hartnäckige Spyware

#16 poste noch mal ALLE Daten von datfindbat , also auch c:\Windows usw... bis September 2007. Ich schau das noch mal alles durch.
__________
MfG Sabina

rund um die PC-Sicherheit

#17

Code

. 
. 
 Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten 
. 
. 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 5C9A-9D55

 Verzeichnis von C:\WINDOWS\system32

14.04.2008  11:52            12'598 wpa.dbl
11.04.2008  22:54           204'120 FNTCACHE.DAT
11.04.2008  22:48           486'428 perfh009.dat
11.04.2008  22:48           107'896 perfc007.dat
11.04.2008  22:48            88'370 perfc009.dat
11.04.2008  22:48           514'742 perfh007.dat
11.04.2008  22:48         1'068'342 PerfStringBackup.INI
11.04.2008  15:01             3'378 tmp.reg
11.04.2008  15:01                 0 tmp.txt
06.04.2008  07:56        19'836'024 MRT.exe
20.03.2008  10:03         1'845'376 win32k.sys
05.03.2008  16:03           479'752 XAudio2_0.dll
05.03.2008  16:03           238'088 xactengine3_0.dll
05.03.2008  16:00            25'608 X3DAudio1_3.dll
05.03.2008  15:56         3'786'760 D3DX9_37.dll
05.03.2008  15:56         1'420'824 D3DCompiler_37.dll
05.03.2008  15:56         3'952'144 D3DX9d_37.dll
01.03.2008  18:24         3'591'680 mshtml.dll
01.03.2008  14:54           233'472 webcheck.dll
01.03.2008  14:54           826'368 wininet.dll
01.03.2008  14:54           105'984 url.dll
01.03.2008  14:54            44'544 pngfilt.dll
01.03.2008  14:54         1'159'680 urlmon.dll
01.03.2008  14:54           193'024 msrating.dll
01.03.2008  14:54           102'912 occache.dll
01.03.2008  14:54           671'232 mstime.dll
01.03.2008  14:54           478'208 mshtmled.dll
01.03.2008  14:53           459'264 msfeeds.dll
01.03.2008  14:53            52'224 msfeedsbs.dll
01.03.2008  14:53         1'831'424 inetcpl.cpl
01.03.2008  14:53            27'648 jsproxy.dll
01.03.2008  14:53            44'544 iernonce.dll
01.03.2008  14:53           267'776 iertutil.dll
01.03.2008  14:53         6'066'176 ieframe.dll
01.03.2008  14:53           384'512 iedkcs32.dll
01.03.2008  14:53           230'400 ieaksie.dll
01.03.2008  14:53            63'488 icardie.dll
01.03.2008  14:53           133'120 extmgr.dll
01.03.2008  14:53           383'488 ieapfltr.dll
01.03.2008  14:53           214'528 dxtrans.dll
01.03.2008  14:53           153'088 ieakeng.dll
01.03.2008  14:53           347'136 dxtmsft.dll
01.03.2008  14:53           124'928 advpack.dll
29.02.2008  10:54            70'656 ie4uinit.exe
22.02.2008  12:00            13'824 ieudinit.exe
20.02.2008  08:50           282'624 gdi32.dll
20.02.2008  07:33           148'992 dnsapi.dll
20.02.2008  07:33            45'568 dnsrslvr.dll
15.02.2008  07:44           161'792 ieakui.dll
13.02.2008  19:55             4'096 crash
13.02.2008  16:12            12'598 wpa.bak
05.02.2008  23:07           462'864 d3dx10_37.dll
05.02.2008  23:06           359'624 dinput8d.dll
05.02.2008  23:06         3'799'400 d3dx9d_33.dll
05.02.2008  23:06           349'416 d3dref9.dll
