Bitte um Hilfe wegen infect
 

Hallo zusammen,
bei mir taucht jetzt auch immer ein Popup auf, das Windows mit Spyware
infected ist. Da ich nicht so viel Ahnung davon habe, wäre es nett, wenn mir jemand helfen könnte, das wieder zu beseitigen.
Vielen Dank und Grüsse
tukan39
Hier ist der logfile:
Logfile of HijackThis v1.99.1
Scan saved at 18:26:13, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Bernard\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.aldi.com/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp8BD4.tmp (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: Pictures - {8E929F51-5914-11D6-971F-0050FC3F9161} - C:\Programme\Pictures Toolbar\Pictures.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld854A.tmp" /m
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: desktop(2).ini
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: desktop(2)(2).ini
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: desktop(3).ini
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - hxxp://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

@tukan39
Benutze mal dieses Progamm, um die nicht notwendigen Dienste abzuschalten.
Lade SpyBot S&D und AdAware herunter und scanne deinen PC.
Ich frage mich, was eine tmp-Datei im Autostart zu suchen hat? Bitte die Datei richtig suchen und bei www.virustotal.com checken.

Hallo Rene-gad,
vielen Dank für Deine schnelle Hilfe. Mit SpyBot und AdAware hatte ich schon
gescannt, aber nichts gefunden. Deine anderen Vorschläge werde
ich heute abend ausprobieren (muß gerade arbeiten).
Viele Grüße
tukan39

Hallo,
du hast Spyaxe. Besorge dir mal dieses Tool, enpacke es, lass es im abgesicherten Modus(F8 beim booten) laufen (ausführen der runthis.bat), und poste danach den Inhalt der Datei C:\smitfiles.txt

Dann machst du noch folgendes und postest die vier Logs (nur die Dateien der letzten drei Monate abkopieren!)


Grüße Wildone

@Wildone
Wie kann man das beweisen?
ROFL! Warum nicht einfach die Temp-Ordner zu leeren und den Explorer richtig einstellen? Diese "4 Logs in 3 Monaten" belegen u.U. 5 Seiten und zig MB Speicherplatz!!!

Hallo,
also ich schreibe dir ja auch nicht vor wie du deine Systeme analysieren sollst, und solange ich das innerhalb der Forenrichtlinien mache sehe ich keinen Grund dies zu ändern, es sei denn jemand aus dem Mod Team bittet mich das Board zu verlassen, dem würde ich dann folge leisten.
Ich habe meine Gründe warum ich die vier Logs haben will, und sie passen meist in einen Beitrag und sind nicht größer als beispielsweise ein Log mit winpfind.

Beweisen kann ich es erstmal nicht, aber die Vermutung bei einem ld*.tmp Eintrag im generierten 1024 Ordner im System32-Ordner legt es schon sehr nahe, und es verwundert mich schon etwas das du da nicht drauf gekommen bist.

Also, da du dich zuerst dem TE angenommen hast ziehe ich mich hiermit zurück, und bitte dich in Zukunft die von mir übernommenen Threads mit Kommentaren zu verschonen, es sei denn du hast wirklich was zu sagen.



Grüße Wildone

@Wildone
Kannst du diese auch veröffentlichen? Es ist wohl absolut sinnfrei, die Inhalte der Temp-Ordnern anzuschauen und noch versuchen, die zu analysieren statt die einfach zu löschen.
Die Ratschläge, die sich auf Glaskugel-Vermutungen basieren, sind wertlos.
Musste ich?

Servus @all!
Bevor Ihr beide euch noch weiter in die Haare bekommt um anschließend über mich herzufallen, will ich auch meinen Senf dazu geben:
Wildone hat wohl nicht ganz Unrecht mit seiner Vermutung?!
Und wenn schon beflegeln - dann am besten per PN, oder? Ihr "alten Hasen" solltet schon ein besseres Beispiel abgeben! :D
*duckundwegundtschüss*
gts, und habt euch wieder lieb, stupormundi

(OT)
@Rene-Gad
Es werden ja nicht nur die Temp Ordner analysiert sondern auch C:\, C:\Windows und C:\Windows\System32 Beispielthread warum das ganz sinnvoll sein kann hier.
Oder wie hättest du die Dateien kl.exe, winsub.xml, svcp.csv, desktop.html, hosts, scmt16.exe gefunden?
Aber eigentlich habe ich überhaupt keine Lust hier noch weiteres darzulegen, vorallem deshalb nicht, weil ich nicht freundlich gefragt wurde sondern blöd von der Seite angemacht wurde.
Ansonsten entschuldige ich mich das ich dich in deinem Thread gestört habe das wird definitiv nicht wieder vorkommen, das gleiche lege ich dir nahe.
Von meiner Seite EOD

