Adware

chico · 24.05.2006, 19:40

Hallo,

ich habe mir auf meinem Rechner Adware eingefangen.Nun habe ich das Problem, dass sich beim Öffnen des IE permanent Seiten mit dem Hinweis mein Rechner sei infiziert öffnen.Was kann ich tun?

Gruß
Chris

**Sunny** · 24.05.2006, 20:56

Hallo CHICO,

erstell bitte ein Hijacklog wie es in meiner Signatur verlinkt ist. Und lass mal dein System mit eScan durchsuchen...poste bitte beides in einen Beitrag, editiere alle aktiven & persönlichen Links!

Gruß
Daniel

chico · 24.05.2006, 21:55

Hallo Daniel,

ich habe das Logfile erstellt und auch den Scan durchgeführt.Allerdings sind beim File des Scans (welches irre lang ist), tonnenweise temporäre Daten des IE mit dabei.Soll ich diese rausfiltern, bzw.was ist davon alles wichtig?

Gruß
Chris

**Sunny** · 24.05.2006, 21:59

lade dir diese Programme --> hier.. und hier.. (ACHTUNG: Direkt-Download)
mach es genau wie in der Anleitung beschrieben, und führe danach nochmal einen kompletten eScan durch..

Gruß
Daniel

chico · 30.05.2006, 09:26

So, habe jetzt mal versucht alles so zu machen wie beschrieben.Hoffe das war so richtig

Logfile of HijackThis v1.99.1
Scan saved at 21:57:11, on 29.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\trojaneradware\Cleanup.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.698\HijackThis.exe

O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"
O4 - HKLM\..\RunOnce: [Panda_cleaner_262033] C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavdr.exe 262033
O4 - HKLM\..\RunOnce: [Panda_cleaner_272385] C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavdr.exe 272385
O4 - HKLM\..\RunOnce: [Panda_cleaner_198392] C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavdr.exe 198392
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Microsoft AntiSpyware helper - {D4DE1C0D-4502-40CE-80B8-D9C2F51BF82C} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D4DE1C0D-4502-40CE-80B8-D9C2F51BF82C} - (no file) (HKCU)
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.flatcast.com/de/download/NpFv412.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/31c54bfb399ba1d74e18/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138570057015
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138569983048
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe

chico · 30.05.2006, 09:30

Ergenis des Scans folgt noch....

dartus · 30.05.2006, 09:42

Hallo chico,

lade dir Smitfraudfix und gehe wie unter "Reinigung" beschrieben vor.
Poste anschl. den Inhalt der "C:\rapport.txt" sowie die 4 Logfiles von Datfind.bat wie beschrieben mit den Daten der letzten 4 Wochen.

dartus

Shadow · 30.05.2006, 09:46

Mach mal einen Neustart (Smitfraud hat aber Vorrang!) und noch einmal ein HJT-Log, sind dann die Run-Once (= "lauf einmal") des Pandacleaners immer noch drin, sind sie warum auch immer "verreckt" und konnten nicht ablaufen.
Eintrag dann entfernen.
Anleitung: HiJackThis

chico · 31.05.2006, 07:56

Ich hoffe das ich alles richtig gemacht habe.Allerdings denke ich das die Geschichte mit SmitFraudFix nicht so geklappt hat wie beschrieben...

