Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Spyware lässt sich nicht entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.05.2006, 17:38   #1
artiplus
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,

den ganzen Tag ärgere ich mich nun schon mit irgendwelcher Spyware rum. Etliche Versuche u.A. mit Spybot zeigen mir auch an, daß hier was vorhanden ist (habe hierzu einen Auszug aus dem Bericht unten angehängt), allerdings lässt es sich nicht löschen. Habe dies auch im abgesicherten Modus versucht und sämtliche temporären Dateien gelöscht. Nun mein letzter Versuch mit HiJackThis. Nachfolgend habe ich das Protokoll angefügt. Kann mir hierbei jemand weiterhelfen?

Logfile of HijackThis v1.99.1
Scan saved at 18:12:18, on 03.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\NavNT\defwatch.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\NavNT\rtvscan.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
Z:\stampit\Binary\STRAY.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\winsrv32.exe
Z:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: winapi32.MyBHO - {62E2E094-F989-48C6-B947-6E79DA2294F9} -

C:\WINDOWS\system32\winapi32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus

C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [SunJavaUpdateSched]

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame

Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft

ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &

Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat

5.0\Distillr\AcroTray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk =

C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\kodak\Kodak

EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Logitech SetPoint.lnk =

C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: STAMPT TRAY.lnk = stampit\Binary\STRAY.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen -

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft

ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft

ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -

http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-

30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s

ite.cab?1129131833890
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} -

http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) -

http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{F05A260D-4E66-48C8-850F-58C6CA1EE4B6}:

NameServer = 192.168.0.1,192.168.0.2
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. -

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: DefWatch - Symantec Corporation -

C:\Programme\NavNT\defwatch.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON

CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak

Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -

C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec

Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec

Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation -

C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE


Auszug aus Bericht Spybot

--- Search result list ---
BlazeFind.Bridge: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}

DailyToolbar: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\DailyToolbar.IEBand

DailyToolbar: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\DailyToolbar.SysMgr

DailyToolbar: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\IEToolbar.AffiliateCtl

DailyToolbar: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{58F9B276-E1CC-458E-8159-21CBC021874B}

DailyToolbar: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{8333C319-0669-4893-A418-F56D9249FCA6}

DailyToolbar: Globale Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\NIX Solutions\DailyToolbar

ABetterInternet: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-C1EC-0345-6EC2-4D0300000000}

Admess: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\WStart.WHttpHelper

Admess: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\WStart.WHttpHelper.1

Alexa: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\PopMenu.Menu

Alexa: Globale Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Alexa Internet

Statblaster.All files7: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{80BB7465-A638-43B5-9827-8E8FE38DFCC1}

Statblaster.All files7: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\Jao.jao

Statblaster.All files7: Type library (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\TypeLib\{C094876D-1B0E-46FA-B6A6-7FFC0F970C27}

Statblaster.All files7: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bridge

VX2.b.BDS: Globale Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Transponder

VX2.c: Globale Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\RespondMiter

VX2.g.SiteHlpr: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{FFD2825E-0785-40C5-9A41-518F53A8261F}



Mfg
Alexander

Alt 03.05.2006, 18:13   #2
Wildone
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,
kannst du mal das HijackThis Logfile ohne Leerzeilen posten, das würde die Übersichtlichkeit sehr anheben.
Überprüfe außerdem mal die datei C:\WINDOWS\system32\winapi32.dll hier und poste das Ergebnis.



Grüße Wildone
__________________


Alt 03.05.2006, 19:19   #3
artiplus
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hier das HiJack Logfile nochmals ohnen Leerzeichen:

LogfileofHijackThisv1.99.1
Scansavedat20:06:53,on03.05.2006
Platform:WindowsXPSP2(WinNT5.01.2600)
MSIE:InternetExplorerv6.00SP2(6.00.2900.2180)

Runningprocesses:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\GemeinsameDateien\AOL\ACS\AOLAcsd.exe
C:\Programme\NavNT\defwatch.exe
C:\Programme\GemeinsameDateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\NavNT\rtvscan.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\GemeinsameDateien\AOL\ACS\AOLDial.exe
C:\Programme\MicrosoftActiveSync\WCESCOMM.EXE
C:\Programme\Spybot-Search&Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat5.0\Distillr\AcroTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\kodak\KodakEasySharesoftware\bin\EasyShare.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
Z:\stampit\Binary\STRAY.EXE
C:\Programme\GemeinsameDateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\winsrv32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
Z:\hijackthis\HijackThis.exe

