpdate.log 18.02.2007 10:56 4.186 ModemLog_Motorola SM56 Data Fax Modem.txt 18.02.2007 10:56 0 0.log 18.02.2007 10:56 2.048 bootstat.dat 18.02.2007 10:55 32.628 SchedLgU.Txt 18.02.2007 03:47 285.646 setupact.log 17.02.2007 22:51 672.021 setupapi.log 17.02.2007 19:48 690.906 ntbtlog.txt 17.02.2007 15:09 27.159 gc.exe 16.02.2007 21:33 1.149 wmsetup10.log 16.02.2007 21:33 101.123 wmsetup.log 15.02.2007 17:44 1.994 ModemLog_Standard Modem over IR link.txt 10.02.2007 06:29 47 wiaservc.log 10.02.2007 06:29 544 wiadebug.log 09.02.2007 21:13 9.015 CodeWallet Pro 2006 for Windows Mobile Setup Log.txt 03.02.2007 12:37 904 orun32.ini 21.01.2007 12:39 97.209 iis6.log 21.01.2007 12:39 237.211 comsetup.log 21.01.2007 12:39 145.730 ntdtcsetup.log 21.01.2007 12:39 266.407 tsoc.log 21.01.2007 12:39 1.374 imsins.log 21.01.2007 12:39 36.418 ocmsn.log 21.01.2007 12:39 15.882 KB893803v2.log 21.01.2007 12:39 365.192 ocgen.log 21.01.2007 12:39 33.854 msgsocm.log 21.01.2007 12:39 679.034 FaxSetup.log 17.01.2007 22:33 170 setup.log 16.01.2007 07:45 8.935 KB909394.log 16.01.2007 07:44 12.719 KB894476.log 11.01.2007 06:24 1.374 imsins.BAK 11.01.2007 06:24 135.408 updspapi.log 07.01.2007 21:14 69 NeroDigital.ini 10.12.2006 16:50 27.245 DirectX.log 26.11.2006 15:31 20.010 DPINST.LOG 17.11.2006 23:32 1.072.189.440 MEMORY.DMP 14.11.2006 22:42 57 TUTORI~1.INI 09.11.2006 18:30 36 verypdf.ini 01.11.2006 19:47 0 plclient.INI Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\WINDOWS\Temp 18.02.2007 10:57 409 WGANotify.settings 18.02.2007 10:57 255 WGAErrLog.txt 18.02.2007 10:56 0 sqlite_BmVYLUbqumOpqSd 18.02.2007 10:56 0 CLML_AGENT_LOG1.txt 18.02.2007 10:55 0 T30DebugLogFile.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\WINDOWS\Downloaded Program Files -*-*-*- Keine Einträge in den letzten drei Monaten -*-*-*- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\ 18.02.2007 12:57 0 sys.txt 18.02.2007 12:57 796 down.txt 18.02.2007 12:57 499 tmp.txt 18.02.2007 12:57 13.730 system.txt 18.02.2007 12:57 1.045 systemtemp.txt 18.02.2007 12:57 121.141 system32.txt 18.02.2007 11:02 774 SBCSTray.log 18.02.2007 10:56 1.072.156.672 hiberfil.sys 18.02.2007 10:56 1.610.612.736 pagefile.sys 18.02.2007 03:59 1.426 avenger.txt 18.02.2007 03:35 1.335 VundoFix.txt 18.02.2007 01:05 25.818 ewido-report.log 17.02.2007 22:31 7.879 datfind.txt 17.02.2007 22:13 1.828 SUPERAntiSpyware Scan Log.txt 17.02.2007 19:53 1.243 rapport.txt 22.01.2007 22:09 216 ASLog.txt 17.01.2007 22:33 0 DBS.TXT 12.01.2007 20:03 410 boot.ini 09.11.2006 18:30 93 pdfinfo.ini 3. ComboScan läuft gerade. Vielen Dank Gruß TrockenEis |
|
|
||
18.02.2007, 13:05
Ehrenmitglied
Beiträge: 29434 |
#6
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\gc.exe C:\WINDOWS\system32\SBBD.exe poste hier die reporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 13:11
...neu hier
Themenstarter Beiträge: 9 |
#7
Hier das ComboScanLog:
