Home » Spyware & Browser Hijacker Support Forum » Spy Emergency - Windows Security Alert & Windows has detected spyware infection! » Themenansicht
Spy Emergency - Windows Security Alert & Windows has detected spyware infection! |
||
|---|---|---|
| #0
| ||
|
10.06.2008, 23:13
Member
Beiträge: 13 |
||
 
|
|
|
|
10.06.2008, 23:53
Moderator
Beiträge: 5694 |
#2
Hallo Peterl
« entferne mit cleaner die temporären dateien http://www.ccleaner.de/?protecus.de « Lass folgende Datein bei www.virustotal.com/de prüfen und poste das Ergebnis C:\WINDOWS\system32\svchpg6.exe C:\WINDOWS\system32\sremcon.exe Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“ « Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O4 - HKLM\..\Run: [BM5323cb51] Rundll32.exe "C:\WINDOWS\system32\vukaihpk.dll",sklicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Rechner Neu starten « wende smitfraudfix an , zuerst Option 1 + poste den report, dann Option 2 - poste wieder den report http://virus-protect.org/artikel/tools/smitfrautfix.html « dann wende rvaxo an + poste den report http://virus-protect.org/artikel/tools/rvaxo.html Gruss Swiss Dieser Beitrag wurde am 11.06.2008 um 00:28 Uhr von Tonstudio editiert.
|
|
|
|
|
|
|
11.06.2008, 11:23
Member
Themenstarter Beiträge: 13 |
#3
Also erstmal DANKE für die schnelle Antwort Swiss
 Ich werde die Schritte im Laufe der Woche durchführen, sobald ich Zeit habe, und die Dateien posten. Einstweilen nochmal Danke mfg Peter |
|
|
|
|
|
|
11.06.2008, 11:38
Ehrenmitglied
 Beiträge: 29434 |
#4
Peterl
Rogue/Suspect Anti-Spyware Product Spy Emergency http://www.tomax7.com/aplus/spyware.htm http://virus-protect.org/artikel/spyware/spyemergency-remove.html qandr.sys Troj/RKDrop-A Trojan - Sophos security analysis The file qandr.sys is detected as Mal/Rootkit-C ----------------------------------------------------------- dann kannst du folgendes machen: Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern  Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen  danach: Combofix noch einmal anwenden ------------------------------------------------------------- poste das neue Log von Combofix hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.06.2008, 18:48
Member
Themenstarter Beiträge: 13 |
#5
So, erst einmal Danke für die Antworten!
Bin jetzt Schritt für Schritt, sofern dies möglich war, durchgegangen. Wollte die 2 genannten Dateien C:\WINDOWS\system32\svchpg6.exe C:\WINDOWS\system32\sremcon.exe auf VirusTotal testen lassen, die Dateien waren aber nicht mehr unter dem Pfad zu finden. Ansonsten haben die Schritte alle funktioniert. Zusätzlich stellt sich aber nun auch folgendes Problem: Ich wollte wieder alle Anti-Spyware Produkte entfernen, was insofern auch funktioniert hat, außer beim Spyware-Doctor. Der startet sich immer wieder beim hochfahren und er erscheint mir auch nicht unter Systemsteuerung-->Software. Im Ordner, in dem er installiert wurde, gibt es weiters keine UnInstall.exe ... gibt es dazu vielleicht Vorschläge? Ich schicke im Anhang wieder alle Dateien die "ausgespuckt" wurden. Schicke noch zusätzlich das Hijack This-log, welches ich erstellt habe nachdem ich alle Schritte durchgeführt habe. Danke und Grüße Peter Anhang: log-Files_2.txt
|
|
|
|
|
|
|
13.06.2008, 20:23
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo,
«« http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) qandr in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. das gleiche mit: spyemrg_guard spyemrg -------------------------------------------------------------------- wenn du Spyware Doctor entfernen willst «« Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. deaktiviere folgende Dienste, wen du den pC Doktor deinstallieren willst: PC Tools Auxiliary Service PC Tools Security Service (sdCoreService) Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "PC Tools Auxiliary Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "X " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. ------------------------------------------------------------------- «« http://virus-protect.org/artikel/tools/otmoveIt.html Download OTMoveIt zum Desktop OTMoveIt öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\Dokumente und Einstellungen\gro\Anwendungsdaten\PC ToolsKlicke auf den Roten MoveIt! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.06.2008, 13:23
Member
Themenstarter Beiträge: 13 |
#7
Hey, danke für die Hile, hier die regsearch- Ergebnisse:
Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 2008-06-13 20:35:40 for strings: ; 'qandr' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 2008-06-13 20:37:11 for strings: ; 'spyemrg_guard' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 2008-06-13 20:39:40 for strings: ; 'spyemrg' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPYEMRGGUARD] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPYEMRGGUARD\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPYEMRGGUARD\0000] "Service"="SpyEmrgGuard" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPYEMRGGUARD\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SPYEMRGGUARD] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SPYEMRGGUARD\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SPYEMRGGUARD\0000] "Service"="SpyEmrgGuard" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SPYEMRGGUARD\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYEMRGGUARD] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYEMRGGUARD\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYEMRGGUARD\0000] "Service"="SpyEmrgGuard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYEMRGGUARD\0000\LogConf] ; End Of The Log... Liebe Grüße, Peter |
|
|
|
|
|
|
14.06.2008, 13:34
Ehrenmitglied
Beiträge: 29434 |
#8
«
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Drivers to disable:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger kopiere es ab - mit rechtem Mausklick - kopieren - einfügen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.06.2008, 14:07
Member
Themenstarter Beiträge: 13 |
#9
So, hab das jetzt gemacht, mir ist aber folgendes passiert.