R1-HKCU\Software\Microsoft\InternetConnectionWizard,ShellNext=http://windowsupdate.microsoft.com/
O2-BHO:(noname)-{00000000-59D4-4008-9058-080011001200}-(nofile)
O2-BHO:(noname)-{00000000-C1EC-0345-6EC2-4D0300000000}-(nofile)
O2-BHO:(noname)-{00000000-F09C-02B4-6EC2-AD0300000000}-(nofile)
O2-BHO:AcroIEHlprObjClass-{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}-C:\Programme\Adobe\Acrobat5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2-BHO:(noname)-{3ceff6cd-6f08-4e4d-bccd-ff7415288c3b}-(nofile)
O2-BHO:(noname)-{53707962-6F74-2D53-2644-206D7942484F}-C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2-BHO:winapi32.MyBHO-{62E2E094-F989-48C6-B947-6E79DA2294F9}-C:\WINDOWS\system32\winapi32.dll
O2-BHO:SSVHelperClass-{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}-C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2-BHO:(noname)-{77701e16-9bfe-4b63-a5b4-7bd156758a37}-(nofile)
O2-BHO:(noname)-{7b55bb05-0b4d-44fd-81a6-b136188f5deb}-(nofile)
O2-BHO:(noname)-{8333c319-0669-4893-a418-f56d9249fca6}-(nofile)
O2-BHO:(noname)-{9c691a33-7dda-4c2f-be4c-c176083f35cf}-(nofile)
O2-BHO:(noname)-{AA58ED58-01DD-4d91-8333-CF10577473F7}-(nofile)
O2-BHO:(noname)-{e52dedbb-d168-4bdb-b229-c48160800e81}-(nofile)
O2-BHO:(noname)-{ffd2825e-0785-40c5-9a41-518f53a8261f}-(nofile)
O4-HKLM\..\Run:[SoundMan]SOUNDMAN.EXE
O4-HKLM\..\Run:[EPSONStylusC84Series]C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE/P23"EPSONStylusC84Series"/O6"USB001"/M"StylusC84"
O4-HKLM\..\Run:[SunJavaUpdateSched]C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4-HKLM\..\Run:[AOLDialer]C:\Programme\GemeinsameDateien\AOL\ACS\AOLDial.exe
O4-HKLM\..\Run:[NeroCheck]C:\WINDOWS\system32\NeroCheck.exe
O4-HKLM\..\Run:[Adware.Srv32]C:\WINDOWS\system32\runsrv32.exe
O4-HKLM\..\Run:[Transponder]C:\WINDOWS\system32\susp.exe
O4-HKCU\..\Run:[NvMediaCenter]RUNDLL32.EXEC:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4-HKCU\..\Run:[H/PCConnectionAgent]"C:\Programme\MicrosoftActiveSync\WCESCOMM.EXE"
O4-HKCU\..\Run:[SpybotSDTeaTimer]C:\Programme\Spybot-Search&Destroy\TeaTimer.exe
O4-GlobalStartup:AcrobatAssistant.lnk=C:\Programme\Adobe\Acrobat5.0\Distillr\AcroTray.exe
O4-GlobalStartup:EPSONStatusMonitor3EnvironmentCheck2.lnk=C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4-GlobalStartup:ISDNWatch.lnk=C:\Programme\FRITZ!\IWatch.exe
O4-GlobalStartup:KodakEasyShareSoftware.lnk=C:\Programme\kodak\KodakEasySharesoftware\bin\EasyShare.exe
O4-GlobalStartup:LogitechSetPoint.lnk=C:\Programme\Logitech\SetPoint\SetPoint.exe
O4-GlobalStartup:STAMPTTRAY.lnk=stampit\Binary\STRAY.EXE
O6-HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictionspresent
O6-HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanelpresent
O8-Extracontextmenuitem:NachMicrosoft&Excelexportieren-res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9-Extrabutton:(noname)-{08B0E5C0-4FCB-11CF-AAA5-00401C608501}-C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9-Extra'Tools'menuitem:SunJavaKonsole-{08B0E5C0-4FCB-11CF-AAA5-00401C608501}-C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9-Extrabutton:MobilenFavoritenerstellen-{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}-C:\Programme\MicrosoftActiveSync\INetRepl.dll
O9-Extrabutton:(noname)-{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}-C:\Programme\MicrosoftActiveSync\INetRepl.dll
O9-Extra'Tools'menuitem:MobilenFavoritenerstellen...-{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}-C:\Programme\MicrosoftActiveSync\INetRepl.dll
O9-Extrabutton:Recherchieren-{92780B25-18CC-41C8-B9BE-3C9C571A8263}-C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9-Extrabutton:Real.com-{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}-C:\WINDOWS\system32\Shdocvw.dll
O16-DPF:{4C39376E-FA9D-4349-BACC-D305C1750EF3}(EPUImageControlClass)-http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16-DPF:{6414512B-B978-451D-A0D8-FCFDF33E833C}(WUWebControlClass)-http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129131833890
O16-DPF:{B1826A9F-4AA0-4510-BA77-9013E74E4B9B}-http://www.trendmicro.com/spyware-scan/as4web.cab
O16-DPF:{B49C4597-8721-4789-9250-315DFBD9F525}(IWinAmpActiveXClass)-http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17-HKLM\System\CCS\Services\Tcpip\..\{F05A260D-4E66-48C8-850F-58C6CA1EE4B6}:NameServer=192.168.0.1,192.168.0.2
O20-WinlogonNotify:NavLogon-C:\WINDOWS\system32\NavLogon.dll
O20-WinlogonNotify:WRNotifier-WRLogonNTF.dll(filemissing)
O23-Service:AOLConnectivityService(AOLACS)-AmericaOnline,Inc.-C:\Programme\GemeinsameDateien\AOL\ACS\AOLAcsd.exe
O23-Service:DefWatch-SymantecCorporation-C:\Programme\NavNT\defwatch.exe
O23-Service:EPSONPrinterStatusAgent2(EPSONStatusAgent2)-SEIKOEPSONCORPORATION-C:\Programme\GemeinsameDateien\EPSON\EBAPI\SAgent2.exe
O23-Service:KodakCameraConnectionSoftware(KodakCCS)-EastmanKodakCompany-C:\WINDOWS\system32\drivers\KodakCCS.exe
O23-Service:IntelNCSNetService(NetSvc)-Intel(R)Corporation-C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23-Service:NortonAntiVirusClient(NortonAntiVirusServer)-SymantecCorporation-C:\Programme\NavNT\rtvscan.exe
O23-Service:NortonUneraseProtection(NProtectService)-SymantecCorporation-C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23-Service:NVIDIADisplayDriverService(NVSvc)-NVIDIACorporation-C:\WINDOWS\system32\nvsvc32.exe
O23-Service:SpeedDiskservice-SymantecCorporation-C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE


Die Überprüfung der winapi32.dll ergab:
Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 05.03.2006 no virus found
AVG 386 05.02.2006 no virus found
Avira 6.34.1.58 05.03.2006 TR/Dldr.VB.aan.1
BitDefender 7.2 05.03.2006 Trojan.Fakealert.CF
CAT-QuickHeal 8.00 05.03.2006 no virus found
ClamAV devel-20060426 05.03.2006 no virus found
DrWeb 4.33 05.03.2006 Trojan.Fakealert
eTrust-InoculateIT 23.71.145 05.03.2006 no virus found
eTrust-Vet 12.4.2192 05.03.2006 no virus found
Ewido 3.5 05.03.2006 Downloader.VB.aan
Fortinet 2.71.0.0 05.03.2006 no virus found
F-Prot 3.16c 05.03.2006 security risk named W32/Downloader.YWU
Ikarus 0.2.65.0 05.03.2006 no virus found
Kaspersky 4.0.2.24 05.03.2006 Trojan-Downloader.Win32.VB.aan
McAfee 4754 05.03.2006 no virus found
Microsoft 1.1372 05.03.2006 no virus found
NOD32v2 1.1517 05.02.2006 no virus found
Norman 5.90.17 05.03.2006 no virus found
Panda 9.0.0.4 05.03.2006 no virus found
Sophos 4.05.0 05.03.2006 Troj/SpyDldr-E
Symantec 8.0 05.03.2006 no virus found
TheHacker 5.9.7.137 05.03.2006 no virus found
UNA 1.83 05.03.2006 TrojanDownloader.Win32.VB
VBA32 3.11.0 05.03.2006 Trojan-Downloader.Win32.VB.aan

Aditional Information
File size: 16896 bytes
MD5: a0d9b783ac26026374893657a9ec7344
SHA1: 10807b46ffa88a8b678e694d6204131b22020a63

Gruß
Alexander
__________________

Alt 03.05.2006, 19:30   #4
Wildone
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,
lösche mal deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren.

