AntiSpyCheck noch im systray vorhanden

darek · 24.06.2008, 18:54

Hallo,

nun nach langem Lesen brauche ich doch mal Hilfe und muss aktiv hier teilnehmen ;-)

Nachdem ich lange nicht mehr an meinem PC (XP SP2) war (meine Mutter hat ihn genutzt), fiel mir auf, dass ich ein Problem mit AntiSpyCheck habe.

Habe, so denke ich zumindest, es soweit geregelt bekommen, dass die ganzen Warnungen nicht mehr erscheinen.
Allerdings habe ich immer noch im Systray ein Zeichen, dass so ähnlich aussieht wie jenes von der WinFW (Sicherheitscenter), nur es blinkt die ganze Zeit.
Klickt man es an kommt man auf besagte Seite dieser Software.

Wie bekomme ich diesen Kram nun endgültig und komplett runter?

Habe mal folgendes Hijack für Euch!

Bedanke mich schon vorab!

Gruß darek!

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

schrauber · 24.06.2008, 19:21

hi,

wende bitte Smitfraudfix an:

Lade das SmitfraudFix von S!Ri runter: SmitfraudFix
Anwendung:

Suche:

Doppelklick auf die SmitfraudFix.exe
Wähle die 1 und drücke auf Enter um einen Bericht der infizierten Dateien zu bekommen. Dieser Bericht soll gespeichert werden, als C:\rapport-1.txt

Reinigung:

Starte deinen Rechner in den abgesicherten Modus neu auf (bevor das Windows Bild erscheint, die F8 Taste eindrücken, immer wieder F8 drücken)
Mach einen Doppelklick auf SmitfraudFix.exe
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen
Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.
Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.
Du solltest deinen Rechner nun neu aufstarten, um den Reinigungsprozess zu beenden. Das Logfile solltest du speichern, als C:\rapport-2.txt

Optional:

Wenn du die Zones und Restricted Zones wiederherstellen willst, gib die 3 ein und drücke auf Enter.
Du wirst gefragt: Restore Trusted Zone ? antworte Y (ja) und drücke auf Enter um die Trusted Zones zu löschen.

Mehr dazu -> hier Starte dein System neu auf.[/U]

Danach wende bitte Malwarebytes Anti-Malware an und poste das log,sowie ein neues HijackThis Logfile.

gruß

schrauber

BIOTEC · 24.06.2008, 19:21

Hi!

Ich bin ja noch nicht so lange dabei, aber du kannst ja mal....

C:\WINDOWS\system32\sgntu.dll

bei VirusTotal checken!

Poste mal, was der dann meint...

Gruss BIOTEC

schrauber · 24.06.2008, 19:23

Zitat:

C:\WINDOWS\system32\sgntu.dll

ThreatExpert Reports

brauch man nicht hochladen,ist schon bekannt

darek · 24.06.2008, 22:24

Hallo,

also ich glaube es scheint geklappt zu haben!
Habe alles wie beschrieben durchgeführt.
Vielen vielen Dank, super Hilfe.

Aber erstmal die Logs, in der Hoffnung, dass es das nun wirklich war.
Jedenflls tritt das Problem nicht mehr auf.

----------------------------------------------------------------
rapport-1

SmitFraudFix v2.328

Scan done at 21:08:23,95, 24.06.2008
Run from C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\user

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\user\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\USER_~1\FAVORI~1

C:\DOKUME~1\USER_~1\FAVORI~1\Antivirus Scan.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{c27abdde-8a43-4a7f-81c0-3fc3c952284f}"="chicot"

[HKEY_CLASSES_ROOT\CLSID\{c27abdde-8a43-4a7f-81c0-3fc3c952284f}\InProcServer32]
@="C:\WINDOWS\system32\sgntu.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{c27abdde-8a43-4a7f-81c0-3fc3c952284f}\InProcServer32]
@="C:\WINDOWS\system32\sgntu.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine III Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

Description: RT73 USB Wireless LAN Card #2 - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{30186C1F-8C0F-4B5C-B58F-42B9EC38F480}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{73B542A7-2BF2-408A-942F-4A3A4FEA845B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{30186C1F-8C0F-4B5C-B58F-42B9EC38F480}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{73B542A7-2BF2-408A-942F-4A3A4FEA845B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{30186C1F-8C0F-4B5C-B58F-42B9EC38F480}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{73B542A7-2BF2-408A-942F-4A3A4FEA845B}: NameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

------------------------------------------------------

rapport-2

SmitFraudFix v2.328

Scan done at 21:17:18,04, 24.06.2008
Run from C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{c27abdde-8a43-4a7f-81c0-3fc3c952284f}"="chicot"