ComboScan v20070212.14 run by Schiko on 2007-02-18 at 13:04:22 Computer is in Normal Mode. -------------------------------------------------------------------------------- System Restore was disabled; re-enabling. Failed to create restore point: System Restore is disabled (service is not running). Performed disk cleanup. -- End of ComboScan: finished at 2007-02-18 at 13:10:10 ------------------------- --------------------------------------------------------------- VirusTotal - 1 --------------------------------------------------------------- Complete scanning result of "gc.exe", received in VirusTotal at 02.18.2007, 13:14:38 (CET). Antivirus Version Update Result AntiVir 7.3.1.37 02.17.2007 no virus found Authentium 4.93.8 02.16.2007 no virus found Avast 4.7.936.0 02.18.2007 no virus found AVG 386 02.17.2007 no virus found BitDefender 7.2 02.18.2007 no virus found CAT-QuickHeal 9.00 02.16.2007 (Suspicious) - DNAScan ClamAV devel-20060426 02.18.2007 no virus found DrWeb 4.33 02.18.2007 no virus found eSafe 7.0.14.0 02.18.2007 Win32.Polipos.sus eTrust-Vet 30.4.3410 02.18.2007 no virus found Ewido 4.0 02.18.2007 no virus found Fortinet 2.85.0.0 02.18.2007 PossibleThreat!024271 F-Prot 4.2.1.29 02.16.2007 no virus found F-Secure 6.70.13030.0 02.17.2007 no virus found Ikarus T3.1.0.31 02.18.2007 Trojan-Downloader.Win32.Zlob.and Kaspersky 4.0.2.24 02.18.2007 no virus found McAfee 4965 02.16.2007 no virus found Microsoft 1.2204 02.18.2007 no virus found NOD32v2 2068 02.18.2007 no virus found Norman 5.80.02 02.16.2007 W32/Suspicious_U.gen Panda 9.0.0.4 02.17.2007 Suspicious file Prevx1 V2 02.18.2007 Dropper.Payload Sophos 4.14.0 02.18.2007 no virus found Sunbelt 2.2.907.0 02.17.2007 VIPRE.Suspicious Symantec 10 02.18.2007 no virus found TheHacker 6.1.6.059 02.16.2007 no virus found UNA 1.83 02.16.2007 no virus found VBA32 3.11.2 02.17.2007 no virus found VirusBuster 4.3.19:9 02.17.2007 novirusacked/Upack Aditional Information File size: 27159 bytes MD5: 9318b3f2c9009e4858fb9612ae7c9f3a SHA1: 1b6704de61c9afda95ce4c77a268f4677e6521d0 packers: UPack Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=550d77920179 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. --------------------------------------------------------------- VirusTotal - 2 --------------------------------------------------------------- Complete scanning result of "SBBD.exe", received in VirusTotal at 02.18.2007, 13:20:32 (CET). Antivirus Version Update Result AntiVir 7.3.1.37 02.17.2007 no virus found Authentium 4.93.8 02.16.2007 no virus found Avast 4.7.936.0 02.18.2007 no virus found AVG 386 02.17.2007 no virus found BitDefender 7.2 02.18.2007 no virus found CAT-QuickHeal 9.00 02.16.2007 no virus found ClamAV devel-20060426 02.18.2007 no virus found DrWeb 4.33 02.18.2007 no virus found eSafe 7.0.14.0 02.18.2007 no virus found eTrust-Vet 30.4.3410 02.18.2007 no virus found Ewido 4.0 02.18.2007 no virus found Fortinet 2.85.0.0 02.18.2007 no virus found F-Prot 4.2.1.29 02.16.2007 no virus found F-Secure 6.70.13030.0 02.17.2007 no virus found Ikarus T3.1.0.31 02.18.2007 no virus found Kaspersky 4.0.2.24 02.18.2007 no virus found McAfee 4965 02.16.2007 no virus found Microsoft 1.2204 02.18.2007 no virus found NOD32v2 2068 02.18.2007 no virus found Norman 5.80.02 02.16.2007 no virus found Panda 9.0.0.4 02.17.2007 no virus found Prevx1 V2 02.18.2007 no virus found Sophos 4.14.0 02.18.2007 no virus found Sunbelt 2.2.907.0 02.17.2007 no virus found Symantec 10 02.18.2007 no virus found TheHacker 6.1.6.059 02.16.2007 no virus found UNA 1.83 02.16.2007 no virus found VBA32 3.11.2 02.17.2007 no virus found VirusBuster 4.3.19:9 02.17.2007 no virus found Aditional Information File size: 24816 bytes MD5: c98a1d575b8f39fd1c893d34e9e94ae1 SHA1: 9b042859dba6251199be1ce407024e11bb25b99f Gruß TrockenEis Dieser Beitrag wurde am 18.02.2007 um 17:18 Uhr von TrockenEis editiert.
