Hallo,

poste bitte mal das WinPFind-Log, das Wildone sehen wollte.

Bzgl. eines Screenshots:
Sobald ein PopUp erscheint, solltest du diese Taste drücken
-> Start-> Asführen-> mspaint -> [Eingabetaste] -> [Strg + V] -> Datei -> Speichern unter...-> Abspeichern, bei Imagehack hochladen und den Link posten.

Lade und installiere eine Demo-Version des Security Task Managers -> Starte ihn und warte bis er die Prozesse analysiert hat-> File-> Save as... (o.ä. weiß ich nicht mehr so genau)-> Als Log.txt abspeicheern und posten.

Überprüfe diese Dateien auf http://www.virustotal.com und poste das Ergebnis:

Zitat:

C:\WINDOWS\system32\lo2.txtt
C:\WINDOWS\system32\CNNZXE
C:\WINDOWS\system32\8104297.jun
C:\WINDOWS\pvcqN

*EDIT*

Zitat:

Hacktool:HackTool/OptixPatch Nicht desinfiziert C:\Originale\Real Player 8 plus deutsch\paintshop.zip[PSP7.0crk.EXE]
Hacktool:HackTool/OptixPatch Nicht desinfiziert C:\Originale\Real Player 8 plus deutsch\paintshop.zip[ANIM3.0crk.EXE]
Mögliches Virus. Nicht desinfiziert C:\Originale\Zealot.AVI.to.VCD.SVCD.DVD.Converter. v1.0.5.Incl.KeyGen-ORiO.rar[Keygen-AVItoVCDSVCDDVDConverter.exe]

Wenn du Software aus unseriösen Quellen verwendest, musst du dich gar nicht wundern wenn du dir etwas einfängst
Tja, mir vergeht da ganz ehrlich die Lust zu helfen...

Hallo,
ich denke das die Process.exe zu l2mfix gehört, insofern wird sie auch nicht verantwortlich sein, und der Rest scheint auch mehr oder weniger harmlos zu sein.
Also auch ergebnislos, vielleicht findet ja jemand anderes noch etwas.

Grüße Wildone

Optix.....hmmmm war da nicht ein Backdoor gleichen Names?

Hallo,

@Haui: Daher habe ich mir einen Post gespart.

Gruß

Schrulli

@MightyMarc
Jepp, Lieblingsspielzeug aller ScriptKiddies.

@Schrulli
Mein Posting war leider schon fertig...

Hallo,
naja wenn man die Linie aber konsequent fährt darf man bei 2/3 aller Threads nicht helfen. Denn look2me, vundo.b und alle smitfraudvarianten holt man sich quasi ausschließlich über cracks bzw. auf den Seiten die selbige anbieten.


Grüße Wildone

Vielen Dank!

Dieses zealot war eine niemals entpackte ZIP-Datei, von der ein Freund meinte, ich bräuchte sie.
Leider ist man auf andere angewiesen, wenn man selbst nicht viel Ahnung hat.
Ich habe sie mittlerweile gelöscht, da sie aber nie in Funktion war, kann sie der Fehler nicht sein.

WinPfind hat sich leider nur aufgehängt, und Screenshot geht irgendwie nicht oder ich bin zu doof.

Sorry, aber wenn Ihr mir nicht helfen wollt, müßt Ihr das natürlich auch nicht!

Vielen Dank trotzdem!

Gruss, Suse

PS: ScriptKiddy bin ich sicher nicht, nur einfach ahnungslos und offensichtlich zu vertrauensselig.

@wildone

Danke!

Zitat:

Zitat von Wildone

Denn look2me, vundo.b und alle smitfraudvarianten holt man sich quasi ausschließlich über cracks bzw. auf den Seiten die selbige anbieten.

Auf Crack-Seiten kann man sich selbstverständlich die schönsten Infektionen einfangen, aber die o.g. stammen wohl aus einem Filesharingnetzwerk. Es gibt ja auch Leute, die sich einfach nur das lästige CD-Wechseln sparen wollen, wofür ich ehrlich gesagt durchaus Verständnis habe...

