Hallo leute

mein kleiner bruder (sitze gerade an dem pc, weil ich den machen möchte), hat letzte woche ein neuen PC und internet. Gestern beim update ziehen habe ich den virenscanner BULLGUARD (der war von anfang an dabei, weiss aber das der nix is, mein kleiner bruder benutzt den einfach, obwohl ich ihm dringend davon angeraten habe) über den pc laufen lassen.

Siehe da er fand gleich 18 Dateien, von denen nur 4 angeblich beseitigt wurden.

14 konnte er nich entfernen, auswelchen grund auch immer.

Ich habe jetzt den HijackThis drüber laufen lassen und hier ist der scanbericht:

Logfile of HijackThis v1.99.1
Scan saved at 12:24:34, on 22.11.2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Programme\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Alessandro Pici\AppData\Local\Temp\Temp4_hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.narutogame.de/Land.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSVPS System - {F675EED8-4A4B-4A11-801B-08297749B83D} - C:\Windows\oprevnpx.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: The bbrsep - {422CA3AF-86F1-4607-88E2-BBBD4E9371EB} - C:\Windows\bonsws.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe" -boot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: nopctrl - {D218CD93-600F-4DA8-B2F9-EC0C2450CDF1} - C:\Windows\nopctrl.dll
O21 - SSODL: ddkret - {178F2D35-DBC5-4B43-A6E4-8106435B068E} - C:\Windows\ddkret.dll
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



mein problem generell ist, das ich nich genau weiss was ich danach machen muss. Ich habe hier viel über das sogenannte "fixen" gelesen, erst mal weiss ich garnich was das ist und zweitens wie mach ich das genau?

Meint ihr ich bekomm diese spyware tutto completto von dem pc wieder runter?

Würde mich freuen von euch zu hören.

lieben gruss
anpipi!

Hi,


Bitte folgende Files prüfen:

Zitat:

C:\Windows\bonsws.dll
C:\Windows\nopctrl.dll
C:\Windows\ddkret.dll

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste die Ergebnisse mit Filenamen. Wird ein File nicht erkannt, bei Avenger und HJ rausnehmen!

Also:
Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Files to delete:
C:\Windows\bonsws.dll
C:\Windows\nopctrl.dll
C:\Windows\ddkret.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: The bbrsep - {422CA3AF-86F1-4607-88E2-BBBD4E9371EB} - C:\Windows\bonsws.dll
21 - SSODL: nopctrl - {D218CD93-600F-4DA8-B2F9-EC0C2450CDF1} - C:\Windows\nopctrl.dll
O21 - SSODL: ddkret - {178F2D35-DBC5-4B43-A6E4-8106435B068E} - C:\Windows\ddkret.dll

Danach ein neues HJ-Log und Escan (siehe Signatur)...

Chris

Ergbenis beim scan von C:\Windows\bonsws.dll


File bonsws.dll received on 11.20.2007 18:48:53 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Result: 9/32 (28.13%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Downloader.Zlob.RHC
BitDefender - - -
CAT-QuickHeal - - AdWare.Vapsup.lv (Not a Virus)
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - Adware/Vapsup
F-Prot - - -
F-Secure - - -
Ikarus - - not-a-virus:AdWare.Win32.Vapsup.lv
Kaspersky - - not-a-virus:AdWare.Win32.Vapsup.lv
McAfee - - -
Microsoft - - BrowserModifier:Win32/Bonsws
NOD32v2 - - Win32/Adware.Agent.NIJ
Norman - - W32/Vapsup.DN
Panda - - -
Prevx1 - - TROJAN.VIRTUMOND
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Additional information
MD5: 21321dc6e1f7cd27b10cef7325d32d9b


ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.


so die anderen ergebnisse habe ich jetzt mal als pic hochgeladen is besser vll für alle, um eine bessere hilfe zu gewährleisten









EDIT: Kann Avenger nich starten, da das OS Windows Vista ist! Läuft nur unter win2000 oder xp! Gibts noch ein Programm das unter vista läuft?

Hi,

wir können noch die Killbox probieren, kenne mich leider auf Vista nicht so gut aus...

http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\Windows\bonsws.dll
C:\Windows\nopctrl.dll
C:\Windows\ddkret.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Poste das Log der Killbox und noch wie bereits avisiert, ein Escan-Log...

chris

hi okay

ich hab schon ma ein escan log.......