[HKEY_CLASSES_ROOT\CLSID\{c27abdde-8a43-4a7f-81c0-3fc3c952284f}\InProcServer32]
@="C:\WINDOWS\system32\sgntu.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{c27abdde-8a43-4a7f-81c0-3fc3c952284f}\InProcServer32]
@="C:\WINDOWS\system32\sgntu.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\sgntu.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\sgntu.dll -> Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\User_~1\FAVORI~1\Antivirus Scan.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{30186C1F-8C0F-4B5C-B58F-42B9EC38F480}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{73B542A7-2BF2-408A-942F-4A3A4FEA845B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{30186C1F-8C0F-4B5C-B58F-42B9EC38F480}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{73B542A7-2BF2-408A-942F-4A3A4FEA845B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{30186C1F-8C0F-4B5C-B58F-42B9EC38F480}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{73B542A7-2BF2-408A-942F-4A3A4FEA845B}: NameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

---------------------------------------------------

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 887

23:11:55 24.06.2008
mbam-log-6-24-2008 (23-11-55).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 192814
Scan Dauer: 1 hour(s), 17 minute(s), 6 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\e405.e405mgr (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\441465 (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\QooBox\Quarantine\C\Programme\AntiSpyCheck 2.1\AntiSpyCheck 2.1.exe.vir (Rogue.VirusHeat) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8ABCE446-8C57-4807-80EA-BB4BEC6A3EF7}\RP132\A0017334.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8ABCE446-8C57-4807-80EA-BB4BEC6A3EF7}\RP133\A0017347.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8ABCE446-8C57-4807-80EA-BB4BEC6A3EF7}\RP139\A0017392.exe (Rogue.VirusHeat) -> Quarantined and deleted successfully.

--------------------------------------------

und HijackThis log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:13:07, on 24.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} (F5 Networks SSLTunnel) - h**ps://*******/vdesk/terminal/urTermProxy.cab#version=6020,2008,0122,2001
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks SuperHost Class) - h**ps:///*******vdesk/terminal/urxshost.cab#version=6020,2008,0122,2005
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host Control) - h**ps://*******/vdesk/terminal/urxhost.cab#version=6020,2008,0122,2004
O17 - HKLM\System\CCS\Services\Tcpip\..\{30186C1F-8C0F-4B5C-B58F-42B9EC38F480}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{73B542A7-2BF2-408A-942F-4A3A4FEA845B}: NameServer = 192.168.2.1
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

--
End of file - 7084 bytes

Erstmal vielen Dank,
vielleicht könntet Ihr nochmal ein Feedback zu den beiden logs geben?

Einen schönen Abend noch!

darek

schrauber · 25.06.2008, 05:41

hi,

das schaut schon ganz gut aus.

starte hijackthis,klicke do a system scan only,und setze einen haken vor folgende kästchen:

Code:

ATTFilter

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} (F5 Networks SSLTunnel) - h**ps://*******/vdesk/terminal/urTermProxy.cab#version=6020,2008,0122,2001
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks SuperHost Class) - h**ps:///*******vdesk/terminal/urxshost.cab#version=6020,2008,0122,2005
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host Control) - h**ps://*******/vdesk/terminal/urxhost.cab#version=6020,2008,0122,2004

klicke dann auf fix checked,dabei muss der browser mit allen fenstern geschlossen sein.

Wende bitte den CCleaner an.

Systemwiederherstellung deaktivieren und wieder aktivieren:

•*Windows XP: Deaktiviere die
Systemwiederherstellung
•*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
•*Wähle den Reiter Systemwiederherstellung
•*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
•*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
•*den Haken wieder entfernen und OK drücken
•*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.

Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
=> Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

gruß

schrauber

darek · 25.06.2008, 14:03

OK, werde ich machen.

Vielen Dank trotzdem nochmal für die schnelle und kompetente Hilfe.
Aber eine Frage habe ich noch, bzw. 2

1. Sollte mein System sonst soweit sauber sein?
2. Was hat dieses tolle Produkt AntiSpyCheck bewirkt? Nur nervige Meldungen oder auch ein Sicherheitsrisiko für mich, sprich z.B. Aufzeichnen der Tastatureingaben oder sowas? Oder brauch ich mir da keine Gedanken machen?

Vielen Dank nochmal!

Gruß darek

schrauber · 25.06.2008, 17:00

zu 1)
das wird uns der onlinescan verraten

. aber ich denke schon

zu 2)
diese art zählt zu den fake-programmen,es kommt ne meldung dass du nen virus hast mit der aufforderung,ein programm kostenpflichtig zu laden. so machen die geld. das prog ist dann wieder malware.

auch wenn solche malware im normalfall keine sachen stiehlt,würde ich alle passwörter ändern.

gruß

schrauber

darek · 25.06.2008, 22:55

Also hier das Protokoll von dem Online Scan.
Scheint ja doch was gefunden zu haben...