Grüße Wildone

@stupormundi
ich will keinem ins Haar greifen, ich mag einfach nicht, wenn man seine Ratschläge aufgrund ausschließlich der Hellseherei macht: weder Datei- noch CLSID-Name sind in dem Fall eindeutig schlüssig. Solche Ratschläge u.U. mehr schaden, als helfen.
@Wildone
Wie immer - über Startmenü/Suchen :).

Da wäre jetzt wiederum meine Glaskugel zu beschlagen ;) , aber gut.

Hallo Rene-gad und Wildone,
jetzt kriegt Euch wegen mir mal nicht in die Haare.
Tatsache ist doch, das Ihr mir beide helfen wollt und das finde ich
supernett von Euch. Ich kann leider erst heute Abend alles abarbeiten
und melde mich dann wieder. Zur Not muß ich eben neu installieren.
Danke und viele Grüsse
tukan39

Hallo Wildone,
hier ist der Inhalt von smitfiles.txt:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SpyAxeFix © by noahdfear

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Center.url


~~~ Favorites ~~~



~~~ system32 folder ~~~

svchosts.dll
1024 dir
ld****.tmp
ncompat.tlb


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 764 'explorer.exe'
Killing PID 764 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)

Hallo Wildone, hier ist Log1

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS\system32

14.12.2005 20:17 376.016 perfh009.dat
14.12.2005 20:17 62.578 perfc007.dat
14.12.2005 20:17 386.338 perfh007.dat
14.12.2005 20:17 51.814 perfc009.dat
14.12.2005 20:17 886.752 PerfStringBackup.INI
14.12.2005 19:50 23.552 Thumbs.db
07.12.2005 19:53 2.206 wpa.dbl
05.12.2005 17:22 5.384 ncompat(2).tlb
03.12.2005 14:37 98.304 svchosts(2).dll
03.12.2005 14:36 4.286 ts(2).ico
03.12.2005 14:36 4.286 ot(2).ico
24.11.2005 18:36 350.584 FNTCACHE.DAT
10.11.2005 21:17 2.377.568 MRT.exe
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
06.10.2005 04:08 1.839.616 win32k(4).sys
06.10.2005 04:08 1.839.616 win32k(3).sys
06.10.2005 04:08 1.839.616 win32k(2).sys
04.10.2005 16:26 3.013.120 mshtml.dll
04.10.2005 16:26 3.013.120 mshtml(2).dll
04.10.2005 16:26 3.013.120 mshtml(3).dll
23.09.2005 04:06 8.491.520 shell32(4).dll
23.09.2005 04:06 8.491.520 shell32.dll
23.09.2005 04:06 8.491.520 shell32(3).dll
23.09.2005 04:06 8.491.520 shell32(2).dll
10.09.2005 02:54 2.067.968 cdosys.dll
05.09.2005 17:16 23.392 nscompat.tlb
05.09.2005 17:16 16.832 amcompat.tlb
03.09.2005 00:53 664.064 wininet(4).dll
03.09.2005 00:53 664.064 wininet(3).dll
03.09.2005 00:53 664.064 wininet(2).dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 1.484.288 shdocvw(4).dll
03.09.2005 00:53 55.808 extmgr.dll

Log2
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\DOKUME~1\Bernard\LOKALE~1\Temp

