System Alert von Virus Protect pro |
||
---|---|---|
#0
| ||
15.08.2007, 15:44
...neu hier
Beiträge: 1 |
||
|
||
15.08.2007, 16:04
Moderator
Beiträge: 7805 |
#2
Nutze bitte erst smitfraudfix zum reinigen: http://siri.geekstogo.com/SmitfraudFix_De.php
und danach bitte folgende Dinge posten: http://board.protecus.de/t23187.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.09.2007, 00:06
...neu hier
Beiträge: 4 |
#3
Hi Leute,
Nach einigem Lesen bin ich auch dahinter gestiegen, daß ich mir einen sog. ZLOB eingefangen habe (System alert....), der auf VirusProtectPro zurückzuführen ist. Wenn ich aber SmitFraudFix runterladen will (ich folge hier dem Link, der in versch. Threads angegeben ist), meldet mir AntiVir, das diese Datei einem "Dropper" entspricht. Wie ist das zu verstehen? |
|
|
||
11.09.2007, 02:33
Ehrenmitglied
Beiträge: 6028 |
||
|
||
11.09.2007, 13:12
...neu hier
Beiträge: 4 |
#5
Hi Arnold,
Habe den Hinweis ganz unten auf der Download page übersehen, daher mein Zweifel über die Bonität von SmitFraudFix. Folgendes Ergebnis so far: Nach Durchführen von SmitFraudFix (wie auf der Downloadpage angegeben) taucht die PopUp aus der Taskleiste nicht mehr auf. Auch das bisher blinkende Icon ist weg. Habe danach ATFcleaner, Combofix, HiJackThis und datafind ausgeführt Hier die Logs: ________________________________________________ Combofix - Log: --------------- ComboFix 07-09-10.6 - "PeterW" 2007-09-11 12:31:46.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.38 [GMT 2:00] * Created a new restore point . ((((((((((((((((((((((( Dateien erstellt von 2007-08-11 bis 2007-09-11 )))))))))))))))))))))))))))))) . 2007-09-11 12:30 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-11 11:54 1,618 --a------ C:\WINDOWS\system32\tmp.reg 2007-09-11 11:49 <DIR> d-------- C:\HiJackThis 2007-09-09 11:20 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-09-09 11:20 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-09-09 11:20 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2007-09-09 11:06 <DIR> d-------- C:\DOKUME~1\PeterW\ANWEND~1\Opera 2007-09-08 23:45 <DIR> d-------- C:\Programme\Opera 2007-09-08 01:38 <DIR> d-------- C:\Programme\Avira 2007-09-08 01:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira 2007-09-07 16:25 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP 2007-09-07 16:07 <DIR> d-------- C:\DOKUME~1\PeterW\ANWEND~1\Google 2007-09-07 16:06 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google 2007-09-02 08:59 <DIR> d-------- C:\Programme\CDex_140b9 2007-08-12 02:25 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-09 11:20 --------- d-------- C:\Programme\Winamp 2007-09-08 01:38 --------- d-------- C:\Programme\AVPersonal 2007-09-07 17:51 --------- d-------- C:\Programme\Google 2007-09-02 11:24 --------- d-------- C:\DOKUME~1\PeterW\ANWEND~1\Corel 2007-08-12 02:29 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2007-08-12 02:28 --------- d--h----- C:\Programme\InstallShield Installation Information 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll 2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll 2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll 2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C3C4699-B285-475F-BE47-0B26088CE876}] C:\Programme\Video ActiveX Access\iesplg.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 17:05] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-09-07 17:53] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-09-07 16:06] C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26] Microsoft Office.lnk - C:\Programme\Office2K\Office\OSA9.EXE [1999-02-17 22:05:56] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\WINDOWS\system32\__c00DEA33.dat R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys R3 ALiIRDA;ALi-Infrarotgerätetreiber;C:\WINDOWS\system32\DRIVERS\alifir.sys R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-11 12:36:11 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-09-11 12:38:48 . --- E O F --- ________________________________________________________ HiJackThis - Log: ---------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:46:10, on 11.