|
|
|
||
18.02.2007, 13:22
Ehrenmitglied
Beiträge: 29434 |
#8
Avenger
Zitat Registry values to delete:----------------------------------------------------------------------- »» http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 13:36
...neu hier
Themenstarter Beiträge: 9 |
#9
Hier das Avenger LOG:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\qtpncrfk ******************* Script file located at: \??\C:\WINDOWS\system32\neblqavw.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\gc.exe deleted successfully. Folder C:\Programme\CrackZ-and-SerialZ-Sniper deleted successfully. Folder C:\WINDOWS\uninstall deleted successfully. Registry value HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{613E7B70-5380-4063-A060-C147AB994C02} deleted successfully. Completed script processing. ******************* Finished! Terminate. Rest folgt! Gruß TrockenEis |
|
|
||
18.02.2007, 14:10
Ehrenmitglied
Beiträge: 29434 |
||
|
||
18.02.2007, 14:13
...neu hier
Themenstarter Beiträge: 9 |
#11
Hier das LOG von SDFix
SDFix: Version 1.66 Run by Schiko - 18.02.2007 @ 13:54:26,17 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found... Gruß TrockenEis Dieser Beitrag wurde am 18.02.2007 um 17:17 Uhr von TrockenEis editiert.
|
|
|
||
18.02.2007, 14:18
Ehrenmitglied
Beiträge: 29434 |
#12
Avenger
kopiere rein: Zitat Registry values to delete:»» dann poste noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 14:34
...neu hier
Themenstarter Beiträge: 9 |
#13
Wow, was ein Aufwand ... Herzlichen Dank für Deine Zeit - Du bist ein Engel!!!
Hier das Avenger LOG: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\wohioyvq ******************* Script file located at: \??\C:\WINDOWS\system32\oikbrsrj.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not delete registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe Deletion of registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe failed! Could not process line: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe not found! Deletion of file C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe failed! Could not process line: C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. ... und die DatFind LOGs ... Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\WINDOWS\system32 18.02.2007 14:27 2.206 wpa.dbl 18.02.2007 03:41 1.231.790 kspydoc.log 18.02.2007 01:14 0 SBFC.dat 18.02.2007 01:14 0 SBRC.dat 17.02.2007 22:05 0 Sweeper.cfg 10.02.2007 10:24 24.816 SBBD.exe 02.02.2007 06:56 1.634 EraserAHS.log 02.02.2007 06:56 28.506 coh.cache 02.02.2007 06:56 15.552 EraserAHS.tlg 25.01.2007 20:25 13.312 BASSMOD.dll 21.01.2007 13:14 48.776 S32EVNT1.DLL 20.01.2007 10:46 14.622 muzika.xm 16.01.2007 20:15 1.055 setup.inf 16.01.2007 20:15 283 setup.rpt 16.01.2007 20:15 161.540 ASTULog.cab 12.01.2007 20:03 2.323.072 TUKernel.exe 11.01.2007 06:34 430.786 perfh009.dat 11.01.2007 06:34 73.742 perfc009.dat 11.01.2007 06:34 450.662 perfh007.dat 11.01.2007 06:34 89.800 perfc007.dat 11.01.2007 06:34 1.058.620 PerfStringBackup.INI 08.01.2007 18:21 9.074 jupdate-1.5.0_10-b03.log 28.12.2006 16:13 516.832 capicom.dll 20.12.2006 21:05 520.192 ati2sgag.exe 17.12.2006 03:50 263.168 ati2dvag.dll 17.12.2006 03:44 118.784 atipdlxx.dll 17.12.2006 