12.12.2005 19:44 2.601.592 sa13.exe
12.12.2005 19:44 0 sa13.tmp
11.12.2005 19:04 2.601.592 sa1E.exe
11.12.2005 19:03 0 sa1E.tmp
11.12.2005 18:23 0 sa12.tmp
11.12.2005 15:58 0 sa11.tmp
11.12.2005 14:05 797.676 IMT43.xml
11.12.2005 14:05 426 IMT42.xml
11.12.2005 14:05 2.036 IMT41.xml
11.12.2005 14:04 797.676 IMT2F.xml
11.12.2005 14:04 426 IMT2E.xml
11.12.2005 14:04 2.036 IMT2D.xml
11.12.2005 14:02 797.676 IMT15.xml
11.12.2005 14:02 426 IMT14.xml
11.12.2005 14:02 2.036 IMT13.xml
11.12.2005 14:01 797.676 IMTE.xml
11.12.2005 14:01 426 IMTD.xml
11.12.2005 14:01 2.036 IMTC.xml
11.12.2005 13:56 797.676 IMTF.xml
10.12.2005 10:52 4 Twain001.Mtx
09.12.2005 23:04 122 0FD1A8EB.TMP
05.12.2005 20:10 31.520 SALanguage.ini
05.12.2005 19:29 2.857.002 sa25.exe
05.12.2005 19:28 0 sa25.tmp
05.12.2005 18:48 0 sa10.tmp
05.12.2005 18:25 0 saF.tmp
05.12.2005 18:16 0 saE.tmp
05.12.2005 18:02 0 saB.tmp
05.12.2005 18:00 0 saA.tmp
05.12.2005 17:09 0 sa9.tmp
04.12.2005 17:01 2.856.926 sa19.exe
04.12.2005 17:00 0 sa19.tmp
04.12.2005 16:20 2.856.926 sa8.exe
04.12.2005 16:18 0 sa8.tmp
04.12.2005 16:16 225 temp.frFFE9
04.12.2005 15:35 0 sa22.tmp
04.12.2005 14:55 0 sa6.tmp
04.12.2005 14:13 0 sa7A.tmp
04.12.2005 13:33 0 sa5.tmp
04.12.2005 13:30 0 sa4.tmp
04.12.2005 13:27 0 sa1.tmp
04.12.2005 13:27 1.165 InoSetup.log
04.12.2005 13:13 0 sa3.tmp
04.12.2005 08:12 0 sa2.tmp
03.12.2005 19:21 0 saD.tmp
03.12.2005 18:41 0 saC.tmp
03.12.2005 15:23 2.961.065 sa7.exe
03.12.2005 15:21 0 sa7.tmp
02.12.2005 14:23 594 DBErrors.log
02.12.2005 14:20 36.864 MSI12.tmp
01.12.2005 19:16 53.248 unwise.exe
27.11.2005 08:50 43.908 ddf2_appcompat.txt
13.11.2005 09:32 16.384 ~DF8BD5.tmp
19.08.2005 16:18 14.456 ~WRS1971.tmp
19

Log3

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS

14.12.2005 20:19 1.411.064 WindowsUpdate.log
14.12.2005 20:13 981.389 setupapi.log
14.12.2005 20:13 0 0.log
14.12.2005 20:13 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
14.12.2005 20:12 2.048 bootstat.dat
14.12.2005 20:11 272.398 ntbtlog.txt
14.12.2005 20:11 228.635 setupact.log
14.12.2005 20:02 32.618 SchedLgU.Txt
14.12.2005 19:48 23.552 Thumbs.db
13.12.2005 17:34 95 winamp.ini
11.12.2005 15:35 50 wiaservc.log
11.12.2005 15:35 214 wiadebug.log
06.12.2005 18:46 17 Missing.ini
04.12.2005 18:01 60 CleaningLab.INI
04.12.2005 18:01 686 win.ini
03.12.2005 12:38 71 pex.INI
03.12.2005 12:38 147 Ulead32.ini
02.12.2005 14:20 430.241 wmsetup.log
01.12.2005 19:26 30 iedit.INI
12.11.2005 02:22 117.329 iis6.log
12.11.2005 02:22 279.087 comsetup.log
12.11.2005 02:22 181.533 ntdtcsetup.log
12.11.2005 02:22 349.653 tsoc.log
12.11.2005 02:22 39.922 ocmsn.log
12.11.2005 02:22 1.393 imsins.log
12.11.2005 02:22 11.810 KB896424.log
12.11.2005 02:22 545.585 ocgen.log
12.11.2005 02:22 46.466 msgsocm.log
12.11.2005 02:22 827.058 FaxSetup.log
12.11.2005 02:22 19.400 updspapi.log
26.10.2005 06:33 1.393 imsins.BAK
26.10.2005 06:33 21.003 KB901017.log
26.10.2005 06:33 23.373 KB902400.log
26.10.2005 06:33 14.056 KB896688.log
26.10.2005 06:32 13.591 KB905414.log
26.10.2005 06:32 13.392 KB900725.log
26.10.2005 06:32 11.234 KB904706.log
26.10.2005 06:32 11.879 KB905749.log
05.09.2005 17:25 236 wmsetup10.log
05