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\atievxx.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\PeterW\Desktop\HJT.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1C3C4699-B285-475F-BE47-0B26088CE876} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office2K\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189174216317 O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00DEA33.dat O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 3464 bytes __________________________________________________________ Datafind - Log: -------------- . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datentr„ger in Laufwerk C: ist Kwickee Volumeseriennummer: 300D-9D20 Verzeichnis von C:\WINDOWS\system32 11.09.2007 12:15 0 tmp.txt 11.09.2007 12:15 1.618 tmp.reg 11.09.2007 11:59 2.206 wpa.dbl 08.09.2007 16:03 380.684 perfh009.dat 08.09.2007 16:03 53.098 perfc009.dat 08.09.2007 16:03 391.574 perfh007.dat 08.09.2007 16:03 63.976 perfc007.dat 08.09.2007 16:03 897.954 PerfStringBackup.INI 08.09.2007 15:58 452.472 FNTCACHE.DAT 08.09.2007 15:38 128.914 TZLog.log 02.08.2007 21:34 16.789.464 MRT.exe 30.07.2007 19:20 30.040 wuaucpl.cpl.mui 30.07.2007 19:20 30.040 wuapi.dll.mui 30.07.2007 19:19 203.096 wuweb.dll 30.07.2007 19:19 1.712.984 wuaueng.dll 30.07.2007 19:19 549.720 wuapi.dll 30.07.2007 19:19 325.976 wucltui.dll 30.07.2007 19:19 216.408 wuaucpl.cpl 30.07.2007 19:19 92.504 cdm.dll 30.07.2007 19:19 53.080 wuauclt.exe 30.07.2007 19:19 43.352 wups2.dll 30.07.2007 19:18 34.136 wucltui.dll.mui 30.07.2007 19:18 33.624 wups.dll 30.07.2007 19:18 20.824 wuaueng.dll.mui 22.07.2007 18:39 279.552 swreg.exe 18.07.2007 14:42 60.416 tzchange.exe 26.06.2007 16:39 671.232 wininet.dll 26.06.2007 08:08 1.104.896 msxml3.dll 19.06.2007 15:31 282.112 gdi32.dll 15.06.2007 10:13 619.008 urlmon.dll 15.06.2007 10:13 474.624 shlwapi.dll 15.06.2007 10:13 532.480 mstime.dll 15.06.2007 10:13 39.424 pngfilt.dll 15.06.2007 10:13 1.498.112 shdocvw.dll 15.06.2007 10:13 3.085.312 mshtml.dll 15.06.2007 10:13 146.432 msrating.dll 15.06.2007 10:13 449.024 mshtmled.dll 15.06.2007 10:13 55.808 extmgr.dll 15.06.2007 10:13 152.064 cdfview.dll 15.06.2007 10:13 1.022.976 browseui.dll 15.06.2007 10:13 1.056.256 danim.dll 15.06.2007 10:13 16.384 jsproxy.dll 15.06.2007 10:13 205.824 dxtrans.dll 15.06.2007 10:13 96.768 inseng.dll 15.06.2007 10:13 251.904 iepeers.dll 15.06.2007 10:13 357.888 dxtmsft.dll 14.06.2007 12:56 373.760 xpsp3res.dll 17.05.2007 13:28 549.376 oleaut32.dll 16.05.2007 17:11 683.520 inetcomm.dll 30.04.2007 08:20 5.537.792 wmp.dll 25.04.2007 16:22 144.896 schannel.dll 24.04.2007 11:32 1.485.696 LegitCheckControl.dll 18.04.2007 18:13 2.854.400 msi.dll 16.04.2007 17:53 1.058.304 kernel32.dll 17.03.2007 15:44 293.376 winsrv.dll 08.03.2007 17:36 40.960 mf3216.dll 08.03.2007 17:36 579.072 user32.dll 08.03.2007 17:32 1.843.712 win32k.sys 08.03.2007 01:51 64.760 pxcpya64.exe 08.03.2007 01:51 510.712 pxdrv.dll 08.03.2007 01:51 72.440 pxhpinst.exe 08.03.2007 01:51 547.576 px.dll 08.03.2007 01:51 187.128 pxmas.dll 08.03.2007 01:51 1.628.920 pxsfs.dll 08.03.2007 01:51 379.640 pxwave.dll 08.03.2007 01:51 39.672 vxblock.dll 08.03.2007 01:51 64.760 pxinsa64.exe 08.03.2007 01:51 129.784 pxafs.dll 28.02.2007 18:02 2.059.904 ntkrnlpa.exe 28.02.2007 18:02 2.182.656 ntoskrnl.exe 05.02.2007 22:18 185.856 upnphost.dll 23.01.2007 21:30 546.304 hhctrl.ocx 22.12.2006 12:28 271.360 mscoree.dll 19.12.2006 23:49 135.168 shsvcs.dll 19.12.2006 23:49 8.494.592 shell32.dll 19.12.2006 20:17 334.336 wiaservc.dll 07.12.2006 07:29 2.374.472 wmvcore.dll 01.12.2006 05:20 212.480 swxcacls.exe 29.11.2006 17:21 370.688 swsc.exe 27.11.2006 16:54 539.136 msftedit.dll 27.11.2006 16:54 