Programm gebbauxu (oder so) spyware?

#16 kopiere das script noch mal rein (ich habe was veraendert) - dann sieh, dass der rechner wenigstens rebootet, dann poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#17

da gibs nen komisches prob. ich kann meine firewall anlassen-> avenger zeigt keine fehlermeldung O.o?! sollte ich dies mal ausprobiern oder vllt sogar ohne firewall mit fehlermeldung ?

#18 kopiere es einfach rein, oder loesche alles, was im script vom avenger ist manuell im abgesicherten modus, dann poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#19 wie lösche ich das script den manuell?

habs mal einfach mit der fehlermeldung durchgezogen und rebootet



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vkcmfdtd

*******************

Script file located at: \??\C:\WINDOWS\ddfmrhjm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\hggfgfe.dll not found!
Deletion of file C:\WINDOWS\system32\hggfgfe.dll failed!

Could not process line:
C:\WINDOWS\system32\hggfgfe.dll
Status: 0xc0000034



File C:\WINDOWS\system32\opnmklj.dll not found!
Deletion of file C:\WINDOWS\system32\opnmklj.dll failed!

Could not process line:
C:\WINDOWS\system32\opnmklj.dll
Status: 0xc0000034



File C:\WINDOWS\system32\nixwggag.txt not found!
Deletion of file C:\WINDOWS\system32\nixwggag.txt failed!

Could not process line:
C:\WINDOWS\system32\nixwggag.txt
Status: 0xc0000034



File C:\WINDOWS\system32\algose32.exe not found!
Deletion of file C:\WINDOWS\system32\algose32.exe failed!

Could not process line:
C:\WINDOWS\system32\algose32.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hujjaz.bat not found!
Deletion of file C:\WINDOWS\system32\hujjaz.bat failed!

Could not process line:
C:\WINDOWS\system32\hujjaz.bat
Status: 0xc0000034



File C:\WINDOWS\system32\ogumnq.exe not found!
Deletion of file C:\WINDOWS\system32\ogumnq.exe failed!

Could not process line:
C:\WINDOWS\system32\ogumnq.exe
Status: 0xc0000034



File C:\WINDOWS\system32\sezpnnq.exe not found!
Deletion of file C:\WINDOWS\system32\sezpnnq.exe failed!

Could not process line:
C:\WINDOWS\system32\sezpnnq.exe
Status: 0xc0000034



File C:\WINDOWS\system32\awwiiax.exe not found!
Deletion of file C:\WINDOWS\system32\awwiiax.exe failed!

Could not process line:
C:\WINDOWS\system32\awwiiax.exe
Status: 0xc0000034



File C:\WINDOWS\system32\eqlgop.bat not found!
Deletion of file C:\WINDOWS\system32\eqlgop.bat failed!

Could not process line:
C:\WINDOWS\system32\eqlgop.bat
Status: 0xc0000034



File C:\WINDOWS\system32\ntfscryp.inf not found!
Deletion of file C:\WINDOWS\system32\ntfscryp.inf failed!

Could not process line:
C:\WINDOWS\system32\ntfscryp.inf
Status: 0xc0000034



File C:\WINDOWS\system32\bling.exe not found!
Deletion of file C:\WINDOWS\system32\bling.exe failed!

Could not process line:
C:\WINDOWS\system32\bling.exe
Status: 0xc0000034



File C:\cdgbddcd.bat not found!
Deletion of file C:\cdgbddcd.bat failed!

Could not process line:
C:\cdgbddcd.bat
Status: 0xc0000034



File C:\fclsvefs.bat not found!
Deletion of file C:\fclsvefs.bat failed!

Could not process line:
C:\fclsvefs.bat
Status: 0xc0000034



File C:\WINDOWS\Temp\rtdrvmon.exe not found!
Deletion of file C:\WINDOWS\Temp\rtdrvmon.exe failed!

Could not process line:
C:\WINDOWS\Temp\rtdrvmon.exe
Status: 0xc0000034



File C:\WINDOWS\Temp\~DFD151.tmp not found!
Deletion of file C:\WINDOWS\Temp\~DFD151.tmp failed!

Could not process line:
C:\WINDOWS\Temp\~DFD151.tmp
Status: 0xc0000034



File C:\WINDOWS\Temp\removalfile.bat not found!
Deletion of file C:\WINDOWS\Temp\removalfile.bat failed!

Could not process line:
C:\WINDOWS\Temp\removalfile.bat
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\jl2kodiw.zip not found!
Deletion of file C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\jl2kodiw.zip failed!

Could not process line:
C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\jl2kodiw.zip
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\f5dvl8o1.zip not found!
Deletion of file C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\f5dvl8o1.zip failed!

Could not process line:
C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\f5dvl8o1.zip
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\b1shx83t.zip not found!
Deletion of file C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\b1shx83t.zip failed!

Could not process line:
C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\b1shx83t.zip
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\94598.dmp not found!
Deletion of file C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\94598.dmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\94598.dmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\9230C.dmp not found!
Deletion of file C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\9230C.dmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\9230C.dmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\90B2F.dmp not found!
Deletion of file C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\90B2F.dmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Wandang\Lokale Einstellungen\Temp\90B2F.dmp
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

mache die datfind nach dem manuellen löschen vom avengerscript^^

#20 nun poste wieder die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#21 ok:

1.system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C2F-83DF

Verzeichnis von C:\WINDOWS\system32

25.02.2007 14:18 93.184 wuauclt5.exe
25.02.2007 14:18 68 o
25.02.2007 14:18 397.312 msb.exe
25.02.2007 14:13 21.534 OODBS.lor
25.02.2007 11:00 311.604 perfh009.dat
25.02.2007 11:00 316.594 perfh007.dat
25.02.2007 11:00 39.992 perfc009.dat
25.02.2007 11:00 48.156 perfc007.dat
25.02.2007 11:00 723.744 PerfStringBackup.INI
21.02.2007 14:11 2.206 wpa.dbl


PS: grade hat wuauc (oder wie das hiess) einen fehler festgestellt und musste beendet werden....