Log4

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\

14.12.2005 20:33 0 sys.txt
14.12.2005 20:32 15.017 system.txt
14.12.2005 20:30 6.936 systemtemp.txt
14.12.2005 20:30 146.087 system32.txt
14.12.2005 20:13 5.776 ps_system_Zeit.txt
14.12.2005 20:12 536.399.872 hiberfil.sys
14.12.2005 20:12 805.306.368 pagefile.sys
14.12.2005 20:07 1.806 smitfiles.txt
06.12.2004 18:22 102 Platform.ini
30.09.2004 17:58 211 boot.ini
30.09.2004 17:51 47.564 NTDETECT.COM
30.09.2004 17:51 251.184 ntldr
20.09.2003 18:12 499 IPH.PH
20.09.2003 15:50 0 IO.SYS
20.09.2003 15:50 0 CONFIG.SYS
20.09.2003 15:50 0 AUTOEXEC.BAT
20.09.2003 15:50 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin
18 Datei(en) 1.342.186.374 Bytes
0 Verzeichnis(se), 58.594.820.096 Bytes frei

Hallo Wildone,
ich glaube, es ist geschafft. Das Popup ist weg.
Jetzt habe ich noch das Problem, das Spybot folgende Datei nicht
löschen kann:


--- Search result list ---
Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, fixing failed)
HKEY_USERS\S-1-5-21-111699621-1356408258-4116266724-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-12-05 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2005-12-02 Includes\Cookies.sbi (*)
2005-12-02 Includes\Dialer.sbi (*)
2005-12-02 Includes\Hijackers.sbi (*)
2005-12-02 Includes\Keyloggers.sbi (*)
2005-12-02 Includes\Malware.sbi (*)
2005-12-02 Includes\PUPS.sbi (*)
2005-12-02 Includes\Revision.sbi (*)
2005-12-02 Includes\Security.sbi (*)
2005-12-02 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2005-12-02 Includes\Trojans.sbi (*)


Viele Grüsse
tukan39

Hallo,
da du nichts dafür kannst das sich hier zwei in die wolle bekommen haben, und du doch meine Anweisungen befolgt hast mache ich halt doch weiter, damit der Thread hoffentlich bald im Datennirvana verschwindet.

Erstmal löschst du die ganzen temporären Dateien mit Cleanup!

Dann besorgst du dir Killbox und löschst folgende Dateien on reboot (erst nach der letzten eingegebenen die Neustartaufforderung bejaen:
C:\WINDOWS\system32\ot(2).ico
C:\WINDOWS\system32\ts(2).ico
C:\WINDOWS\system32\svchosts(2).dll
C:\WINDOWS\system32\ncompat(2).tlb

Dann speicherst du die mcor.reg und Spyaxe.reg per Rechtsklick>>Ziel speichern unter auf dem Desktop, gehst in den abgesicherten Modus und fügst sie per Doppelklick der Registry hinzu.

Dann machst du noch zur Kontrolle einen Onlinescan bei Panda und berichtest was wo gefunden wurde.


Grüße Wildone

Hallo Wildone,
danke das Du Dich doch noch um mich kümmerst.
Ich habe alles so gemacht, wie Du geschrieben hast, sogar zweimal.
Smitfraud ist aber immer noch da. Nur mit Panda konnte ich nichts
machen, da immer ein Fehler beim Download auftritt.
Viele Grüsse
tukan39

Hallo,

also eigentlich sollte der Registrykey mit der Spyaxe.reg entfernt werden.
Du kannst aber auch über Start>>Ausführen "Regedit" eingeben und dann zu dem betreffenden Key gehen und ihn löschen.

Zu Panda, machst du den Scan mit dem IE? Akzeptierst du den Download des ActiveX Elements?


Grüße Jasager

Hallo Wildone,
ich habe glaube ich Mist gebaut. Ich habe etwas viel weggelöscht.
Jetzt ist das System zwar sauber, aber alles völlig durcheinander.
Ich habe nichts mehr in den Postfächern, unter eigenen Dateien steht nichts mehr usw..
Ich werde jetzt formatieren und das System neu aufsetzen. Diesmal werde ich aber die entsprechenden Vorkehrungen treffen, das mir sowas nicht mehr
so schnell passiert.
Ich schreibe Dir das nur, das Du Bescheid weisst, wenn ich mich nicht mehr melde. Außerdem möchte ich mich nochmal für Deine Hilfe bedanken.
Viele Grüße
tukan39