03:44 102.400 Oemdspif.dll 17.12.2006 03:44 26.112 Ati2mdxx.exe 17.12.2006 03:44 42.496 ati2edxx.dll 17.12.2006 03:44 110.592 ati2evxx.dll 17.12.2006 03:42 434.176 ati2evxx.exe 17.12.2006 03:42 53.248 ATIDDC.DLL 17.12.2006 03:41 307.200 atiiiexx.dll 17.12.2006 03:35 2.676.672 ati3duag.dll 17.12.2006 03:30 1.289.472 ativvaxx.dll 17.12.2006 03:30 3.107.788 ativvaxx.dat 17.12.2006 03:21 5.304.320 atioglxx.dll 17.12.2006 03:17 241.664 atikvmag.dll 17.12.2006 03:16 303.104 ATIDEMGR.dll 17.12.2006 03:16 17.408 atitvo32.dll 17.12.2006 03:10 315.392 ati2cqag.dll 28.11.2006 20:55 142.347 atiicdxx.dat 23.11.2006 16:45 24.072 uxtuneup.dll 21.11.2006 23:48 6.973 atifglpf.xml 09.11.2006 15:07 127.078 javaws.exe 09.11.2006 15:07 49.265 jpicpl32.cpl 09.11.2006 13:28 53.346 javaw.exe 09.11.2006 13:28 49.248 java.exe 09.11.2006 04:03 12.722 atioglgl.xml Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\DOKUME~1\Schiko\LOKALE~1\Temp 18.02.2007 14:30 192 WcesView.log 18.02.2007 14:29 16.384 Perflib_Perfdata_f20.dat 18.02.2007 14:29 32.768 ~DF1215.tmp 18.02.2007 14:28 375 WCESCOMM.LOG 18.02.2007 14:28 16.384 Perflib_Perfdata_464.dat 18.02.2007 14:28 4.163 WCESLog.log 18.02.2007 14:15 346 jusched.log 18.02.2007 14:13 6.727 radarcache-default-1.gif 18.02.2007 14:11 32.768 ~DF148B.tmp 18.02.2007 13:32 32.768 ~DFBA29.tmp 18.02.2007 11:00 32.768 ~DFAECA.tmp Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\WINDOWS 18.02.2007 14:26 470.701 WindowsUpdate.log 18.02.2007 14:26 4.186 ModemLog_Motorola SM56 Data Fax Modem.txt 18.02.2007 14:26 0 0.log 18.02.2007 14:26 2.048 bootstat.dat 18.02.2007 14:25 32.628 SchedLgU.Txt 18.02.2007 13:47 881.948 ntbtlog.txt 18.02.2007 03:47 285.646 setupact.log 17.02.2007 22:51 672.021 setupapi.log 16.02.2007 21:33 1.149 wmsetup10.log 16.02.2007 21:33 101.123 wmsetup.log 15.02.2007 17:44 1.994 ModemLog_Standard Modem over IR link.txt 10.02.2007 06:29 47 wiaservc.log 10.02.2007 06:29 544 wiadebug.log 09.02.2007 21:13 9.015 CodeWallet Pro 2006 for Windows Mobile Setup Log.txt 03.02.2007 12:37 904 orun32.ini 21.01.2007 12:39 97.209 iis6.log 21.01.2007 12:39 237.211 comsetup.log 21.01.2007 12:39 145.730 ntdtcsetup.log 21.01.2007 12:39 266.407 tsoc.log 21.01.2007 12:39 36.418 ocmsn.log 21.01.2007 12:39 1.374 imsins.log 21.01.2007 12:39 15.882 KB893803v2.log 21.01.2007 12:39 365.192 ocgen.log 21.01.2007 12:39 33.854 msgsocm.log 21.01.2007 12:39 679.034 FaxSetup.log 17.01.2007 22:33 170 setup.log 16.01.2007 07:45 8.935 KB909394.log 16.01.2007 07:44 12.719 KB894476.log 11.01.2007 06:24 1.374 imsins.BAK 11.01.2007 06:24 135.408 updspapi.log 07.01.2007 21:14 69 NeroDigital.ini 10.12.2006 16:50 27.245 DirectX.log 26.11.2006 15:31 20.010 DPINST.LOG 17.11.2006 23:32 1.072.189.440 MEMORY.DMP 14.11.2006 22:42 57 TUTORI~1.INI 09.11.2006 18:30 36 verypdf.ini 01.11.2006 19:47 0 plclient.INI Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\WINDOWS\Temp 18.02.2007 14:27 409 WGANotify.settings 18.02.2007 14:26 0 sqlite_4P9sh3PBBAv8PPR 18.02.2007 14:26 0 CLML_AGENT_LOG1.txt 18.02.2007 14:26 255 WGAErrLog.txt 18.02.2007 13:28 0 T30DebugLogFile.