smitRem © log file
version 2.8

by noahdfear

Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

Video iCodec
SpywareStrike

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

wiatwain.dll
1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe

~~~ Icons in System32 ~~~

ts.ico
ot.ico

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 700 'explorer.exe'

Starting registry repairs

Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

SpywareStrike

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\

20.01.2006 16:09 0 sys.txt
20.01.2006 16:08 4.288 system.txt
20.01.2006 16:08 129 systemtemp.txt
20.01.2006 16:07 88.846 system32.txt
20.01.2006 16:03 1.510 smitfiles.txt
20.01.2006 15:55 200.515.584 pagefile.sys
19.03.2005 15:43 194 boot.ini
19.03.2005 13:10 0 MSDOS.SYS
19.03.2005 13:10 0 IO.SYS
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 20:00 4.952 bootfont.bin
12 Datei(en) 200.898.379 Bytes
0 Verzeichnis(se), 17.175.052.288 Bytes frei

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\WINDOWS

31.05.2006 08:35 1.201.804 WindowsUpdate.log
31.05.2006 08:33 27.055 ESCAN.LOG
31.05.2006 08:17 3.312 win.ini
31.05.2006 08:16 0 0.log
31.05.2006 08:14 788 CPERROR.LOG
31.05.2006 08:13 1.071 frights.log
31.05.2006 08:13 2.048 bootstat.dat
30.05.2006 12:36 32.402 SchedLgU.Txt
30.05.2006 12:17 645 escan.dbf
29.05.2006 22:21 589 MAILINST.LOG
29.05.2006 22:21 16.956 WSSPORD.DAT
29.05.2006 22:15 596.915 REGBK00.ZIP
29.05.2006 22:15 27.028.216 hklmSW.reg
29.05.2006 22:15 14.160.258 hkcrRT.reg
29.05.2006 22:06 217 INST_TSP.LOG
29.05.2006 22:06 93.932 winsbak2.reg
29.05.2006 22:06 9.106 winsbak.reg
29.05.2006 22:06 237 system.ini
25.05.2006 00:38 192 winamp.ini
24.05.2006 20:54 26 Lic.xxx
24.05.2006 20:49 32 pavsig.txt
24.05.2006 20:49 592.078 setupapi.log
24.05.2006 20:21 496.354 ntbtlog.txt
22.05.2006 23:21 31.132 spupdsvc.log
22.05.2006 21:45 13.282 KB911565.log
22.05.2006 21:45 21.289 wmsetup.log
22.05.2006 10:53 316 wmsetup10.log
22.05.2006 10:51 316.640 WMSysPr9.prx
22.05.2006 10:30 116 NeroDigital.ini
12.05.2006 10:56 216 wiadebug.log
12.05.2006 10:35 50 wiaservc.log
10.05.2006 09:50 791.817 iis6.log
10.05.2006 09:50 148.951 comsetup.log
10.05.2006 09:50 94.129 ntdtcsetup.log
10.05.2006 09:50 281.486 tsoc.log
10.05.2006 09:50 28.528 tabletoc.log
10.05.2006 09:50 1.374 imsins.log
10.05.2006 09:50 20.671 ocmsn.log
10.05.2006 09:50 11.751 KB913580.log
10.05.2006 09:50 101.517 netfxocm.log
10.05.2006 09:50 344.066 ocgen.log
10.05.2006 09:50 21.267 medctroc.Log
10.05.2006 09:50 30.044 msgsocm.log
10.05.2006 09:50 578.554 FaxSetup.log
10.05.2006 09:50 220.150 msmqinst.log
10.05.2006 09:49 31.689 updspapi.log
26.04.2006 12:13 1.374 imsins.BAK
26.04.2006 12:13 11.163 KB900485.log
14.04.2006 15:12 15.045 KB908531.log
14.04.2006 15:12 14.280 KB911562.log
14.04.2006 15:11 16.382 KB912812.log
14.04.2006 15:09 10.726 KB911567.log
22.03.2006 19:01 6.221 WGA.log
17.02.2006 14:54 10.710 KB911927.log
17.02.2006 14:53 6.308 KB911564.log
17.02.2006 14:52 6.669 KB913446.log
11.02.2006 03:58 90.112 inst_tsp.exe
11.02.2006 03:48 41.984 killproc.exe
10.02.2006 13:09 12.935 KB885250.log
10.02.2006 13:08 12.963 KB887742.log
10.02.2006 13:08 12.538 KB887472.log
10.02.2006 13:07 16.256 KB905915.log
10.02.2006 13:04 6.287 KB886185.log
10.02.2006 13:02 3.245 KB885884.log