05.02.2008  23:06           506'384 D3DX10d_37.dll
05.02.2008  23:06         3'087'208 d3d9d.dll
05.01.2008  21:46             5'686 jupdate-1.6.0_03-b05.log
01.01.2008  22:56           107'832 PnkBstrB.exe
12.12.2007  22:55           387'268 TZLog.log
04.12.2007  20:40           550'912 oleaut32.dll
21.11.2007  18:09           219'648 uxtheme.dll
15.11.2007  22:41             4'684 explori.exe
15.11.2007  22:41                 0 atualizado.log
15.11.2007  22:41                 0 uol.log
13.11.2007  13:31            60'416 tzchange.exe
07.11.2007  11:27           729'600 lsasrv.dll
30.10.2007  00:35         1'293'312 quartz.dll
29.10.2007  17:07           373'760 xpsp3res.dll
25.10.2007  18:42        12'915'200 shell32.dll
24.10.2007  02:47            84'480 mscories.dll
24.10.2007  02:47           158'720 mscorier.dll
24.10.2007  02:47           282'112 mscoree.dll
24.10.2007  02:47            96'760 dfshim.dll
22.10.2007  04:39           267'272 xactengine2_10.dll
22.10.2007  04:37            17'928 X3DAudio1_2.dll
20.10.2007  07:01           227'328 wmasf.dll
20.10.2007  02:56           200'704 ssldivx.dll
20.10.2007  02:56         1'044'480 libdivx.dll
12.10.2007  16:14         1'374'232 D3DCompiler_36.dll
12.10.2007  16:14         3'734'536 d3dx9_36.dll
11.10.2007  09:55            88'576 infocardapi.dll
11.10.2007  09:55           595'464 icardres.dll.mui
11.10.2007  09:55           579'584 icardagt.exe
11.10.2007  09:55            28'160 infocardcpl.cpl
11.10.2007  09:55            11'776 icardres.dll
09.10.2007  13:03         1'986'072 milcore.dll
09.10.2007  13:03           493'080 evr.dll
09.10.2007  13:03           779'800 PresentationNative_v0300.dll
09.10.2007  13:03           350'744 PresentationHost.exe
09.10.2007  13:03           161'304 UIAutomationCore.dll
09.10.2007  13:03           106'520 PresentationCFFRasterizerNative_v0300.dll
09.10.2007  13:03            33'304 PresentationHostProxy.dll
09.10.2007  13:03            73'752 dxva2.dll
09.10.2007  12:58            16'896 tswpfwrp.exe
02.10.2007  10:56           444'776 d3dx10_36.dll
26.09.2007  10:35            28'536 NicCo.dll
26.09.2007  10:35           154'496 Prounstl.exe
26.09.2007  10:35            62'840 NicInstE.dll
26.09.2007  10:35            66'424 NicEtCoE.dll
26.09.2007  10:35           179'048 e1000msg.dll
26.09.2007  10:35             2'889 e1e5132.din
26.09.2007  10:34             1'904 SetupBD.din
26.09.2007  10:34           228'184 PRONtObj.dll
26.09.2007  10:33         1'097'728 stlang.dll
26.09.2007  10:33         4'931'584 stacgui.cpl
26.09.2007  10:33            90'112 stacsv.exe
26.09.2007  10:33           117'248 staco.dll
26.09.2007  10:33           229'376 stacapi.dll
25.09.2007  00:31            69'632 javacpl.cpl
25.09.2007  00:31           139'264 javaws.exe
24.09.2007  23:30           135'168 javaw.exe
24.09.2007  23:30           135'168 java.exe
14.09.2007  20:16            66'872 PnkBstrA.exe
08.09.2007  15:33             5'214 jupdate-1.6.0_02-b06.log
05.09.2007  17:17           107'888 CmdLineExt.dll