€: es war "wuauclt5.exe"

#22 1.
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\wuauclt5.exe
C:\WINDOWS\system32\o
C:\WINDOWS\system32\msb.exe

2.
http://virus-protect.org/artikel/tools/winpfind3.html
poste das log von WinPFind3.txt
__________
MfG Sabina

rund um die PC-Sicherheit

#23 avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pfmsjshw

*******************

Script file located at: \??\C:\Program Files\cuqjtxqn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\wuauclt5.exe not found!
Deletion of file C:\WINDOWS\system32\wuauclt5.exe failed!

Could not process line:
C:\WINDOWS\system32\wuauclt5.exe
Status: 0xc0000034



File C:\WINDOWS\system32\o not found!
Deletion of file C:\WINDOWS\system32\o failed!

Could not process line:
C:\WINDOWS\system32\o
Status: 0xc0000034



File C:\WINDOWS\system32\msb.exe not found!
Deletion of file C:\WINDOWS\system32\msb.exe failed!

Could not process line:
C:\WINDOWS\system32\msb.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


das mit dem windings (sry namen vergessen) 2te prog halt: hat sich beim scannen erstmal festgelaufen .. nur zur info.

2ter durchlauf läuft gerade...

#24 ««
http://virus-protect.org/artikel/tools/winpfind3.html
poste das log von WinPFind3.txt

+
noch mal das erste log von datfindbat (System32)
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C2F-83DF

Verzeichnis von C:\WINDOWS\system32

25.02.2007 15:38 26.637 fccyvww.dll
25.02.2007 15:31 22.116 OODBS.lor
25.02.2007 11:00 39.992 perfc009.dat
25.02.2007 11:00 48.156 perfc007.dat
25.02.2007 11:00 316.594 perfh007.dat
25.02.2007 11:00 311.604 perfh009.dat
25.02.2007 11:00 723.744 PerfStringBackup.INI
21.02.2007 14:11 2.206 wpa.dbl
16.02.2007 21:38 413 $winnt$.inf
16.02.2007 21:35 25.065 wmpscheme.xml
16.02.2007 21:35 16.832 amcompat.tlb



€: Winpfind3u hat wieder keine rückmeldung O.o bei der 6ten datei schon
€2: winpfind3u hat durchgehend 99% auslastung... normal?
€3: " schon zum 4ten mal versucht... meist schon beim starten der "scanning file creation dates" am festlaufen.. bzw unereichbar O.o

#26 ««Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\fccyvww.dll

««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
http://virus-protect.org/artikel/tools/winpfind3.html
poste das log von WinPFind3.txt

«
poste noch mal das erste log von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#27 normalerweise mach ich alle bereinigungen mit tuneup 2007...


avenger hatte erfolg:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qgwdwbow

*******************

Script file located at: \??\C:\Program Files\mwlnjvmq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\fccyvww.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#28 ««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
http://virus-protect.org/artikel/tools/winpfind3.html
poste das log von WinPFind3.txt

«
poste noch mal das erste log von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#29 ja sabina ich weiss es ja^^
ich editier die beiträge dann wenn ich sie schrittweise fertig habe:-P.. wenne möchtest mach ich nächste mal alles in einem rutsch^^

ich geb dir die erste datfind textdatei, da winpfind3u immer noch net tut... oder sollte ich es mal 30 min durchlaufen lassen?

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C2F-83DF

Verzeichnis von C:\WINDOWS\system32

25.02.2007 15:56 454.397 ddeeg.ini2
25.02.2007 15:53 454.365 ddeeg.tmp
25.02.2007 15:50 22.698 OODBS.lor
25.02.2007 15:47 355 rqflwiqe.ini
25.02.2007 15:44 452.006 ddeeg.bak1
25.02.2007 15:43 281.652 geedd.dll
25.02.2007 15:43 0 eraseme_87453.exe
25.02.2007 11:00 311.604 perfh009.dat
25.02.2007 11:00 316.594 perfh007.dat
25.02.2007 11:00 48.156 perfc007.dat
25.02.2007 11:00 39.992 perfc009.dat
25.02.2007 11:00 723.744 PerfStringBackup.INI
21.02.2007 14:11 2.206 wpa.dbl


€dit: hab jetzt winpfind3u etwa 20 min an... regt sich leider überhauptnichts.
nun will ich das mal im abgesicherten modus versuchen. meien frage: ist das ratsam oder vllt sogar gefährlich oder nutzlos? gefährlich is eigentlich übertrieben merk ich grad... wird ja nur gescannt und nich verändert... also kann ichs so versuchen nicht wahr?

#30 Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geedd

files to delete:
C:\WINDOWS\system32\ddeeg.ini2
C:\WINDOWS\system32\ddeeg.tmp
C:\WINDOWS\system32\rqflwiqe.ini
C:\WINDOWS\system32\ddeeg.bak1
C:\WINDOWS\system32\geedd.dll
C:\WINDOWS\system32\eraseme_87453.exe

»»
scanne im normalmodus und im abges.Modus und poste den report
http://virus-protect.org/ewido.html

»»
poste das neue log vom HijackThis + das erste log von datfindbat
und wende winpfind3 im abges.modus an
__________
MfG Sabina

rund um die PC-Sicherheit