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 25. Juni 2008 23:48:04
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 25/06/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 882642
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
G:\
H:\
I:\
J:\
K:\
V:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 157686
Viren gefunden: 2
Infizierte Objekte gefunden: 5
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:07:50

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\Anwendungsdaten\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\WCESLog.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\user\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSys.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSys.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\LiveStrm.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\LiveStrm.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\Modules.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\Modules.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\Protocol.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\Protocol.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\SPYWAREfighter\spf.dat Das Objekt ist gesperrt übersprungen
C:\Programme\SPYWAREfighter\spf.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{8ABCE446-8C57-4807-80EA-BB4BEC6A3EF7}\RP142\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{B8C23A0D-D8CE-4388-8767-B2683D83DA23}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JET956A.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JET9952.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JET9971.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JET99CF.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\ATFC\wav2raw.exe Infizierte Objekte: Exploit.Win32.Servu.e übersprungen
D:\ATFC\wav2raw.exe Infizierte Objekte: Exploit.Win32.Servu.e übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
-----------------------------------------------------

Was sollte ich nun als nächstes machen?

Vielen Dank trotzdem...

Gruß darek

darek · 25.06.2008, 23:41

Kann es sein, dass dieser was mit Zlob zu tun hat, also dasAntiSpyCheck?
Meine Mutter meinte sie wollte so einen Player runterladen und dann kam der ganze Spass...
Hat dieser zufällig Backdooreigenschaften?

Gruß darek

schrauber · 26.06.2008, 05:55

hi,

backdooreigenschaften sind mir nicht bekannt.

nun machen wir folgendes:

Dateien mit OTMoveIt verschieben
Bitte lade Dir OTMoveIt von OldTimer herunter.

Speichere das Programm auf Deinem Desktop.
Doppelklick auf die OTMoveIt2.exe, um das Programm auszuführen.

Kopiere den Inhalt der folgenden Codebox komplett in die OTMoveIT-Box mit dem gelben Titel (Paste List Of Files/Folders to Move)

Code:

ATTFilter

 

D:\ATFC\wav2raw.exe
C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix
C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix.zip

Einen Haken setzen bei "Unregister Dll's and Ocx's"
Den roten Moveit! Button anklicken.
Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder
den Inhalt der Datei C:\_OTMoveIt\MovedFiles\<datum_nr.>.log kopieren und das Ergebnis in Deine nächste Antwort posten.
Die Dateien und/oder Ordner werden nach C:\_OTMoveIt\MovedFiles\ verschoben.
Schließe OTMoveIt

Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.

Danach bitte OtMoveIt nochmal starten:

Tool-Bereinigung mit OTMoveIt2

Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
Klicke auf den Button "CleanUp!"
Eine Datei* sollte nun heruntergeladen werden.
*Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
OTMoveit fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

Mache nun noch einen onlinescan mit f-secure.

gruß

schrauber

darek · 26.06.2008, 10:03

Hm, das SmitfraudFix sollte ich mir doch runterladen.
Warum wird das denn als infizierte Datei erkannt?

schrauber · 26.06.2008, 11:28

Zitat:

Zitat von darek

Hm, das SmitfraudFix sollte ich mir doch runterladen.
Warum wird das denn als infizierte Datei erkannt?

smitfraudfix hast du ja auch schon erfolgreich angewendet,wir entfernen es jetzt da wir es nicht mehr brauchen.

die meisten tools, die wir anwenden, werden faelchlicher weise von av-programmen als malware erkannt. diese tools arbeiten auf die selbe weise wie die malware,nur dass wir damit die malware entfernen. die tools muessen so arbeiten,da die viren immer extremer werden. wenn du von einem helfer ein tool genannt bekommst,kannst du uns ruhig glauben dass es sauber ist

.

also arbeite bitte die obige anleitung ab.

gruss

schrauber

darek · 26.06.2008, 17:43

Das Vertrauen ist schon da....
War jetzt auch nicht so gemeint, habe mich nur gewundert.
Habe ja zum Teil selbst erkennen können, wie SmitFraudFix arbeitet, bzw. eher das Ergebnis

Habe den Rest so gemacht wie beschrieben:
D:\ATFC\wav2raw.exe moved successfully.
C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix\SmitfraudFix moved successfully.
C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix moved successfully.
C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix.zip moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06262008_172419

Dann dieses:

File/Folder avenger.zip not found.
File/Folder avenger.exe not found.
File/Folder Avenger not found.
File/Folder avenger.txt not found.
File/Folder bfu.zip not found.
File/Folder BFU not found.
C:\WINDOWS\erdnt\Hiv-backup\Users\00000006 folder deleted successfully.
C:\WINDOWS\erdnt\Hiv-backup\Users\00000005 folder deleted successfully.
C:\WINDOWS\erdnt\Hiv-backup\Users\00000004 folder deleted successfully.
C:\WINDOWS\erdnt\Hiv-backup\Users\00000003 folder deleted successfully.
C:\WINDOWS\erdnt\Hiv-backup\Users\00000002 folder deleted successfully.
C:\WINDOWS\erdnt\Hiv-backup\Users\00000001 folder deleted successfully.
C:\WINDOWS\erdnt\Hiv-backup\Users folder deleted successfully.
C:\WINDOWS\erdnt\Hiv-backup folder deleted successfully.
C:\WINDOWS\erdnt folder deleted successfully.
C:\QooBox\Quarantine\Registry_backups folder deleted successfully.
C:\QooBox\Quarantine\C\Programme\AntiSpyCheck 2.1 folder deleted successfully.
C:\QooBox\Quarantine\C\Programme folder deleted successfully.
C:\QooBox\Quarantine\C folder deleted successfully.
C:\QooBox\Quarantine folder deleted successfully.
C:\QooBox\BackEnv folder deleted successfully.
C:\QooBox folder deleted successfully.
catchme service deleted successfully.
Service not present: gmer.
File delete failed. C:\Dokumente und Einstellungen\user\Desktop\OTMoveIt2.exe scheduled to be deleted on reboot.
File delete failed. C:\Dokumente und Einstellungen\user\Desktop\OTMoveIt2.exe scheduled to be deleted on reboot.
C:\_OTMoveIt\MovedFiles\06262008_172419\Dokumente und Einstellungen\user\Desktop\SmitfraudFix\SmitfraudFix folder deleted successfully.
C:\_OTMoveIt\MovedFiles\06262008_172419\Dokumente und Einstellungen\v\Desktop\SmitfraudFix folder deleted successfully.
C:\_OTMoveIt\MovedFiles\06262008_172419\Dokumente und Einstellungen\user\Desktop folder deleted successfully.
C:\_OTMoveIt\MovedFiles\06262008_172419\Dokumente und Einstellungen\user folder deleted successfully.
C:\_OTMoveIt\MovedFiles\06262008_172419\Dokumente und Einstellungen folder deleted successfully.
C:\_OTMoveIt\MovedFiles\06262008_172419 folder deleted successfully.
C:\_OTMoveIt\MovedFiles\06262008_172238\ATFC folder deleted successfully.
C:\_OTMoveIt\MovedFiles\06262008_172238 folder deleted successfully.
C:\_OTMoveIt\MovedFiles folder deleted successfully.
C:\_OTMoveIt folder deleted successfully.
File delete failed. C:\Dokumente und Einstellungen\user\Desktop\OTMoveIt2.exe scheduled to be deleted on reboot.
Dann wurde ich zum Neustart aufgefordert und siehe da, ich habe keine Datei mehr davon wiedergefunden. Hier scheint er aber wirklich noch den Ordner von dem Spycheck gefunden und gelöscht zu haben!

Nun zum Scan (habe Full System Scan gewählt)

Scanning Report
Thursday, June 26, 2008 17:37:28 - 18:31:07

Computer name: USER
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\
Result: 0 malware found
Statistics
Scanned:

* Files: 57760
* System: 3864
* Not scanned: 8

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{F0F303B7-332A-487D-BD87-7F1F98CD93A7}.BIN

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Blacklight: 1.0.68
* F-Secure Hydra: 2.8.8110, 2008-06-26
* F-Secure Pegasus: 1.20.0, 2008-04-15
* F-Secure AVP: 7.0.171, 2008-06-26

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Sieht meiner Meinung nach recht gut aus oder liege ich da falsch?
Ist damit das Kapitel geschlossen und ich brauch mir keine Gedanken mehr über restl. Spuren machen?

Gruß darek!

schrauber · 26.06.2008, 22:25

jepp,

wenn von deiner seite keine probleme mehr bestehen wars das

gruß

schrauber

26.06.2008, 22:25	#15
schrauber /// the machine /// TB-Ausbilder	AntiSpyCheck noch im systray vorhanden jepp, wenn von deiner seite keine probleme mehr bestehen wars das gruß schrauber __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

AntiSpyCheck noch im systray vorhanden

Log-Analyse und Auswertung: AntiSpyCheck noch im systray vorhanden