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\WINDOWS\Downloaded Program Files -*-*-*- Keine Einträge in den letzten drei Monaten -*-*-*- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C4D-987C Verzeichnis von C:\ 18.02.2007 14:31 0 sys.txt 18.02.2007 14:31 590 down.txt 18.02.2007 14:31 499 tmp.txt 18.02.2007 14:31 13.686 system.txt 18.02.2007 14:31 865 systemtemp.txt 18.02.2007 14:31 121.141 system32.txt 18.02.2007 14:27 1.204 SBCSTray.log 18.02.2007 14:26 1.072.156.672 hiberfil.sys 18.02.2007 14:26 1.610.612.736 pagefile.sys 18.02.2007 14:25 3.094 avenger.txt 18.02.2007 13:02 7.072 datfind.txt 18.02.2007 03:35 1.335 VundoFix.txt 18.02.2007 01:05 25.818 ewido-report.log 17.02.2007 22:13 1.828 SUPERAntiSpyware Scan Log.txt 17.02.2007 19:53 1.243 rapport.txt 22.01.2007 22:09 216 ASLog.txt 17.01.2007 22:33 0 DBS.TXT 12.01.2007 20:03 410 boot.ini 09.11.2006 18:30 93 pdfinfo.ini Vielen Dank!!! Gruß TrockenEis |
|
|
||
18.02.2007, 14:57
Ehrenmitglied
Beiträge: 29434 |
#14
schau noch mal selbst in der registry nach, ob das noch vorhanden ist:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List| C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe falls ja: loeschen dann den Rechner neustarten »» dann sollte wieder alles i.o. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 15:20
...neu hier
Themenstarter Beiträge: 9 |
#15
In der Registry war die Datei noch vorhanden, Temp-Verzeichnis nicht mehr.
Ganz herzlichen Dank!!! Du bist klasse!!! Gruß TrockenEis |
|
|
||
Tja, leider hat es mich jetzt auch erwischt, aber leider kam ich mit der Hilfe unter "http://board.protecus.de/t26822.htm" nicht weiter.
Bei jedem Boot bekomme ich ein neues Symbol in der Taskleiste. Wenn ich darauf klicke, öffnet sich ein Kontextmenü, in welchem ich "open" oder "ignore" wählen kann. Beim Öffnen erscheint eine "Security Warning" mit der Überschrift "Spyware Detection Alert".
Gemäß einer anderen Website habe ich "Vundofix" laufen lassen. Es wurden drei DLL Dateien gefunden und gelöscht. Danach habe ich das Backup-Verzeichnis gelöscht und den Papierkorb geleert.
Folgende Dateien wurden gelöscht:
C:\WINDOWS\system32\cfhkj.bak1
C:\WINDOWS\system32\cfhkj.ini
C:\WINDOWS\system32\cfhkj.ini2
C:\WINDOWS\system32\cfhkj.tmp
C:\WINDOWS\system32\jkhfc.dll
"CleanUp" habe ich auch durchlaufen lassen, wie es auf der entsprechenden Website gefordert ist.
"ComboFix" läuft nicht, es erscheint folgende Meldung:
"The tool, ComboFix has been temporarily withdrawn.
The author discovered a rootkit infection that will intefere with ComboFix's running.
This will cause Combofix to be UNSAFE FOR USE on your machine.
Even if you manage to find a mirror for the tool, PLEASE DO NOT RUN THIS TOOL
Apologies for any inconvenience caused"
((("DatFind" erzeugt die Scripts gemäß der angehängten Datei.)))
Würde mich sehr freuen, wenn mir von Euch jemand weiterhelfen kann.
Gruß
TrockenEis
*********************************
****** Zweiter Teil ******
*********************************
Habe "SUPERAntiSpyware" laufen lassen und einiges gefunden sowie entfernt. Angehängt habe ich den LOG File (ersetzt den Anhang des ersten Teils).
"ComboFix" läuft allerdings immer noch nicht. Gleiche Fehlermeldung!
Habe noch die aktuellen Ergebnisse von "DatFind" und "HijackThis" gepostet in der Hoffnung, dass mir jemand helfen kann und auf meine Anfrage reagiert.