Überprüfe zusätzlich noch die Datei C:\WINDOWS\system32\winsrv32.exe bei virustotal und poste das Ergebnis (vorher den Prozess im Taskmanager beenden).


Grüße Wildone

Alt 03.05.2006, 19:39   #5
artiplus
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,

habe schon alle Dateien in den Temp-Verzeichnissen manuell gelöscht. Ich habe aber trotzdem mal Cleanup installiert, allerdings kann ich dort die Temp-Daten nicht löschen, da ich keine registrierte Version besitze.

Die winsrv32.exe konnte ich nicht beenden, da der Taskmanager irgendwie durch die ganze geschichte blockiert ist. Habe aber trotzdem mal einen Scan gemacht mit folgendem Ergebnis:

AntiVir 6.34.0.24 04.20.2006 TR/SpySheriff.G
Avast 4.6.695.0 05.03.2006 no virus found
AVG 386 05.03.2006 Downloader.Generic.YIB
Avira 6.34.1.58 05.03.2006 TR/SpySheriff.G
BitDefender 7.2 05.03.2006 Trojan.SpySheriff.G
CAT-QuickHeal 8.00 05.03.2006 no virus found
ClamAV devel-20060426 05.03.2006 no virus found
DrWeb 4.33 05.03.2006 Trojan.Fakealert
eTrust-InoculateIT 23.71.145 05.03.2006 no virus found
eTrust-Vet 12.4.2192 05.03.2006 no virus found
Ewido 3.5 05.03.2006 Downloader.Adload.aq
Fortinet 2.71.0.0 05.03.2006 W32/Adload.AQ!tr.dldr
F-Prot 3.16c 05.03.2006 security risk named W32/Downloader.YWY
Ikarus 0.2.65.0 05.03.2006 no virus found
Kaspersky 4.0.2.24 05.03.2006 Trojan-Downloader.Win32.Adload.aq
McAfee 4754 05.03.2006 Generic VB.b
Microsoft 1.1372 05.03.2006 no virus found
NOD32v2 1.1517 05.02.2006 no virus found
Norman 5.90.17 05.03.2006 W32/Adload.LN
Panda 9.0.0.4 05.03.2006 no virus found
Sophos 4.05.0 05.03.2006 Troj/SpyDldr-E
Symantec 8.0 05.03.2006 no virus found
TheHacker 5.9.7.137 05.03.2006 no virus found
UNA 1.83 05.03.2006 TrojanDownloader.Win32.Adload
VBA32 3.11.0 05.03.2006 Trojan-Downloader.Win32.Adload.aq

Aditional Information
File size: 71684 bytes
MD5: 990b3b7137ce779d8f8d6b247f5fc7f4
SHA1: 241deedf3bad16e419dc225558111b75839abf0e

Gruß

Alexander


Alt 03.05.2006, 19:47   #6
Wildone
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,
Zitat:
habe schon alle Dateien in den Temp-Verzeichnissen manuell gelöscht. Ich habe aber trotzdem mal Cleanup installiert, allerdings kann ich dort die Temp-Daten nicht löschen, da ich keine registrierte Version besitze.
Cleanup! müßte auch ohne regestrierung vollen Leistungsumfang haben, es sei denn es hat sich etwas geändert. Ist aber eigentlich nicht so entscheidend, mache einfach mit der datfind.bat weiter.