Nach dem er heruntergefahren hat und wieder starten wollte, konnte Windows nicht gestartet werden, es kam die Aufforderung einen Modus zu wählen: Abgesicherter Modus,... wollte noch einmal im Normalmodus starten...hat wieder nicht funktioniert, nachher wollte ich im abgesicherten Modus starten und das hat auch wieder nicht funktioniert und dann is er mir normal hochgefahren und konnte wieder gestartet werden... Ich hab schon die Angst gehabt, dass jetzt alles hin is :S Naja jedenfalls hier die Avenger-Meldung: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open driver "spyemrg_guard" Disablement of driver "spyemrg_guard" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open driver "qandr" Disablement of driver "qandr" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open driver "spyemrg" Disablement of driver "spyemrg" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\spyemrg_guard" not found! Deletion of driver "spyemrg_guard" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\qandr" not found! Deletion of driver "qandr" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\spyemrg" not found! Deletion of driver "spyemrg" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPYEMRGGUARD" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SPYEMRGGUARD" deleted successfully. Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYEMRGGUARD" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYEMRGGUARD" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Grüße |
|
|
|
|
|
|
14.06.2008, 17:57
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo
 mache noch einen scan mit Malwarebytes + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.06.2008, 20:36
Member
Themenstarter Beiträge: 13 |
#11
Hier der log:
Malwarebytes' Anti-Malware 1.17 Datenbank Version: 855 20:14:31 2008-06-14 mbam-log-6-14-2008 (20-14-31).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 167499 Scan Dauer: 45 minute(s), 36 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Twain (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataDisp32 (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\system32\mlJDwxUM.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP90\A0039608.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP95\A0044551.dll (Trojan.Vundo) -> Quarantined and deleted successfully. Jetzt war aber noch das Problem, dass beim ersten Scan der Computer mit blue-screen abgestürtzt ist. Beim 2. Scan hat alles funktioniert  Dann habe ich mir weiters die kostenlose Version von Registry Mechanic installiert, welcher dutzende von Fehler finden, mit der kostenlosen Version kann ich aber nicht alle reparieren... gibt es da Möglichkeiten diese Fehler mit einem anderen Programm zu reparieren? Danke schon mal Peter |
|
|
|
|
|
|
14.06.2008, 20:55
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo,
«« malwarebytes hat im moment Probleme mit der jetzigen version. Beim Schnellscan tritt kein blue-screen auf. Es wird wohl an der Beseitigung vom Fehler gearbeitet. Hab gerade diese Info bekommen. «« TuneUp (Trial-Tool) http://virus-protect.org/reinigungstoolsregistry.html «« http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken «« poste nach dem scan den report, wenn du wieder im Normalmodus bist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.06.2008, 01:37
Member
Themenstarter Beiträge: 13 |
#13
Hier der Reort:
SDFix: Version 1.192 Run by gro on 2008-06-15 at 01:21 Microsoft Windows XP [Version 5.1.2600] Running From: C:\DOKUME~1\gro\Desktop\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-15 01:26:37 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:2df9c43f "s2"=dword:110480d0 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:2c,80,e1,06,58,9d,78,1a,cb,b6,c3,59,30,42,80,80,39,61,25,43,cb,.. "p0"="C:\Programme\DAEMON Tools Lite\" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,c1,5e,04,e5,6f,c8,30,30,29,a8,58,07,1f,be,d3,69,07,.. "khjeh"=hex:53,57,00,4d,a4,41,42,3e,28,7e,e3,09,b2,e0,71,98,4f,4d,64,d7,58,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:a4,9a,a3,57,25,23,4a,a8,d8,80,1a,96,4d,47,5e,c0,bd,8e,37,68,c6,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:2c,80,e1,06,58,9d,78,1a,cb,b6,c3,59,30,42,80,80,39,61,25,43,cb,.. "p0"="C:\Programme\DAEMON