10.02.2006 00:48 29.975 KB904706.log
10.02.2006 00:25 360 DtcInstall.log
10.02.2006 00:20 1.174 OEWABLog.txt
10.02.2006 00:15 735.194 setuplog.txt
10.02.2006 00:09 456.718 svcpack.log
10.02.2006 00:08 206.504 KB912919.log
10.02.2006 00:06 220.352 KB910437.log
10.02.2006 00:03 203.482 KB908519.log
10.02.2006 00:01 205.369 KB905749.log
09.02.2006 23:58 215.496 KB905414.log
09.02.2006 23:56 234.629 KB902400.log
09.02.2006 23:53 212.568 KB901214.log
09.02.2006 23:51 225.534 KB901017.log
09.02.2006 23:48 212.804 KB900725.log
09.02.2006 23:46 226.508 KB899591.log
09.02.2006 23:43 213.648 KB899589.log
09.02.2006 23:41 232.816 KB899587.log
09.02.2006 23:38 202.233 KB896428.log
09.02.2006 23:36 228.808 KB896424.log
09.02.2006 23:34 225.087 KB896423.log
09.02.2006 23:31 231.693 KB896422.log
09.02.2006 23:29 224.542 KB896358.log
09.02.2006 23:26 227.349 KB893756.log
09.02.2006 23:24 214.130 KB893066.log
09.02.2006 23:21 213.655 KB891781.log
09.02.2006 23:19 208.034 KB890859.log
09.02.2006 23:17 215.610 KB890046.log
09.02.2006 23:14 206.993 KB888302.log
09.02.2006 23:11 221.619 KB888113.log
09.02.2006 23:08 225.888 KB885836.log
09.02.2006 23:05 230.854 KB885835.log
09.02.2006 23:03 221.513 KB873339.log
09.02.2006 22:52 200 cmsetacl.log
09.02.2006 22:51 1.330 sessmgr.setup.log
1980 Datei(en) 352.785.459 Bytes
0 Verzeichnis(se), 14.842.839.040 Bytes frei

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

dartus · 31.05.2006, 10:00

Hallo chico,

hat Smitfraudfix nicht geklappt oder warum hast Du Smitrem benutzt?
Desweiteren fehlt eines der 4 Logfiles von "Datfind.bat" --> C:\Windows\sytem32

dartus

chico · 31.05.2006, 10:21

Hallo Dartus,

jetzt hat es doch mit SmitFraudFix geklappt:

SmitFraudFix v2.51

Scan done at 11:14:30,88, 31.05.2006
Run from C:\Dokumente und Einstellungen\Christian\Eigene Dateien\trojaneradware\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Christian\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\CHRIST~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

und hier ist noch das fehlende Logfile,welches ich aber aus Platzgründen gekürzt habe:

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\WINDOWS\system32

31.05.2006 08:14 6.144 simpole.tlb
30.05.2006 12:33 52 stdole3.tlb
29.05.2006 22:11 14.741 eInstall.dat
29.05.2006 22:09 46.080 dcomcfg.exe
29.05.2006 02:00 2.206 wpa.dbl
24.05.2006 20:47 2.550 Uninstall.ico
24.05.2006 20:47 1.406 Help.ico
24.05.2006 20:47 30.590 pavas.ico
22.05.2006 21:09 40.380 perfc009.dat
22.05.2006 21:09 312.184 perfh009.dat
22.05.2006 21:09 317.602 perfh007.dat
22.05.2006 21:09 48.672 perfc007.dat
22.05.2006 21:09 725.492 PerfStringBackup.INI
22.05.2006 10:52 16.832 amcompat.tlb
22.05.2006 10:52 23.392 nscompat.tlb
04.05.2006 06:26 5.818.784 MRT.exe
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
21.02.2006 19:36 253.952 PavSHook.dll
16.02.2006 15:00 61.440 pavipc.dll
16.02.2006 15:00 131.072 TpUtil.dll
14.02.2006 10:20 550.120 LegitCheckControl.dll
11.02.2006 04:08 913.408 contfilt.dll
11.02.2006 03:58 335.872 mwtsp.dll
11.02.2006 03:56 110.592 mwnsp.dll
10.02.2006 00:16 269 spupdwxp.log
10.02.2006 00:14 246.312 FNTCACHE.DAT
26.01.2006 23:47 1.201 LexFiles.usr
24.01.2006 15:52 5.600 LexFiles.ulf
20.01.2006 18:13 0 asfiles.txt
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
21.10.2005 00:25 1.094.144 esent.dll
17.10.2005 23:20 80.896 fontsub.dll
17.10.2005 23:20 118.272 t2embed.dll
09.10.2005 18:53 125.440 UNZDLL.DLL
06.10.2005 05:08 1.839.616 win32k.sys
27.09.2005 12:13 45.056 avldr.dll
10.09.2005 03:54 2.067.968 cdosys.dll
01.09.2005 03:44 292.352 winsrv.dll
01.09.2005 03:44 19.968 linkinfo.dll
30.08.2005 05:55 1.292.800 quartz.dll
23.08.2005 05:39 124.416 umpnpmgr.dll
22.08.2005 20:31 197.632 netman.dll
11.08.2005 17:11 65.024 nwwks.dll
26.07.2005 06:39 397.824 rpcss.dll
26.07.2005 06:39 37.888 olecnv32.dll
26.07.2005 06:39 101.376 txflog.dll
26.07.2005 06:39 74.752 olecli32.dll
26.07.2005 06:39 1.285.120 ole32.dll
26.07.2005 06:39 243.200 es.dll
26.07.2005 06:39 540.160 comuid.dll
26.07.2005 06:39 1.267.200 comsvcs.dll
26.07.2005 06:39 60.416 colbact.dll
26.07.2005 06:39 498.688 clbcatq.dll
26.07.2005 06:39 97.792 comrepl.dll
26.07.2005 06:39 625.152 catsrvut.dll
26.07.2005 06:39 225.792 catsrv.dll
26.07.2005 06:39 110.080 clbcatex.dll
12.07.2005 19:04 23.304 GWFSPidGen.dll
08.07.2005 18:28 76.800 remotesp.tsp
08.07.2005 18:28 249.344 tapisrv.dll
29.06.2005 03:49 74.240 mscms.dll
29.06.2005 03:49 254.976 icm32.dll
28.06.2005 09:21 22.752 spupdsvc.exe
28.06.2005 09:20 13.536 spmsg.dll
15.06.2005 19:49 295.936 kerberos.dll
11.06.2005 01:53 57.856 spoolsv.exe
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 41.472 hhsetup.dll
27.05.2005 04:04 546.304 hhctrl.ocx
27.05.2005 04:04 155.136 itircl.dll
26.05.2005 05:19 173.536 wuweb.dll
26.05.2005 05:19 178.408 muweb.dll
26.05.2005 05:16 41.240 wups.dll
26.05.2005 05:16 18.200 wups2.dll
26.05.2005 05:16 1.343.768 wuaueng.dll
26.05.2005 05:16 198.424 iuengine.dll
26.05.2005 05:16 75.544 cdm.dll
26.05.2005 05:16 194.840 wuaueng1.dll
26.05.2005 05:16 124.696 wuauclt.exe
26.05.2005 05:16 466.200 wuapi.dll
26.05.2005 05:16 128.232 mucltui.dll
26.05.2005 05:16 174.872 wuaucpl.cpl
26.05.2005 05:16 128.280 wucltui.dll
26.05.2005 05:16 174.872 wuauclt1.exe
11.05.2005 04:30 78.336 telnet.exe
04.05.2005 15:45 78.848 msiexec.exe
04.05.2005 15:45 271.360 msihnd.dll
04.05.2005 15:45 15.360 msisip.dll
04.05.2005 15:45 884.736 msimsg.dll
04.05.2005 15:45 2.890.240 msi.dll
31.03.2005 21:17 176.167 rmoc3260.dll
31.03.2005 21:16 5.632 pndx5032.dll
31.03.2005 21:16 6.656 pndx5016.dll
31.03.2005 21:16 278.528 pncrt.dll
19.03.2005 14:21 25.065 wmpscheme.xml
19.03.2005 14:17 261 $winnt$.inf
19.03.2005 14:10 2.951 CONFIG.NT
19.03.2005 14:08 488 logonui.exe.manifest
19.03.2005 14:08 488 WindowsLogon.manifest
19.03.2005 14:07 749 sapi.cpl.manifest
19.03.2005 14:07 749 cdplayer.exe.manifest
19.03.2005 14:07 749 nwc.cpl.manifest
19.03.2005 14:07 749 wuaucpl.cpl.manifest
19.03.2005 14:07 749 ncpa.cpl.manifest
19.03.2005 14:03 21.740 emptyregdb.dat
19.03.2005 13:58 0 h323log.txt
02.03.2005 20:09 56.832 authz.dll
02.03.2005 20:09 578.560 user32.dll
02.03.2005 20:06 2.181.632 ntoskrnl.exe
02.03.2005 20:06 2.059.136 ntkrnlpa.exe
27.01.2005 15:39 466.944 capicom.dll
24.01.2005 12:50 508.928 eInstall.exe
1980 Datei(en) 352.785.459 Bytes
0 Verzeichnis(se), 14.842.839.040 Bytes frei

dartus · 31.05.2006, 10:36

Hallo chico,

welche Option hast Du bei Smitfraudfix verwendet "1" oder "2"?
Sind die Logfiles von "Datfind.bat" vor der Anwendung von Smitfraudfix erstellt worden?

dartus

chico · 31.05.2006, 10:47

Hallo Dartus,
Habe bei SmitFraud Option 1 gewählt.
Die Logfiles sind vor der Anwendung von SmitFraud erstellt worden.

dartus · 31.05.2006, 11:55

Hallo chico,

wähle nun die Option 2.

dartus

chico · 31.05.2006, 19:25

Habe nun die Option 2 im gesicherten Modus ausgeführt und den Rechner neu gestartet.Folgenden Rapport hat SmitFraud erstellt:

SmitFraudFix v2.51

Scan done at 20:00:57,69, 31.05.2006
Run from C:\Dokumente und Einstellungen\Christian\Eigene Dateien\trojaneradware\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Muss ich nun noch irgendetwas tun?
Zumindest öffnen sich bei einloggen ins Internet nun keine Fenster mehr mit dem Hinweis der Rechner sei infiziert.
Ich hatte mir,nachdem der Rechner infiziert war, Panda Platinum als neues Schutzprogramm runtergeladen.Ist es normal, dass ich nun um einiges langsamer im Internet bin?

24.05.2006, 20:56	#2
Sunny Administrator > Competence Manager	Adware Hallo CHICO, erstell bitte ein Hijacklog wie es in meiner Signatur verlinkt ist. Und lass mal dein System mit eScan durchsuchen...poste bitte beides in einen Beitrag, editiere alle aktiven & persönlichen Links! Gruß Daniel __________________ __________________

24.05.2006, 21:59	#4
Sunny Administrator > Competence Manager	Adware lade dir diese Programme --> hier.. und hier.. (ACHTUNG: Direkt-Download) mach es genau wie in der Anleitung beschrieben, und führe danach nochmal einen kompletten eScan durch.. Gruß Daniel __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

Adware

Plagegeister aller Art und deren Bekämpfung: Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Adware

Ähnliche Themen: Adware

24.05.2006, 19:40	#1
chico	Adware Hallo, ich habe mir auf meinem Rechner Adware eingefangen.Nun habe ich das Problem, dass sich beim Öffnen des IE permanent Seiten mit dem Hinweis mein Rechner sei infiziert öffnen.Was kann ich tun? Gruß Chris

24.05.2006, 21:55	#3
chico	Adware Hallo Daniel, ich habe das Logfile erstellt und auch den Scan durchgeführt.Allerdings sind beim File des Scans (welches irre lang ist), tonnenweise temporäre Daten des IE mit dabei.Soll ich diese rausfiltern, bzw.was ist davon alles wichtig? Gruß Chris __________________

30.05.2006, 09:30	#6
chico	Adware Ergenis des Scans folgt noch....

30.05.2006, 09:42	#7
dartus	Adware Hallo chico, lade dir Smitfraudfix und gehe wie unter "Reinigung" beschrieben vor. Poste anschl. den Inhalt der "C:\rapport.txt" sowie die 4 Logfiles von Datfind.bat wie beschrieben mit den Daten der letzten 4 Wochen. dartus __________________ Kein Support per PN Geändert von dartus (30.05.2006 um 09:51 Uhr)

31.05.2006, 10:00	#10
dartus	Adware Hallo chico, hat Smitfraudfix nicht geklappt oder warum hast Du Smitrem benutzt? Desweiteren fehlt eines der 4 Logfiles von "Datfind.bat" --> C:\Windows\sytem32 dartus __________________ Kein Support per PN

31.05.2006, 10:36	#12
dartus	Adware Hallo chico, welche Option hast Du bei Smitfraudfix verwendet "1" oder "2"? Sind die Logfiles von "Datfind.bat" vor der Anwendung von Smitfraudfix erstellt worden? dartus __________________ Kein Support per PN

31.05.2006, 10:47	#13
chico	Adware Hallo Dartus, Habe bei SmitFraud Option 1 gewählt. Die Logfiles sind vor der Anwendung von SmitFraud erstellt worden.

31.05.2006, 11:55	#14
dartus	Adware Hallo chico, wähle nun die Option 2. dartus __________________ Kein Support per PN