Eine fehlt aber noch:

und CleanUP log ist zu groß

@Sabina
Der Shredder bietet an: klicken Sie auf Hinzufügen, um die zu löschenden Daten auszuwählen, oder ziehen Sie die Dateien aus dem Explorer in die Liste.

Aus FAQ Spybot: (! Beachten Sie, daß der Anwendungsdaten-Ordner unsichtbar ist. Gegebenenfalls ändern Sie bitte diesbezüglich Ihre Ordneroptionen ! (Anleitung). Erklärung: Dieser Ordner enthält das Backup (die isolierten Dateien), das von Sypbot-S&D gemacht wird. Wenn das Deinstallationsprogramm diesen Ordner ebenfalls löschen würde, würde das heißen, daß diese Backups weg wären.

Das sollen sie zwar, aber so komme ich nicht ran (unsichtbar!), da fehlt mir im Moment der Nerv ... Da lacht die Koralle.

Wenn ich sie sichtbar kriege ... wehe!

editediteditedit
editediteditedit
editediteditedit

Chrione

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.net/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.net/reg/spyaxe.reg

------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

C:\WINDOWS\system32\ioctrl.dll
C:\WINDOWS\System32\kdmrmqjj.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

---------------------------------------------------------------------------------------------

öffne das HijackThis -->
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O3 - Toolbar: (no name) - {094176F9-BF35-4bcb-B68A-108DFB8C3825} - (no file)
O4 - HKLM\..\Run: [quzhgogk] C:\WINDOWS\System32\kdmrmqjj.exe
O4 - Global Startup: MyTotalSearch Email Plugin.lnk = C:\Programme\MyTotalSearch\bar\1.bin\MTSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mytotalsearch.com/menusea...p=VNxmk14246DE
O9 - Extra button: Erotik - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1831006 (file missing)
O9 - Extra 'Tools' menuitem: Erotik... - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1831006 (file missing)
O21 - SSODL: System - {C888331D-5017-4C00-8625-286756211DA7} - (no file)

PC neustarten

loeschen:
C:\Programme\MyTotalSearch

SpyAxeFix.exe
http://noahdfear.geekstogo.com/click...click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

SmitRem2.8
http://noahdfear.geekstogo.com/click...click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread

dann sehen wir weiter

uweru

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Hi Morgen Sabina,

hab das soweit verstanden, muss ich das alles im abgesicherten Modus machen oder erst nach dem Rebot in den abgesicherten Modus wechseln?

So schaut das jetzt aus....
Ich kann damit nicht soviel anfangen

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 748 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

Chrione

suche auf dieser Seite den Etrust-Onlinescanner von Pestscan
http://virus-protect.net/onlinescan.html
und scanne (poste dann den scanreport)

@ Sabina.

Dafür müsste ich aber den Rechner normal starten. Ich habe das heute morgen mal gemacht, die exlplorer.exe hat aber 100% CPU auslastung verursacht.

Mfg

Christian

Hallo Sabina,
bin nach Deiner #125 vorgegangen, habe dann mit den Einzelwörtern und Kombinationen bei Durchsicht des Explorer nichts gefunden und mit SUCHEN auch nichts. Versuch mit Killbox: File doesn't seem to exist. Die von KAV angezeigten Begriffe lauten:
C:\...\Anwendungsdaten\Spybot-Search&Destroy\Recovery\SmitfraudC.zip und C:\...sbRecovery.reg
Welche Such- oder Identifizierungsmöglichkeiten gibt es noch?
Gruß Uwe

Chrione

scanne im abgesicherten Modus
http://virus-protect.net/cureit.html

(das Problem ist nicht der Spyaxe...der ist geloescht, wie es aussieht, das Problem kommt von C:\WINDOWS\System32\kdmrmqjj.exe und was sonst noch drauf ist.

du kannst auch folgendes machen:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

uweru

xphidden
und oeffne ,Doppelklick und
"yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)

http://www.davehigham.zen.co.uk/downloads/xphidden.zip

@ Sabina

hat leider nichts von beiden geklappt. Aber auch nur nicht auf dem betroffenen Rechner. Ich kann weder Blacklight noch DRWeb ausführen. beide geben mir ne Fehlermeldung heraus. Auf meinem anderen Rechner ging DRWeb ohne Probleme, black light auch.

Es sind aber zumindest schon die bescheuerten Warnmeldungen" infected" usw. verschwunden.


THX

Chrione

die Fehlermeldungen sind weg...der SpyAxe geloescht
http://virus-protect.net/artikel/spyware/spyaxe.html
aber der Rechner ist von anderer Malware kompromitiert.
Wahrscheinlich weisst du sehr gut, dass nur Formatieren hilft.

Sabina

Der Spy Axe ist gelöscht, was ist den das andere C:\WINDOWS\System32\kdmrmqjj.exe ? Ist da noch mehr?

Denkst du es gibt nur noch diese Möglichkeit den Rechner zu formatieren?


THX

MFG

Christian