******* DatFind ******
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C
Verzeichnis von C:\WINDOWS\system32
17.02.2007 22:06 2.206 wpa.dbl
17.02.2007 22:05 1.231.628 kspydoc.log
17.02.2007 22:05 0 Sweeper.cfg
17.02.2007 22:04 514.084 aybeg.ini2
17.02.2007 21:05 513.850 aybeg.tmp
17.02.2007 19:53 0 tmp.txt
17.02.2007 19:53 4.806 tmp.reg
17.02.2007 19:08 143 mcrh.tmp
17.02.2007 17:57 498.759 aybeg.bak1
16.02.2007 20:15 409 rstwa.ini
02.02.2007 06:56 1.634 EraserAHS.log
02.02.2007 06:56 28.506 coh.cache
02.02.2007 06:56 15.552 EraserAHS.tlg
25.01.2007 20:25 13.312 BASSMOD.dll
21.01.2007 13:14 48.776 S32EVNT1.DLL
20.01.2007 10:46 14.622 muzika.xm
16.01.2007 20:15 283 setup.rpt
16.01.2007 20:15 1.055 setup.inf
16.01.2007 20:15 161.540 ASTULog.cab
12.01.2007 20:03 2.323.072 TUKernel.exe
11.01.2007 06:34 430.786 perfh009.dat
11.01.2007 06:34 450.662 perfh007.dat
11.01.2007 06:34 73.742 perfc009.dat
11.01.2007 06:34 89.800 perfc007.dat
11.01.2007 06:34 1.058.620 PerfStringBackup.INI
08.01.2007 18:21 9.074 jupdate-1.5.0_10-b03.log
20.12.2006 21:05 520.192 ati2sgag.exe
17.12.2006 03:50 263.168 ati2dvag.dll
17.12.2006 03:44 118.784 atipdlxx.dll
17.12.2006 03:44 102.400 Oemdspif.dll
17.12.2006 03:44 26.112 Ati2mdxx.exe
17.12.2006 03:44 42.496 ati2edxx.dll
17.12.2006 03:44 110.592 ati2evxx.dll
17.12.2006 03:42 434.176 ati2evxx.exe
17.12.2006 03:42 53.248 ATIDDC.DLL
17.12.2006 03:41 307.200 atiiiexx.dll
17.12.2006 03:35 2.676.672 ati3duag.dll
17.12.2006 03:30 1.289.472 ativvaxx.dll
17.12.2006 03:30 3.107.788 ativvaxx.dat
17.12.2006 03:21 5.304.320 atioglxx.dll
17.12.2006 03:17 241.664 atikvmag.dll
17.12.2006 03:16 303.104 ATIDEMGR.dll
17.12.2006 03:16 17.408 atitvo32.dll
17.12.2006 03:10 315.392 ati2cqag.dll
28.11.2006 20:55 142.347 atiicdxx.dat
23.11.2006 16:45 24.072 uxtuneup.dll
21.11.2006 23:48 6.973 atifglpf.xml
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
09.11.2006 04:03 12.722 atioglgl.xml
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C
Verzeichnis von C:\DOKUME~1\Schiko\LOKALE~1\Temp
17.02.2007 22:26 96 WcesView.log
17.02.2007 22:23 512 ~DF8926.tmp
17.02.2007 22:12 346 jusched.log
17.02.2007 22:08 16.384 Perflib_Perfdata_5e0.dat
17.02.2007 22:08 32.768 ~DFF59E.tmp
17.02.2007 22:08 16.384 Perflib_Perfdata_acc.dat
17.02.2007 22:07 929 WCESLog.log
17.02.2007 22:07 375 WCESCOMM.LOG
17.02.2007 19:59 32.768 ~DFC0B.tmp
17.02.2007 18:07 691.676 _iu14D2N.tmp
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C
Verzeichnis von C:\WINDOWS
17.02.2007 22:13 426.872 WindowsUpdate.log
17.02.2007 22:06 4.186 ModemLog_Motorola SM56 Data Fax Modem.txt
17.02.2007 22:05 0 0.log
17.02.2007 22:05 2.048 bootstat.dat
17.02.2007 22:04 32.628 SchedLgU.Txt
17.02.2007 19:53 285.586 setupact.log
17.02.2007 19:48 690.906 ntbtlog.txt
17.02.2007 15:09 27.159 gc.exe
17.02.2007 15:08 671.539 setupapi.log
16.02.2007 21:33 1.149 wmsetup10.log
16.02.2007 21:33 101.123 wmsetup.log
15.02.2007 17:44 1.994 ModemLog_Standard Modem over IR link.txt