Zitat:

Zitat von senpl

WinPfind hat sich leider nur aufgehängt,

Möglich, aber unwahrscheinlich. Es mag zwar den Anschein haben, aber das Programm läuft weiter und braucht einfach nur Zeit.

Zitat:

PS: ScriptKiddy bin ich sicher nicht, nur einfach ahnungslos und offensichtlich zu vertrauensselig.

Das ist mir schon klar

Hallo!

Hier die Ergebnisse von virustotal:


C:\WINDOWS\pvcqN

No Virus found

--------------------

C:\WINDOWS\system32\8104297.jun

File size can't be more than 10 Megabytes.
You can't try compressing it.
Thanks you.

--------------------------

C:\WINDOWS\system32\CNNZXE

hängt sich auf beim Scannen

---------------------------------

C:\WINDOWS\system32\lo2.txtt

File size can't be more than 10 Megabytes.
You can't try compressing it.

Thanks you.


Screenshots lassen sich nicht erstellen von den PU's, ich bekomms auch mit der Anleitung nicht hin!

WinPFind log ist riesig, ich versuchs in einer neuen Antwort zu posten, aber ich befürchte fast, es wird zu gross sein....

Danke, Suse

Wie befürchtet, ist die WinPfind log viel zu groß!

Wenn mir jemand sagt, was das Wichtigste ist, könnte ich das rauskopieren.

Mir ist etwas aufgefallen beim Taskmanager. Wenn die Prozesse starten, kommt einer "OPSCAN.exe", fährt mit hoch und ist später weg! - Hat das was zu sagen?

Ansonsten alles beim Alten!
winfixer, errorsafe, orexis und ...load - sind immer dieselben.....

Danke!

Gruss, Suse

es koennte das hier sein:

C:\WINDOWS\pvcqN
http://virus-protect.org/artikel/spyware/apropos1.html

f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
poste den Scanreport (wenn das Log zu gross ist, poste es als Anhang)

aproposfix
http://swandog46.geekstogo.com/aproposfix.exe

lade aproposfix.exe --> klicke RunThis.bat
klicke "enter" und warte, bis sich das Fenster schliesst.
dann kopiere die log.txt ab.

Hallo,
da du dich nicht durch den ganzen Thread durchgelesen hast (kannst), Blacklight hat nichts gefunden, siehe Posting #30 außerdem gescannt mit Rootkit Hook Analyzer, siehe Posting #1, ebenfalls ergebnislos. Ob es denoch Apropos sein kann mußt du entscheiden, habe davon nicht soviel Ahnung.



Grüße Wildone

Alles, wirklich alles durchgelesen... hm

ich habe nur gesehen...........
C:\WINDOWS\pvcqN
C:\WINDOWS\system32\CNNZXE

Der User kann das Winpfind-log auch als Anhang posten...dann sind wir schlauer .

Hallo! + Vielen Dank!

Hier das aprosposfix.log:

Log of AproposFix v1.1

************

Running from directory:
C:\PopUp's Hilfe\aprospos-fix\aproposfix

************

Warning: batch running in normal mode, not Safe Mode! In normal mode the fix WILL NOT WORK!

Warning: C:\WINDOWS\regedit.com present!

Registry entries found:


************

No service found!

Removing hidden folder:
No folder found!

Deleting files:


Backing up files:
Done!

Removing registry entries:

REGEDIT4


Done!

Finished!



Die WinPfind. log - Datei ist auch zum Anhängen zu groß!
Ich hab sie in Word gespeichert, weil sie nicht als.log erschien, so wie ich es kenne. Aber nachdem das 3 Stunden gelaufen ist, wollte ich die Daten retten, ging irgendwie nicht anders..... - könnte sie als EMail schicken?


Danke, Suse