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows [Version 6.0.6000]
Bootmodus: NORMAL

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "spywaresecure Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "internetgamebox Riskware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with universal searchbar Spyware/Adware (utility.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with powerstrip Spyware/Adware (urls.bin)! Action taken: Keine Aktion vorgenommen.
System found infected with alureon Spyware/Adware (hkcr\vac.video)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Windows\nopctrl.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.mt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\ddkret.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.mr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\ddkret.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.mr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\nopctrl.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.mt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Users\ALESSA~1\AppData\Local\Temp\BIT6878.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.mp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\ddkret.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.mr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\nopctrl.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.mt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Users\Alessandro Pici\AppData\Local\temp\0e0eh5\utility.dll
Offending file found: C:\Users\Alessandro Pici\AppData\Local\temp\ghsdz2\utility.dll
Offending file found: C:\Users\Alessandro Pici\AppData\Roaming\microsoft\digital locker\urls.bin
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\epk_extr !!!
Offending Key found: HKCU\Software\livesvc !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\internetgamebox !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Users\ALESSA~1\AppData\Local\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\Windows\System32\drivers\etc\hosts :
C:\Windows\System32\drivers\etc\hosts :::1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 26851
Gefundene Viren: 35
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 61
Dauer des Scans bisher: 00:02:25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 15:43:45,08
Batchende: 15:43:48,89


killbox probiere ich jetzt schnell aus.....

danke nochmal


EDIT: auch killbox funzt nit vista sagt mir das:

Hi,

gut dann probieren in den abgesicherten Modus zu wechseln und die Dateien per Hand zu löschen zusätzlich die hier:
C:\Users\Alessandro Pici\AppData\Local\temp\0e0eh5\utility.dll
C:\Users\Alessandro Pici\AppData\Local\temp\ghsdz2\utility.dll
C:\Users\Alessandro Pici\AppData\Roaming\microsoft\digital locker\urls.bin

(oder einfach alle temporären-Dateien mit dem CCleaner löschen!)
CleanUp - temporäre Internetdateien löschen - Temporary Internet Files
oder
CCleaner - CCleaner 2.0

Chris

wie soll ich die per hand löschen???

Hi,

erstmal das hier abarbeiten:
http://www.trojaner-board.de/59624-a...-sichtbar.html (Danke rene-gad )
im abgesicherten Modus (F8 beim Booten drücken) booten,
Explorer aufrufen, Dateien suchen und löschen!

Sonst frage ich morgen mal bei Kollegen nach, welches Tool Vistakompatibel ist...

Vorschlag: Dr. Web, vielleicht findet er die Dateien und killed sie...
Anleitung: DrWeb.Cureit
Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt

Chris

ich habe noch und zwar wieso muss ich denn in den abgesicherten modus wechseln? wenn ich die virenscanner drüber laufen lasse im normal modus und der findet was und das programm sagt löschen etc und ich klick dann drauf das er sie löscht, werden die dateien dann nich gelöscht?

sorry für das komische geschreibsel aber bin jetzt so allmählich langsam konfus.....

Edit: hab eben genau das gemacht was ihr gesagt habt, aber die dateien sind immernoch da......dr. web hat es nich geschafft sie zu zerstören

Hi,

das Problem besteht darin, das die Dateien ja geladen sind und der Virus im Speicher läuft! Dadurch ist die Datei von Windows gesperrt, d.h. kann nicht gelöscht werden!. Killbox und Avenger löschen die Dateien beim Hochfahren vom Rechner, wenn diese noch nicht geladen sind...
Daher können normalerweise Antivirenprogramme auch keine "geladenen" Viren löschen (und wenn läuft der Virus, merkt die Löschung und schreibt sich halt gleich wieder in eine andere Datei)...
Alles andere wird kompliziert, man muß den Prozess des Virus/Trojaner suchen (wenn er nicht unsichtbar ist!), den dann im Taskmanager "abschießen", dann die Datei löschen...

Eigentlich sollte die Killbox aber unter Vista laufen, probiere es mit dieser Verison inkl. Anleitung:
WinTotal - Software - KillBox

Poste das log von Dr. Web, was hat er gefunden und wo!

Wenn das Löschen mit Killbox nicht funktioniert:
Per Hand mit z. B. ProcessMonitor von Sysinternals:
Process Explorer v11.04
Installieren und aufrufen!
Suche dort in der Anzeige die gemeldeten Dateien (wahrscheinlich als Childprozess von Explorer). Dann killen, danach die Datei löschen bzw. vorhandene Locks mit unlocker brechen (UNLOCKER 1.8.5 BY CEDRICK 'NITCH' COLLOMB),
anschließend wenn alle Files so bearbeitet worden sind, die entsprechende Einträge mit HJ-fixen (s. u.).

chris