10.02.2007 06:29 47 wiaservc.log
10.02.2007 06:29 544 wiadebug.log
09.02.2007 21:13 9.015 CodeWallet Pro 2006 for Windows Mobile Setup Log.txt
03.02.2007 12:37 904 orun32.ini
21.01.2007 12:39 97.209 iis6.log
21.01.2007 12:39 237.211 comsetup.log
21.01.2007 12:39 145.730 ntdtcsetup.log
21.01.2007 12:39 266.407 tsoc.log
21.01.2007 12:39 1.374 imsins.log
21.01.2007 12:39 36.418 ocmsn.log
21.01.2007 12:39 15.882 KB893803v2.log
21.01.2007 12:39 365.192 ocgen.log
21.01.2007 12:39 33.854 msgsocm.log
21.01.2007 12:39 679.034 FaxSetup.log
17.01.2007 22:33 170 setup.log
16.01.2007 07:45 8.935 KB909394.log
16.01.2007 07:44 12.719 KB894476.log
11.01.2007 06:24 1.374 imsins.BAK
11.01.2007 06:24 135.408 updspapi.log
07.01.2007 21:14 69 NeroDigital.ini
10.12.2006 16:50 27.245 DirectX.log
26.11.2006 15:31 20.010 DPINST.LOG
17.11.2006 23:32 1.072.189.440 MEMORY.DMP
14.11.2006 22:42 57 TUTORI~1.INI
09.11.2006 18:30 36 verypdf.ini
01.11.2006 19:47 0 plclient.INI
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C
Verzeichnis von C:\WINDOWS\Temp
17.02.2007 22:06 409 WGANotify.settings
17.02.2007 22:06 255 WGAErrLog.txt
17.02.2007 22:06 0 sqlite_MVAbaQ0cTpb6SMu
17.02.2007 22:06 0 CLML_AGENT_LOG1.txt
17.02.2007 22:01 0 win1C.tmp
17.02.2007 21:43 0 win1B.tmp
17.02.2007 21:43 0 win1A.tmp
17.02.2007 21:43 0 win19.tmp
17.02.2007 21:43 0 win18.tmp
17.02.2007 21:41 0 win17.tmp
17.02.2007 21:19 0 win16.tmp
17.02.2007 20:57 0 win15.tmp
17.02.2007 20:35 0 win14.tmp
17.02.2007 20:13 0 win13.tmp
17.02.2007 20:11 0 win12.tmp
17.02.2007 20:09 0 win11.tmp
17.02.2007 20:07 0 winF.tmp
17.02.2007 20:05 0 win9.tmp
17.02.2007 19:46 0 T30DebugLogFile.txt
17.02.2007 19:44 0 winE.tmp
17.02.2007 19:42 1.043 winD.tmp
17.02.2007 19:24 0 winC.tmp
17.02.2007 19:02 0 win8.tmp
23 Datei(en) 1.707 Bytes
0 Verzeichnis(se), 17.035.489.280 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C
Verzeichnis von C:\WINDOWS\Downloaded Program Files
-*-*-*- keine Eintragungen aus den letzten drei Monaten -*-*-*-
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C
Verzeichnis von C:\
17.02.2007 22:27 0 sys.txt
17.02.2007 22:27 793 down.txt
17.02.2007 22:27 1.339 tmp.txt
17.02.2007 22:27 13.730 system.txt
17.02.2007 22:27 803 systemtemp.txt
17.02.2007 22:27 120.988 system32.txt
17.02.2007 22:13 1.828 SUPERAntiSpyware Scan Log.txt
17.02.2007 22:05 1.072.156.672 hiberfil.sys
17.02.2007 22:05 1.610.612.736 pagefile.sys
17.02.2007 19:53 1.243 rapport.txt
17.02.2007 19:40 462 avenger.txt
17.02.2007 19:34 8.139 datfind.txt
17.02.2007 17:39 1.090 VundoFix.txt
22.01.2007 22:09 216 ASLog.txt
17.01.2007 22:33 0 DBS.TXT
12.01.2007 20:03 410 boot.ini
09.11.2006 18:30 93 pdfinfo.ini
******* HijackThis ******
Logfile of HijackThis v1.99.1
Scan saved at 22:32:47, on 17.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
******* Vielen Dank ******
Ich hoffe, dass sich jemand meldet und mir helfen kann. Bin kein Profi und habe somit relativ wenig Ahnung davon -> also ziemlich LOST.
Gruß
TrockenEis