Tools Lite\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,c1,5e,04,e5,6f,c8,30,30,29,a8,58,07,1f,be,d3,69,07,.. "khjeh"=hex:53,57,00,4d,a4,41,42,3e,28,7e,e3,09,b2,e0,71,98,4f,4d,64,d7,58,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:a4,9a,a3,57,25,23,4a,a8,d8,80,1a,96,4d,47,5e,c0,bd,8e,37,68,c6,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:2c,80,e1,06,58,9d,78,1a,cb,b6,c3,59,30,42,80,80,39,61,25,43,cb,.. "p0"="C:\Programme\DAEMON Tools Lite\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,c1,5e,04,e5,6f,c8,30,30,29,a8,58,07,1f,be,d3,69,07,.. "khjeh"=hex:53,57,00,4d,a4,41,42,3e,28,7e,e3,09,b2,e0,71,98,4f,4d,64,d7,58,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:a4,9a,a3,57,25,23,4a,a8,d8,80,1a,96,4d,47,5e,c0,bd,8e,37,68,c6,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts] "\x2039[SO"="simsun.ttc" "t\xad\xbc\xb9"="gulim.ttc" "-ÿ3ÿ ?0ÿ\x00b40\x00b70Ã0\x00af0"="MSGOTHIC.TTC" "0}\16fÔa"="mingliu.ttc" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{11063688-0BBB-6DBF-14F1-7CAAEF3DAF0F}] "hacnmmcmdnfahbni"=hex:6b,61,63,69,67,70,62,6b,6e,6a,65,6c,6a,61,6b,6b,66,66,6c,66,6a,.. "jaemgbfpdmladegkdofe"=hex:6b,61,63,69,67,70,62,6b,6e,6a,65,6c,6a,61,6b,6b,66,66,6c,66,6a,.. scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Gemeinsame Dateien\\Siemens\\SQLANY\\dbsrv9.exe"="C:\\Programme\\Gemeinsame Dateien\\Siemens\\SQLANY\\dbsrv9.exe:*:Enabled:Adaptive Server Anywhere Network Server" "C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007\\TraceServer.exe"="C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007\\TraceServer.exe:*:Enabled:WinCC flexible 2005 - Trace Server" "C:\\Programme\\Gemeinsame Dateien\\Siemens\\SQLANY\\dbeng9.exe"="C:\\Programme\\Gemeinsame Dateien\\Siemens\\SQLANY\\dbeng9.exe:*:Enabled:Adaptive Server Anywhere Database Engine" "C:\\WINDOWS\\system32\\IBHLink.exe"="C:\\WINDOWS\\system32\\IBHLink.exe:*:Enabled:IBHLink Einstellungen" "C:\\WINDOWS\\system32\\winver.exe"="C:\\WINDOWS\\system32\\winver.exe:*:Enabled:winver" "C:\\Programme\\Afinion\\Afinion Project Viewer\\PViewer\\jre\\launch4j-tmp\\VMStarter.exe"="C:\\Programme\\Afinion\\Afinion Project Viewer\\PViewer\\jre\\launch4j-tmp\\VMStarter.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. The whole world can talk for free." "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Gemeinsame Dateien\\Siemens\\SQLANY\\dbsrv9.exe"="C:\\Programme\\Gemeinsame Dateien\\Siemens\\SQLANY\\dbsrv9.exe:*:Enabled:Adaptive Server Anywhere Network Server" "C:\\Programme\\Siemens\\Step7\\S7BIN\\S7tgtopx.exe"="C:\\Programme\\Siemens\\Step7\\S7BIN\\S7tgtopx.exe:*:Enabled:SIEMENS STEP7 SIMATIC Manager" "C:\\Programme\\Siemens\\Step7\\S7INF\\S7usiapx.exe"="C:\\Programme\\Siemens\\Step7\\S7INF\\S7usiapx.exe:*:Enabled:SIEMENS STEP7 S7InfoBox" "C:\\WINDOWS\\system32\\s7otbxsx.exe"="C:\\WINDOWS\\system32\\s7otbxsx.exe:*:Enabled:SIEMENS STEP7 Block Administration" "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" "C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007\\HmiES.exe"="C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007\\HmiES.exe:*:Enabled:SIMATIC WinCC flexible 2007 Application" "C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007\\TraceServer.exe"="C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007\\TraceServer.exe:*:Enabled:SIMATIC WinCC flexible 2007 Trace Server" "C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007\\Extern\\ExConServer.exe"="C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007\\Extern\\ExConServer.exe:*:Enabled:SIMATIC WinCC flexible 2007 Import/Export Server" "C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007 Runtime\\Miniweb.exe"="C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007 Runtime\\Miniweb.exe:*  isabled:WinCC flexible RT Module MiniWeb""C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007 Runtime\\SmartServer.exe"="C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007 Runtime\\SmartServer.exe:* isabled:WinCC flexible RT Module SmartServer""C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007 Runtime\\HmiLoad.exe"="C:\\Programme\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2007 