Hallo,
schon klar das das eine Art von spyaxe ist, aber ich kann die sonst üblichen Dateien nicht finden. Lösche erstmal alle Temp Dateien mit Cleanup!

Speichere mal die mcor.reg und die spyaxe.reg per Rechtsklick "Ziel speichern unter" auf deinem desktop, gehe dann in den abgesicherten Modus und füge sie per Doppelklick der Registry bei.
Taucht dann der Ballon immernoch auf?


Grüße Wildone

@wildone

das gleiche problem hatte ich auch.
dachte schon ich wäre heute nicht voll dabei,aber wenn es dir genauso geht.
bin froh das du kamst wusste echt nicht mehr weiter in der sache.

So entschuldigt bitte, hat etwas gedauert. Ich habe erstmal Spyware doctor übers System laufen lassen. Der fand, was im Anhang zu sehen ist. Lies sich leider nicht entfernen; wurde wieder einmal Geld gefordert. Da wollte ich lieber vorher nochmal hier nachfragen.
Ich werde im Anschluss jetzt mal die beiden reg dateien im abgesicherten modus versuchen.

Gruß Nick

Hallo,
kannst du noch mal den genauen Pfad von ersten zwei Funden(PSguard und Gaslide.B) posten, die sind leider auf dem Screenshots nicht zu erkennen.


Grüße Wildone

Name der Infizierung Standort Risiko
Brilliant Digital HKCR\.s3d Mittel
Brilliant Digital HKCR\.s3d## Mittel
Common Components for Rogue Anti-Spyware HKCR\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5} Mittel
Common Components for Rogue Anti-Spyware HKCR\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}## Mittel
PSGuard Desktop Hijacker C:\Dokumente und Einstellungen\All Users\Startmen?rity Troubleshooting.url Hoch
Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch

Hilft das?

Öhm im Zweifel mal löschen die dinger oder?

Hallo,
also das letzte scheint mir definitiv ein Fehlalrm zu sein, da an dieser Stelle ein Trojaner keinen Sinn machen würde. Die Datei:
C:\Dokumente und Einstellungen\All Users\Startmen?rity Troubleshooting.url
kannst du mal löschen, davon wird aber wahrscheinlich keine Verbesserung auf dem Desktop eintreten, mach mal weiter mit den beiden reg Dateien und berichte.


Grüße Wildone

Die habe ich bereits im abgesicherten Modus in die Registry eingefügt. Keine Veränderung.

Hallo,
jetzt gehen mir langsam die Ideen aus. Mach mal einen Onlinescan bei Panda und berichte was dort gefunden wird.


Grüße Wildone

Ereignis Zustand Standort

Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Desktop\smitRem\Process.exe
Virus:W32/Alcan.A.worm Desinfiziert E:\Programme\LimeWire\Downloads\River Past Video Cleaner Pro 6.5.1.zip[Setup.exe]

Das hat Panda jetzt noch gefunden. Mann mann was geht denn ab.... Jedes Tool findet was neues.. Das Video habe ich gelöscht. Die smitrem datei kanns eigentlich nicht sein. Das war soweit ich mich erinnere ein Removal Tool dass ich ganz am Anfang ausprobiert hatte... echt zum Mäuse melken..

Ach so, vielen dank an alle für die ganzen Mühen und zahlreichen ideen zu meinem prob! Irgendwie wird das schon noch..

ps. Hier noch kurz die links zu den Beschreibungen der von Panda gefundenen Schädlinge:
http://www.pandasoftware.com/virus_i...teccion=139535 und
http://www.pandasoftware.com/virus_i...eteccion=46186

Hallo,
verdammt, nein das bringt uns nicht weiter, die Datei:
E:\Programme\LimeWire\Downloads\River Past Video Cleaner Pro 6.5.1.zip[Setup.exe] kannst du löschen.
Das smitrem als unerwünschtes Tool erkannt wird ist mir schleierhaft, kann man aber wohl ignorieren.
Jetzt starte ich mal noch einen Rundumschlag, mal schauen ob das etwas zu Tage fördert.

Scanne mal das System mit F-Secure Blacklight und poste das Log (Textdatei in selbem Pfad)

Besorge dir mal dieses Tool, entpacke es, und lass es mit der Option "1" laufen.
dann wird eine Datei rapport.txt erstellt, poste sie.

Untersuche dein system noch mit Silentrunners und poste das log.


Grüße Wildone

Mal sehen. Alles ging leider nicht. F-Secure Blacklight hat nichts gefunden. Eine Log gab es wegen 0 Ergebnissen nicht.

Deshalb nur die beiden anderen:


SmitFraudFix v2.11

Rapport fait à 16:19:19,06 le 06.01.2006
Executé à partir de C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C1A2FDA2-1A5B-2A8F-F3A2-B22DA1A3C41D}"="NetWrap for Windows"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



und



"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Steam" = ""e:\valve\steam\steam.exe" -silent" ["Valve Corporation"]
"SpybotSD TeaTimer" = "D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Spyware Doctor" = ""D:\Programme\Spyware Doctor\swdoctor.exe" /Q" ["PCTools"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""D:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Microsoft Office" -> shortcut to: "D:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["PC Tools"]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "D:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PC Tools Spyware Doctor, SDhelper, "D:\Programme\Spyware Doctor\sdhelp.exe" ["PC Tools"]

Aus meiner Sicht Bahnhof..

ups, sry. hier das blacklight ergebnis:

01/06/06 16:27:27 [Info]: BlackLight Engine 1.0.30 initialized
01/06/06 16:27:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/06/06 16:27:27 [Note]: 7019 4
01/06/06 16:27:27 [Note]: 7005 0
01/06/06 16:27:30 [Note]: 7006 0
01/06/06 16:27:30 [Note]: 7011 1876
01/06/06 16:27:30 [Note]: FSRAW library version 1.7.1014
01/06/06 16:27:58 [Note]: 7007 0

Hallo,
ich klammer mich mal an Strohhalme, gehe mal wieder in den abgesicherten Modus und führe die smitfraudfix mit Option "2" aus, wenn nach "nettoyer le registre?" gefragt wird mit "o" (für oui) bestätigen.
Log und Bericht ob sich etwas verändert hat.


Grüße Wildone

@wildone

kniffeliger fall das ganze..
weiss im moment auch nix mehr..

@hoerni26

Zitat:

dein logfile scheint sauber zu sein.

So ist es wohl doch nicht:

Zitat:

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://www.popcap.com/games/popcaploader_v6.cab

Dieses "Spielzeug" ist kein Gutes Programm, von BearShare und Limeware abgesehen.
Wenn ich mich einmischen dürfte, würde ich für Neuafsetzung plädieren.
Danach ändert man sein Internet-Verhalten und passt mehr auf.

@rene

klar wir sind glaub ich im moment für jede hilfe froh..
mir hat der eintrag nix böses geasagt,aber ich lerne gern dazu und bin auch froh das du dich zu wort gemeldet hast.
nochmal danke rene-gad für deine aufklärung wegen dem eintrag.