433.152 riched20.dll 27.11.2006 02:34 49.152 VFind.exe 17.11.2006 16:14 14.640 spmsg.dll 01.11.2006 21:17 927.504 mfc40u.dll 20.10.2006 03:38 715.776 sxs.dll 16.10.2006 18:15 126.976 oledlg.dll 14.10.2006 10:13 981.760 mfc42u.dll 13.10.2006 14:35 64.000 nwapi32.dll 13.10.2006 14:35 146.432 nwprovau.dll 13.10.2006 14:35 65.536 nwwks.dll 25.08.2006 17:46 617.472 comctl32.dll 24.08.2006 13:19 246.814 strmdll.dll 24.08.2006 13:17 500.278 dxmasf.dll 21.08.2006 14:26 16.896 fltlib.dll 21.08.2006 11:14 23.040 fltmc.exe 17.08.2006 14:28 132.096 wkssvc.dll 17.08.2006 14:28 332.288 netapi32.dll 17.08.2006 14:28 729.600 lsasrv.dll 16.08.2006 13:58 100.352 6to4svc.dll 21.07.2006 10:29 72.704 hlink.dll 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 22.06.2006 12:47 181.248 rasmans.dll 22.06.2006 07:06 1.441.792 query.dll 22.06.2006 07:06 69.120 ciodm.dll 01.06.2006 20:47 163.840 jgdw400.dll 01.06.2006 20:47 27.648 jgpl400.dll |
|
|
||
11.09.2007, 14:26
Ehrenmitglied
Beiträge: 6028 |
#6
Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {1C3C4699-B285-475F-BE47-0B26088CE876} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O20 - AppInit_DLLs:C:\WINDOWS\system32\__c00DEA33.dat klicke:Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Files to delete: C:\WINDOWS\system32\__c00DEA33.dat Registry keys to delete: [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C3C4699-B285-475F-BE47-0B26088CE876}] schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen __________ MfG Argus |
|
|
||
11.09.2007, 15:58
...neu hier
Beiträge: 4 |
#7
Hi Arnold,
Hier der Log von Avenger. Hab ich etwas falsch gemacht, oder warum konnte Avenger die Einträge nicht finden? __________________________________________________ Anvenger - Log: --------------- Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\woeybpft ******************* Script file located at: \??\C:\xctswqqp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at a:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\__c00DEA33.dat not found! Deletion of file C:\WINDOWS\system32\__c00DEA33.dat failed! Could not process line: C:\WINDOWS\system32\__c00DEA33.dat Status: 0xc0000034 Could not open registry key [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C3C4699-B285-475F-BE47-0B26088CE876}] for deletion Deletion of registry key [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C3C4699-B285-475F-BE47-0B26088CE876}] failed! Status: 0xc000003b Completed script processing. ******************* Finished! Terminate. |
|
|
||
11.09.2007, 16:57
Ehrenmitglied
Beiträge: 6028 |
#8
Kannst du mal nach C:\WINDOWS\system32\__c00DEA33.dat schauen ob er noch da ist?
Edit Installiere Spybot s&d Entferne beim Installieren das Haeckchen bei Teatimer Nachdem alles installiert ist benutze die Immunisier funktion Installiere AVG Anti Spyware 7.5 http://board.protecus.de/t29853.htm __________ MfG Argus |
|
|
||
11.09.2007, 21:09
...neu hier
Beiträge: 4 |
#9
Hi Arnold,
Merci beaucoup bis hier. Die Datei: C:\WINDOWS\system32\__c00DEA33.dat kann ich nicht mehr finden. Auch als versteckte oder Systemdatei zeigt der WinExplorer sie nicht an. Bei mir lief zwar schon eine ältere Version (jedoch regelmäßig upgedated) von spybot, aber ich aber die neuere überinstalliert. AVG hat noch so einige Sachen gefunden (siehe Bericht-Log im Anhang: AVG.txt) Wenn von Dir keine weiteren Vorschläge mehr kommen, denke ich, dass mein Rechner nun relativ sauber ist. Bis dann und danke, Piet Anhang: AVG.txt
|
|
|
||
11.09.2007, 21:26
Ehrenmitglied
Beiträge: 6028 |
#10
Normalerweisse hatte ComboFix diesen Eintrag finden müssen
Halte auf jeden fall dein Rechner up-to-date Software Inspector hilft dabei http://secunia.com/software_inspector/ MfG Arnold __________ MfG Argus |
|
|
||
bin kein computerass hab im forum viel gelesen über das thema usw und war völlig überfordert welches progi ich brauche um mein problem zu lösen
im vorraus vielen dank für antworten