Spyware&Malware Protection,PrivacyProtector,ErrorCleaner

#0
18.04.2008, 19:20
...neu hier

Beiträge: 3
#1 Hallo,

ich habe das gleiche Problem wie einige hier. Hab auf meinem Laptop die o.g. Programme. Leider kann ich die Tipps nicht ausführen, da bei mir gar nichts geht.

- Meine Drahtlose Netzwerkverbindung lässt sich nicht reparieren und ich kann nicht online gehen.
- ich kann den Laptop nicht im abgesicherten Modus starten, kommt immer eine Fehlermeldung. Kann ihn nur im "normalen Modus" starten.
- habe versucht ComboFix, Kasperksy, HiJackthis zu starten, aber es kommt immer die Meldung "...ist keine zulässige Win32 Anwendung"....

Smitfraudfix hab ich laufen lassen (1. Search und 2. Delete), und hat glaube ich funktioniert, zumindest sind die 3 Icons weg.

Hier mal die Logdateien davon:

1. Search

SmitFraudFix v2.314

Scan done at 18:29:38,75, 18.04.2008
Run from C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Admin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End





2. Delete:

SmitFraudFix v2.314

Scan done at 18:32:21,90, 18.04.2008
Run from C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End





Hilft das?

Kann mir bitte irgendjemand Tips geben, wie ich die Sache wieder in Griff bekomme?

Danke und MFg
milhouse
Seitenanfang Seitenende
18.04.2008, 19:29
Moderator

Beiträge: 7796
#2 Das wird eine Bagle infektion sein. Combofix sollte starten, wenn du es in combo-fix umbenennst.

Im Grunde kann ich dir aber nur den Rat geben, Daten sichern, Rechner formatieren und neu aufsetzen, sowie alle Passworte aendern.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.04.2008, 19:51
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo,

Combofix startet so leider auch nicht, immer noch die gleiche Meldung..... Meinst du ich krieg das ihne neu aufsetzen nicht mehr hin?
Problem ist, ich hab den Laptop gebraucht gekauft, und es war keine Windows CD dabei und ich weiss nicht ob ich das wieder hinkrieg.

Evtl. noch einen anderen Vorschlag??

Danke
christian
Seitenanfang Seitenende
18.04.2008, 20:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 PREVXCSI
Download PREVXCSI zum Desktop
Doppelklick “Prevxcsifree”
Haacke an " I accept the terms and conditions " und klick “scan now”
Und berichte
__________
MfG Argus
Seitenanfang Seitenende
19.04.2008, 18:46
...neu hier

Themenstarter

Beiträge: 3
#5

Zitat

Arnold postete
PREVXCSI
Download PREVXCSI zum Desktop
Doppelklick “Prevxcsifree”
Haacke an " I accept the terms and conditions " und klick “scan now”
Und berichte
Hallo,

funktioniert leider nicht, weil sich das PRogramm bei der Hälfte des Scans mit dem Netz verbinden muss, und das nicht geht.
Ich habe auch versucht, HijackThis im abgesicherten Modus laufen zu lassen, aber wenn ich im abgesicherten Modus starten will, kommt ein blauer Bildschirm und er fährt im Normal-Modus hoch.

Der "Spyware" Terminator findet 2 Datein mit dem Namen ... srosa.sys
Kann es aber nicht löschen, das müsste doch der Trojaner sein, oder?
Wie krieg ich das Ding wieder weg.
Ich habe schon versucht, etliche Virenprogramme zu installieren, aber bei jedem gibt es irgend eine Fehlermeldung.

Danke
Christan
Seitenanfang Seitenende
19.04.2008, 20:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

Avenger
http://virus-protect.org/artikel/tools/avenger.html

ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld:

Zitat

Drivers to disable
srosa
hldrrr
hidr
mdelk
down
downld
3R m_hook
m_hook

Drivers to delete:
srosa
hldrrr
hidr
mdelk
down
downld
3R m_hook
m_hook

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa

Files to delete:
C:\WINDOWS\system32\drivers\mdelk.exe
c:\windows\system32\drivers\srosa.sys
c:\windows\system32\drivers\hldrrr.exe
c:\WINDOWS\system32\drivers\hidr.exe
c:\windows\system32\wintems.exe

Folders to delete:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\hidires
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner 2 Mal neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

dann klicke solange, bis der Rechner neustartet, auch wenn Fehlermeldungen kommen, wenn es sein muss, drei, vier mal...klicken

poste nach Neustart hier den report


««
versuche mal catchme anzuwenden + poste den report
htt://www.virus-protect.org/catchme.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende