ADSPY/Bar.loop gefunden, wie entfernen?

Call me Al · 13.06.2006, 09:28

Hallo,

bin echt begeistert von dem Board, auch wenn man beim Durchstöbern der Foren hier teilweise echt Bammel bekommt so als Normaluser...

Habe ein kleines Problem, evtl kann mir jemand einen Tip geben? Antivir hat in der Datei "OOEEEBLLDGR.DLL" den Virus "ADSPY/BAR.LOOP" ausgemacht. Habe die Datei bei Virustotal gescannt (Treffer):

AntiVir 6.34.1.37 06.08.2006 ADSPY/Bar.Loop
DrWeb 4.33 06.08.2006 Adware.SearchAid
Ikarus 0.2.65.0 06.07.2006 AdWare.Lop.U
Kaspersky 4.0.2.24 06.08.2006 not-a-virus:AdWare.Win32.Lop.u
McAfee 4779 06.07.2006 potentially unwanted program Free-Scratch-Cards
Norman 5.90.21 06.08.2006 Swizzor.IC
TheHacker 5.9.8.156 06.08.2006 Aplicacion/Mp3Search
VBA32 3.11.0 06.08.2006 AdWare.Lop.u

Wie werde ich das Ding nun los? Muss ich das überhaupt (wg. Kaspersky)?

Es gibt auch einen HijackThis log, vielleicht hilft der weiter? Wäre echt nett, wenn sich das mal jemand ansehen könnte... Bin ich ansonsten sauber?

Logfile of HijackThis v1.99.1
Scan saved at 10:07:44, on 13.06.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\KYOCERA\FS-720 UTILITIES\KMGLNC.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ULTIMATEZIP\UZIP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von surfEU
O2 - BHO: wgatvbeqvgmpguygtmil - {ddeff720-6798-11d7-a109-70c350c10000} - C:\WINDOWS\ANWENDUNGSDATEN\OOEEEBLLDGR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: yoprhbkfwie - {ddeff721-6798-11d7-a109-70c350c10000} - C:\WINDOWS\ANWENDUNGSDATEN\OOEEEBLLDGR.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ISDNStatus] C:\Programme\ISDN_UTL\isdnsta.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [Launcher] C:\Program Files\Kyocera\FS-720 Utilities\KMGLNC.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O12 - Plugin for .pif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

Danke für eure Mühe,
Al.

dartus · 13.06.2006, 12:29

Hallo Call me Al,

scanne auch noch folgende Datei bei Virustotal und teile das Ergebnis mit:

C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE

dartus

Call me Al · 13.06.2006, 12:56

Hallo dartus,

beide Dateien ohne Ergebnis gescannt.

CallMeAl

Call me Al · 13.06.2006, 21:28

habe OOEEEBLLDGR.DLL im abgesicherten Modus gelöscht (habs noch auf disk). hijackthis sagt mir nun, dass diese Datei fehlt (die beiden Einträge O2 und O3 sind genauso wie in dem geposteten Log, nur dass jetzt in Klammern dahinter steht, dass die Datei fehlt). Hat das was zu bedeuten? Verschwinden diese beiden Einträge irgendwann von selbst, oder muss ich da noch was machen?

Kurze Info wäre nett, kenn mich mit HJT nicht so aus.

Gruß, Al.

Call me Al · 15.06.2006, 18:02

Kann mir nicht einer nen kleinen tip geben, ob noch was zu tun ist bzw. wie ich das rausfinden kann?

undoreal · 15.06.2006, 22:44

Hallo Al (<- hoffe das geht klar

)

Dein Problem ist wahrscheinlich nicht koplett gelöscht.

Ich würde es mal mit AdAware probieren das sollte eigentlich funzen.

Gruß Undoreal

dartus · 15.06.2006, 23:14

Call me Al,

fixe die "02 und 03" - Einträge mit Hijackthis (Scan mit HJT, Häkchen vor Eintrag und auf Fix checked klicken).

dartus

Call me Al · 16.06.2006, 09:00

Hoppla! Da hat sich doch einiges festgesetzt! Da müssen wohl Maßnahmen ergriffen werden... Kommt man da noch mit einem Progrämmchen ran, oder kann ich gleich mein System neu aufsetzen? Laut dem TAC von Adaware sind das ja eigentlich alles eindeutig Schädlinge, die unerwünscht sind. Nur bei dem "Vulnerability" bin ich nicht so sicher, was das genau ist.

Gruß, Al

Hier des Adaware-Log Teil 1:

Ad-Aware SE Build 1.06r1
Logfile Created on

onnerstag, 15. Juni 2006 23:06:47
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R112 15.06.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC index:5):8 total references
Lop(TAC index:7):25 total references
Windows(TAC index:3):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

15.06.06 23:06:47 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [KERNEL32.DLL]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4279211939
Threads : 8
Priority : High
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Kernkomponente des Win32-Kernel
InternalName : KERNEL32
LegalCopyright : Copyright (C) Microsoft Corp. 1991-1999
OriginalFilename : KERNEL32.DLL

#:2 [MSGSRV32.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294956159
Threads : 1
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Windows 32-Bit-VxD-Meldungsserver
InternalName : MSGSRV32
LegalCopyright : Copyright (C) Microsoft Corp. 1992-1998
OriginalFilename : MSGSRV32.EXE

#:3 [MPREXE.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294910931
Threads : 2
Priority : Normal
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
ProductName : Microsoft(R) Windows(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
LegalCopyright : Copyright (C) Microsoft Corp. 1993-1998
OriginalFilename : MPREXE.EXE

#:4 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294924811
Threads : 1
Priority : Normal
FileVersion : 4.03.1998
ProductVersion : 4.03.1998
ProductName : Microsoft Windows
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
LegalCopyright : Copyright © Microsoft Corp. 1991-1998
OriginalFilename : mmtask.tsk

#:5 [SCHEDM.EXE]
FilePath : C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\
ProcessID : 4294878907
Threads : 2
Priority : Normal

#:6 [EXPLORER.EXE]
FilePath : C:\WINDOWS\
ProcessID : 4294928051
Threads : 18
Priority : Normal
FileVersion : 4.72.3110.1
ProductVersion : 4.72.3110.1
ProductName : Betriebssystem Microsoft(R) Windows NT(R)
CompanyName : Microsoft Corporation
FileDescription : Windows-Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1997
OriginalFilename : EXPLORER.EXE

#:7 [TASKMON.EXE]
FilePath : C:\WINDOWS\
ProcessID : 4294548363
Threads : 1
Priority : Normal
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
ProductName : Microsoft(R) Windows(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : Task Monitor
InternalName : TaskMon
LegalCopyright : Copyright (C) Microsoft Corp. 1998
OriginalFilename : TASKMON.EXE

#:8 [SYSTRAY.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294566811
Threads : 2
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Systemanwendung für Taskleiste
InternalName : SYSTRAY
LegalCopyright : Copyright (C) Microsoft Corp. 1993-1998
OriginalFilename : SYSTRAY.EXE

#:9 [ATIPTAXX.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294562851
Threads : 1
Priority : Normal
FileVersion : 4.11.2437
ProductName : ATI Technologies, Inc.
CompanyName : ATI Technologies, Inc.
FileDescription : ATI Task Icon
InternalName : ATIPDSXX
LegalCopyright : Copyright © ATI Technologies Inc. 1999
OriginalFilename : ATIPTAXX.DLL

#:10 [INTERNAT.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294518963
Threads : 1
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows NT(R)
CompanyName : Microsoft Corporation
FileDescription : Sprachanzeigeprogramm
InternalName : INTERNAT
LegalCopyright : Copyright (C) Microsoft Corp. 1998
OriginalFilename : INTERNAT.EXE

#:11 [STIMON.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294524171
Threads : 3
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Still Image Devices Monitor
InternalName : STIMON
LegalCopyright : Copyright (C) Microsoft Corp. 1996-1998
OriginalFilename : STIMON.EXE

#:12 [KMGLNC.EXE]
FilePath : C:\PROGRAM FILES\KYOCERA\FS-720 UTILITIES\
ProcessID : 4294515719
Threads : 1
Priority : Normal
FileVersion : 1, 1, 13, 27
ProductVersion : 1, 1, 13, 27
ProductName : KYOCERAMITA KMGLNC
CompanyName : KYOCERA MITA Corporation
FileDescription : KMGLNC
InternalName : KMGLNC
LegalCopyright : Copyright (C) 2004 KYOCERA MITA Corporation
OriginalFilename : KMGLNC.exe
Comments : win98me

#:13 [AVGCTRL.EXE]
FilePath : C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\
ProcessID : 4294540823
Threads : 3
Priority : Normal

#:14 [SPOOL32.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294532439
Threads : 2
Priority : Normal
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
ProductName : Microsoft(R) Windows(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler Sub System Process
InternalName : spool32
LegalCopyright : Copyright (C) Microsoft Corp. 1994 - 1998
OriginalFilename : spool32.exe

#:15 [WMIEXE.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294495883
Threads : 3
Priority : Normal
FileVersion : 5.00.1755.1
ProductVersion : 5.00.1755.1
ProductName : Microsoft(R) Windows NT(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1998
OriginalFilename : wmiexe.exe

#:16 [FIREFOX.EXE]
FilePath : C:\PROGRAMME\MOZILLA FIREFOX\
ProcessID : 4294477559
Threads : 5
Priority : Normal

#:17 [RUNDLL32.EXE]
FilePath : C:\WINDOWS\
ProcessID : 4294661931
Threads : 1
Priority : Normal
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : Copyright (C) Microsoft Corp. 1991-1998
OriginalFilename : RUNDLL.EXE

#:18 [RNAAPP.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294622423
Threads : 3
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : DFÜ-Netzwerkprogramm
InternalName : RNAAPP
LegalCopyright : Copyright (C) Microsoft Corp. 1992-1996
OriginalFilename : RNAAPP.EXE

#:19 [TAPISRV.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294614479
Threads : 6
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Microsoft® Windows(R) Telefonieserver
InternalName : Telefoniedienst
LegalCopyright : Copyright (C) Microsoft Corp. 1994-1998
OriginalFilename : TAPISRV.EXE

#:20 [DDHELP.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294043539
Threads : 2
Priority : Realtime
FileVersion : 4.08.01.0881
ProductVersion : 4.08.01.0881
ProductName : Microsoft® DirectX for Windows® 95 and 98
CompanyName : Microsoft Corporation
FileDescription : Microsoft DirectX Helper
InternalName : DDHelp.exe
LegalCopyright : Copyright © Microsoft Corp. 1994-2001
OriginalFilename : DDHelp.exe

#:21 [AD-AWARE.EXE]
FilePath : C:\PROGRAMME\LAVASOFT\AD-AWARE SE PERSONAL\
ProcessID : 4294434619
Threads : 2
Priority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Call me Al · 16.06.2006, 09:01

......... und Teil 2:

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Lop Object Recognized!
Type : Regkey
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : kst

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : pi

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : eee

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : stgr

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : grgr

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : cron

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : nj

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : eeee

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : eef

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : eecrkpcrod

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : gry

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : grn

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : ckd

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : fd

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : oufbrcrgrydnnendbrid

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : oufbrcrgryoushbrtrf

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : oufbrcrgryoushbrtrff

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : oufbrcrgryoueebrcr

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : deedooufbrcrgry

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\backup
Value : oefyp

Alexa Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : MenuStatusBar

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Script

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : clsid

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Icon

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : HotIcon

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : ButtonText

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\internet explorer\extensions\cmdmapping
Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}

Windows Object Recognized!
Type : RegData
Data :
TAC Rating : 3
Category : Vulnerability
Comment :
Rootkey : HKEY_USERS
Object : .DEFAULT\software\policies\microsoft\internet explorer\restrictions
Value : NoBrowserOptions
Data :

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 30
Objects found so far: 30

Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 30

Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 30

Deep scanning and examining files (c

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for c:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 30

Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Search Bar

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\toolbar\shellbrowser
Value : {0E5CBF21-D15F-11D0-8301-00AA005B4383}

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : AutoSearch

Lop Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Use Custom Search URL

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 4
Objects found so far: 34

23:23:42 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:16:55.80
Objects scanned:82322
Objects identified:34
Objects ignored:0
New critical objects:34

Darthshoot · 16.06.2006, 11:25

Ich würde mal an deiner Stelle Avira Personal benutzen. Der findet garantiert alles und beseitigt auch alles, bis auf Nirvanadateien. Dafür dann CC-Task benutzen. Dann solltest du noch in Volume hereingehen und nochma dort alles scannen. Das kannst du machen, indem du dir im Abgesicherten Modus die Rechte besorgst. Alle Virenscanner sagen zwar, dass sie Den Volume mitscannen würden, aber es ist eine Lüge! Sie scannen ihn, wenn überhaupt nur mangelhaft. Erst wenn du Vollzugriff hast, finden sie alles. Zumindest Avira ;-)

Wenn auch das nichts hilft kann ich dir vielleicht mit Direktunterstützung in ICQ weiterhelfen? 238-906-043

An sonsten könntest du noch Tutorials auf http://v-members.dl.am durchmachen.

+Flori+ · 16.06.2006, 12:51

Hi,

Scanne deinen PC mit diesen Online Scannern:
1. Panda Online-Scan. http://www.pandasoftware.com/activescan/de/activescan_principal.htm
Findet und entfernt viele Schadprogramme, nur Spyware und Adware werden nicht bereinigt.
2. BitDefender Online- Scan.
http://www.bitdefender.de/bd/site/page.php#

Wenn die Scanner was finden, dann Poste bitte die Scan-Protokolle.

Darthshoot · 16.06.2006, 12:56

Ich hab mich vertippt! Ich meine nicht CC-Task, sondern Amok DelayDel!
Sorry!

Ihr könnt unter Umständen auch die Nirvanadateien aus dem Nirvana wieder zurück holen

dazu in eine Bat Datei:

rename virus(numpad+220).exe virus.exe

Aber das geht glaube ich nur unter Windows95 und wer hat den schon heute noch..

dartus · 16.06.2006, 22:53

@Darthshoot und +Flori+,

nett, sehr nett!

dartus

Call me Al · 17.06.2006, 10:21

@ darthshoot:
Ich verstehe deine Anweisungen leider nicht, würde das Problem aber lieber im Forum beheben.

@ dartus:
was den ADSPY angeht: wenn du meinst, dass es sinn macht, kann ich die datei auch wieder in das Verzeichnis kopieren (von disk) und es dann mit Antivir programm entfernen... einfach löschen ging jedenfalls nicht, weil es dann hieß, die datei werde "von windows benutzt".

Was mache ich denn mit den anderen Störenfrieden, die Adaware gefunden hat?
Data miner: klingt für mich nach "entfernen" mit adaware.
Malware: reicht entfernen?
Vulnerability: selbe Frage, reicht einfaches entfernen mit adaware aus?

Gebe zu, ich habe zu lange ohne Sicherung gesurft. Aber ab heute wird immer brav geupdatet und auch sonst mehr auf sicherheit geachtet - versprochen! Dafür bietet das TB ja auch sehr viele nützliche Hinweise, ich arbeite mich da so allmählich durch.

Danke schonmal, Gruß, Al

Darthshoot · 17.06.2006, 10:57

Du darfst Maleware nicht löschen! Du musst es reparieren! Sonst ist dein Windows noch nachher futsch

Normaleweise werden ja ganz normale Programme infiziert, die der Windows braucht um zu funktionieren, und wenn du jetzt die einfach löscht...Ich glaube du weißt schon worauf ich hinaus will, oder?

Also Amok DelayDel ist DAS Tool zum entfernen hartneckiger Software. (Insbesondere .dll's.) Also du installierst Amok DelayDel und dann hast du einen Papierkorb, der etwas anders aussieht, als der original Windows-Papierkorb und auch anders heißt. Da ziehst du einfach manuell mit der Hand die Dateien rein, die du weghaben willst und startest neu. Dann sind sie futsch.

Wenn es noch mehr Probleme gibt mit den Dateien, dann schreibste einfach hier hin und ich erkläre dir dann weitere Schritte.

Ansonsten kannst du der Datei sämtliche Rechte entziehen. Du machst eine .bat datei (.txt und nennst sie in .bat um) und schreibst folgenden Inhalt rein:

cacls DATEIDIEZUSPERRENIST /D %USERNAME%

Genau so! Bloß DATEIDIEZUSPERRENIST halt den Namen von deiner Datei.
Dadurch wird der Datei alle Rechte entzogen. Du kannst sie nun weder löschen, noch kann sie irgendwie gestartet oder benutzt werden. Und genau das ist ja der vorteil. Sie ist nun ungebrauchbar.

An sonsten könntest du sie in Quarantäne packen.

15.06.2006, 22:44	#6
undoreal /// AVZ-Toolkit Guru	ADSPY/Bar.loop gefunden, wie entfernen? Hallo Al (<- hoffe das geht klar ) Dein Problem ist wahrscheinlich nicht koplett gelöscht. Ich würde es mal mit AdAware probieren das sollte eigentlich funzen. Gruß Undoreal

ADSPY/Bar.loop gefunden, wie entfernen?

Plagegeister aller Art und deren Bekämpfung: ADSPY/Bar.loop gefunden, wie entfernen?