            2341 Datei(en)    583'176'141 Bytes
               0 Verzeichnis(se), 13'227'188'224 Bytes frei
. 
. 
. 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 5C9A-9D55

 Verzeichnis von C:\DOKUME~1\Fudi\LOKALE~1\Temp

15.04.2008  00:29           115'029 datfind.txt
15.04.2008  00:24               920 TWAIN.LOG
15.04.2008  00:24                 2 Twain001.Mtx
15.04.2008  00:24               156 Twunk001.MTX
15.04.2008  00:24                 0 Twunk002.MTX
14.04.2008  19:59                 0 AgeOfConan_shader_cache
14.04.2008  12:25               512 ~DF8890.tmp
14.04.2008  12:25            81'920 ~DF8870.tmp
14.04.2008  12:25               512 ~DF7AF9.tmp
14.04.2008  12:25            81'920 ~DF7AC2.tmp
14.04.2008  11:57             4'056 jusched.log
14.04.2008  11:52               107 STS7.tmp
14.04.2008  11:52            16'384 ~DF7035.tmp
14.04.2008  11:52               512 ~DF5390.tmp
14.04.2008  11:52            16'384 ~DF51EA.tmp
14.04.2008  11:52             1'285 MAR4.tmp
14.04.2008  11:52             1'342 MAR3.tmp
14.04.2008  09:35            35'511 hpodvd09.log
14.04.2008  09:29            16'384 ~DF6B71.tmp
14.04.2008  09:29            16'384 ~DF404E.tmp
14.04.2008  09:29               107 STS6.tmp
14.04.2008  09:29             1'285 MAR2.tmp
14.04.2008  09:29             1'342 MAR1.tmp
14.04.2008  09:17            16'384 ~DF5232.tmp
14.04.2008  09:17            16'384 ~DF4346.tmp
14.04.2008  09:17               107 STS14.tmp
14.04.2008  09:17             1'342 MAR11.tmp
14.04.2008  09:17             1'285 MAR12.tmp
14.04.2008  09:07            16'384 ~DF3E19.tmp
14.04.2008  09:07            16'384 ~DF36C3.tmp
14.04.2008  09:06               107 STS12.tmp
14.04.2008  09:06             1'285 MAR10.tmp
14.04.2008  09:06             1'342 MARF.tmp
13.04.2008  18:04            16'384 ~DF3573.tmp
13.04.2008  18:04            16'384 ~DFFEC.tmp
13.04.2008  18:04               107 STS10.tmp
13.04.2008  18:04             1'285 MARE.tmp
13.04.2008  18:04             1'342 MARD.tmp
13.04.2008  13:08            16'384 ~DFFED2.tmp
13.04.2008  13:08            16'384 ~DFEF7C.tmp
13.04.2008  13:08               107 STSE.tmp
13.04.2008  13:07             1'285 MARC.tmp
13.04.2008  13:07             1'342 MARB.tmp
12.04.2008  17:19             9'777 PPF.txt
12.04.2008  17:17            16'384 ~DF9B23.tmp
12.04.2008  17:17               107 STSC.tmp
12.04.2008  17:17            16'384 ~DF980E.tmp
12.04.2008  17:17             1'285 MARA.tmp
12.04.2008  17:17             1'342 MAR9.tmp
12.04.2008  17:12               107 STSA.tmp
12.04.2008  17:12             1'285 MAR8.tmp
12.04.2008  17:12             1'342 MAR7.tmp
12.04.2008  17:12            16'384 ~DF24A1.tmp
12.04.2008  17:12            16'384 ~DF871F.tmp
05.03.2008  16:25         1'662'464 Microsoft_DirectX_SDK.msi
05.03.2008  16:01            59'912 setup.exe
28.10.2007  06:47        20'319'760 Install_WLMessenger.exe
              57 Datei(en)     22'656'979 Bytes
               0 Verzeichnis(se), 13'227'200'512 Bytes frei
. 
. 
. 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 5C9A-9D55

 Verzeichnis von C:\WINDOWS

15.04.2008  00:29            17'829 WindowsUpdate.log
15.04.2008  00:24               261 wiadebug.log
14.04.2008  17:44            74'715 setupapi.log
14.04.2008  13:56                 0 setupact.log
14.04.2008  13:56                 0 setuperr.log
14.04.2008  11:51                 0 0.log
14.04.2008  11:50                50 wiaservc.log
14.04.2008  11:50             2'048 bootstat.dat
14.04.2008  11:36           125'906 ntbtlog.txt
14.04.2008  09:35               452 SchedLgU.Txt
14.04.2008  09:29                 0 Sti_Trace.log
11.04.2008  14:58            53'248 PSEXESVC.EXE
11.04.2008  14:57               227 system.ini
10.04.2008  18:26            54'156 QTFont.qfn
06.03.2008  19:57               116 NeroDigital.ini
13.02.2008  22:43         2'997'700 setupapi.log.2.old
13.02.2008  11:10                16 WININIT.INI
12.02.2008  18:39               628 win.ini
12.02.2008  17:35           315'392 HideWin.exe
12.02.2008  17:15         2'279'414 setupapi.log.1.old
12.02.2008  16:58            15'600 gdrv.sys
07.02.2008  23:33             4'328 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
21.11.2007  18:09             6'112 BricoPackFoldersDelete.cmd
21.11.2007  18:09            64'170 BricoPackUninst.txt
21.11.2007  18:09            64'170 BricoPackUninst.cmd
21.11.2007  18:09         2'359'350 BricoPack Wallpaper.bmp
15.11.2007  17:06                 0 SwSys2.bmp
15.11.2007  17:06                 0 SwSys1.bmp
17.10.2007  22:43           729'088 iun6002.exe
17.10.2007  18:06               786 eReg.dat
26.09.2007  10:33           303'104 sttray.exe
25.07.2007  16:56               335 cm106.ini
13.06.2007  15:21           978'944 explorer.exe
03.05.2007  19:52            11'557 atiogl.xml
23.04.2007  09:51         4'435'968 RtHDVCpl.exe
13.04.2007  09:36         1'822'720 SkyTel.exe
16.01.2007  04:39         1'191'936 RtlUpd.exe

             114 Datei(en)     29'310'215 Bytes
               0 Verzeichnis(se), 13'227'188'224 Bytes frei
. 
. 
. 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 5C9A-9D55

 Verzeichnis von C:\WINDOWS\temp

14.04.2008  11:52               409 WGANotify.settings
14.04.2008  11:52               255 WGAErrLog.txt
14.04.2008  09:29                 0 T30DebugLogFile.txt
               3 Datei(en)            664 Bytes
               0 Verzeichnis(se), 13'227'192'320 Bytes frei
. 
. 
. 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 5C9A-9D55

 Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.02.2008  16:52           206'128 sysreqlab2.dll
05.02.2008  16:51               669 SysReqLab2.osd
18.10.2007  03:02               214 DivXPlugin.inf
28.09.2007  05:41           381'960 GAME_UNO1.dll
25.09.2007  17:13           905'216 YYGInstantPlay.ocx
12.09.2007  12:35               254 YYGInstantPlay.inf

              22 Datei(en)      3'156'006 Bytes
               0 Verzeichnis(se), 13'227'192'320 Bytes frei
. 
. 

#18 «
rechtsklick auf die

C:\WINDOWS\WININIT.INI

mit Texteditor öffnen - poste, was da steht
__________
MfG Sabina

rund um die PC-Sicherheit

#19

Code

[Rename]
NUL=

oO

#20 ««
rechtsklick: mit texteditor öffnen - poste, was da steht
C:\WINDOWS\system32\atualizado.log

««
Cleaner anwenden
http://www.ccleaner.de/?protecus.de

««
OTMoveIt
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\system32\explori.exe
C:\WINDOWS\system32\atualizado.log
C:\WINDOWS\system32\uol.log

Klicke auf den Roten MoveIt!

ºººººººººººººººººººººººººººººººººººººººººººººººººººººººººººº
belasse das backup noch einige Zeit auf dem Rechner....
dann, wenn es keine Probleme mit der entfernten exe gibt:
klicken: CleanUp! button (OTMoveIt)

dann lassen wir es soweit ... wenn noch irgendwas angezeigt wird, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#21 C:\WINDOWS\system32\atualizado.log
<- Da steht nix

Was genau bewirkt dieses MoveIt?

#22 das löscht ..................

belasse das backup noch einige Zeit auf dem Rechner....
dann, wenn es keine Probleme mit der entfernten exe gibt:
klicken: CleanUp! button (OTMoveIt)
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Es gibt Probleme.. IE7 findet einige Seiten nicht mehr, obwohl die Adresse bekannt ist.. kann keine Verbindung herstellen, und mit Firefox, welches ich gerade benutze, komm ich einfach nicht so ganz klar

EDIT: war nur vorrübergehend oO, keine Ahnung, was los war, sorry

#24 ist also alles wieder o.k. ?
__________
MfG Sabina

rund um die PC-Sicherheit

#25 bis auf die tatsache, dass beim anklicken von links von anderen programmen aus der internet explorer zwar geöffnet wird, jedoch keinerlei seite geöffnet wird, offenbar gar keine url angegeben wird. das war allerdings auch schon vor dem löschen dieser dateien, allerdings nach dem ich diesen virus bekam.. sonst ist alles ok

#26 wenn der IE manchmal nicht will, wie er soll , kann man auch sehr gut mit dem Browser Firefox oder Opera surfen (der IE bleibt naürlich , um die Windowsupdates und Online-Virenscans zu machen)
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Ok, jetzt kam zwischendurch folgende Meldung von Antivir, ich hab allerdings nichts gemacht:

C:\System Volume Information\...\A0092027.exe
Enthält Erkennungsmuster des SPR/Fake.Vir.A.1757-Programmes

Code

In der Datei 'C:\System Volume Information\_restore{95BC0CB6-40F6-4613-88B2-16B5B13C8225}\RP194\A0092027.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Fake.Vir.A.1757' [riskware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

cO

#28 Hallo

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Moment, das Ding schien mit dem Virus gekommen zu sein -> Systemwiederherstellung dürfte da nichts bringen..

#30 doch, die Deaktivierung der Systemwiederherstellung lässt diesen Eintrag verschwinden..dein Virenscanner wird nix mehr finden
__________
MfG Sabina

rund um die PC-Sicherheit