Runtime\\HmiLoad.exe:*:Enabled:WinCC flexible RT Module HmiLoad" "C:\\Programme\\SEW\\MotionStudio\\SEWDataPoolServer.exe"="C:\\Programme\\SEW\\MotionStudio\\SEWDataPoolServer.exe:*:Enabled:SEWDataPoolServer" "C:\\Programme\\SEW\\SEW-Communication-Server\\Secos.exe"="C:\\Programme\\SEW\\SEW-Communication-Server\\Secos.exe:*:Enabled:Secos" "C:\\Programme\\SEW\\MotionStudio\\SEWManager.exe"="C:\\Programme\\SEW\\MotionStudio\\SEWManager.exe:* isabled: ""C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:* isabled:æTorrent""C:\\Programme\\Afinion\\Afinion Project Viewer\\PViewer\\jre\\launch4j-tmp\\VMStarter.exe"="C:\\Programme\\Afinion\\Afinion Project Viewer\\PViewer\\jre\\launch4j-tmp\\VMStarter.exe:* isabled:Java(TM) 2 Platform Standard Edition binary""C:\\Programme\\DNA\\btdna.exe"="C:\\Programme\\DNA\\btdna.exe:*:Enabled NA""C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : Files with Hidden Attributes : Sat 15 Mar 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Thu 6 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BIT49.tmp" Thu 6 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BIT4C.tmp" Thu 6 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BIT48.tmp" Thu 6 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2d9afc485ff57441ce14a08241df89e8\BIT4E.tmp" Thu 6 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ad2d37be81d37204b0a12680c06ffd51\BIT4B.tmp" Thu 6 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BIT4D.tmp" Thu 6 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ed6c7531380802fe7c2504f3909edb19\BIT4A.tmp" Finished! Grüße Peter |
|
|
|
|
|
|
15.06.2008, 12:04
Ehrenmitglied
Beiträge: 29434 |
#14
««
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Text-Editor 2. kopiere diesen Code rein: Zitat reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved" >RegQuery.txt3. Speichere die Datei als fix.bat auf Desktop - abspeichern unter : Dateityp: alle Dateien !! 4. Doppelklick auf die Datei fix.bat, dann wird eine RegQuery.txt Datei erstellt,den Inhalt hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.06.2008, 12:25
Member
Themenstarter Beiträge: 13 |
#15
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{11063688-0BBB-6DBF-14F1-7CAAEF3DAF0F} lG Peter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
erstmal danke für die gute Anleitung für neue Beiträge um schnell und effizient geholfen zu werden.
Nun zu meinem Problem (vielleicht schon alles geklärt und in Ordnung...):
Bevor ich die Schritte von der Anleitung von sabina durchgegangen bin, darunter unter anderem die ComboFix.exe auszuführen, sind folgende 2 Meldungen immer wieder aufgetaucht:
1)Windows Security Alert
Warning! Potential Spyware Operation!
Your computer is making unauthorized copies of your system and
Internet files. Run full scan now to prevent any unauthorized access
to your files! Click here to download spyware remover...
2)Windows Antivirus
Your computer is infected! Windows has detected spyware infection!
It is recommended to use special antispyware tools to pervent data loss.
Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware!
Hinzu kommt, dass beim starten vom Windows immer folgende Fehlermeldung kommt:
Fehler beim Laden von C:\WINDOWS\System32\vukaihpk.dll
Das angegeben Modul wurde nicht gefunden.
Das wird wahrscheinlich, oder hoffentlich nicht von Spyware verursacht, vielleicht habt ihr dennoch konstruktive Vorschläge... Vielleicht ist die folgende Datei auch bei vorherigen Reparaturversuchen mit div. Anti-Spyware-Programmen verschwunden...
Je dem auch sei, nach dem ich schließlich die ComboFix.exe ausgeführt habe, waren die "Spyware-Meldungen" (siehe Punkt 1) und 2)) wieder weg! Gott sei Dank die können ganz schön nerven....
Ich wollte jetzt dennoch wissen ob alle schädlichen Dateien gelöscht wurden, bzw. was ich noch machen muss. Im Anhang schicke ich noch die ganzen log- Dateien.
Weiters möchte ich wissen ob es irgendeine Anti-Spyware-Software zum empfehlen gibt, also ich hab jetzt Spyware Doctor, Spyware Emergency und SpyHunter installiert und keine hat die Spyware gefunden, die diese Meldungen verursacht...
Ich danke schon im Voraus Peter
------------
edit (Sabina)
Zitat