Grüße Wildone

Alt 03.05.2006, 19:52   #7
artiplus
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Auszug aus der Datfind.bat:
Verzeichnis von C:\WINDOWS\system32

03.05.2006 20:48 8.192 udpmod.dll
03.05.2006 20:48 8.192 questmod.dll
03.05.2006 20:48 8.192 jao.dll
03.05.2006 20:48 8.192 bridge.dll
03.05.2006 20:48 8.192 a.exe
03.05.2006 20:48 8.192 runsrv32.exe
03.05.2006 20:48 8.192 txfdb32.dll
03.05.2006 20:48 8.192 runsrv32.dll
03.05.2006 20:48 8.192 wstart.dll
03.05.2006 20:48 8.192 tcpservice2.exe
03.05.2006 20:48 8.192 dailytoolbar.dll
03.05.2006 20:48 8.192 alxres.dll
03.05.2006 20:48 8.192 CWS_iestart.exe
03.05.2006 20:48 8.192 mirarsearch_toolbar.exe
03.05.2006 14:27 552 d3d8caps.dat
03.05.2006 13:11 433.264 FNTCACHE.DAT
03.05.2006 11:50 2.206 wpa.dbl
03.05.2006 09:06 1 exuc32.tmp
03.05.2006 09:06 8.192 shellgui32.dll
03.05.2006 09:05 16.896 winapi32.dll
03.05.2006 09:05 48.644 repigsp.exe
03.05.2006 09:05 48.644 winbl32.dll
03.05.2006 09:05 71.684 winsrv32.exe
03.05.2006 09:05 8.708 ekevdqax.exe
26.04.2006 21:13 6.201 phqghume.exe
06.04.2006 12:48 5.143.456 MRT.exe


Verzeichnis von C:\DOKUME~1\artiplus\LOKALE~1\Temp

03.05.2006 20:43 764 WcesView.log
03.05.2006 20:41 16.384 ~DF25ED.tmp
03.05.2006 20:41 16.384 ~DF1ECA.tmp
03.05.2006 20:41 512 ~DF1ED9.tmp
03.05.2006 20:20 32.768 ~DF49F9.tmp
03.05.2006 20:15 412 jusched.log
03.05.2006 20:09 920.068 tmp.xpi
03.05.2006 20:08 512 ~DFB36E.tmp
03.05.2006 20:08 512 ~DFA6C9.tmp
03.05.2006 20:07 512 ~DF9209.tmp
03.05.2006 20:07 512 ~DF3A46.tmp
03.05.2006 20:07 512 ~DF3745.tmp
03.05.2006 20:06 16.384 ~DF114B.tmp
03.05.2006 20:05 224 WCESCOMM.LOG
03.05.2006 18:25 32.768 ~DFA2B9.tmp
15 Datei(en) 1.039.228 Bytes


Verzeichnis von C:\WINDOWS

03.05.2006 20:51 8.192 dlmax.dll
03.05.2006 20:51 8.192 Pynix.dll
03.05.2006 20:51 8.192 BTGrab.dll
03.05.2006 20:51 8.192 ZServ.dll
03.05.2006 20:51 8.192 susp.exe
03.05.2006 20:51 8.192 alxtb1.dll
03.05.2006 20:51 8.192 alxie328.dll
03.05.2006 20:51 8.192 alexaie.dll
03.05.2006 20:46 7.551 ccscan6.ini
03.05.2006 20:34 649 cclean13.ini
03.05.2006 20:09 11.495 mozver.dat
03.05.2006 20:06 10.809 win-sec-center-logo.gif
03.05.2006 20:06 1.014 warning-bar-ico.gif
03.05.2006 20:06 6.575 remove-spyware-btn.gif
03.05.2006 20:06 64 close-bar.gif
03.05.2006 20:06 177 blue-bg.gif
03.05.2006 20:06 545 yes-icon.gif
03.05.2006 20:06 2.400 windows-compatible.gif
03.05.2006 20:06 985 true-stories.gif
03.05.2006 20:06 196 star.gif
03.05.2006 20:06 127 star-grey.gif
03.05.2006 20:06 10.829 spyware-sheriff-header.gif
03.05.2006 20:05 18.610 spyware-sheriff-box.gif
03.05.2006 20:05 9.392 reg-freeze-header.gif
03.05.2006 20:05 20.199 reg-freeze-box.gif
03.05.2006 20:05 104 no-icon.gif
03.05.2006 20:05 7.627 info.gif
03.05.2006 20:05 7.679 infected.gif
03.05.2006 20:05 352 header-bg.gif
03.05.2006 20:05 1.028 h-line-gradient.gif
03.05.2006 20:05 2.361 free-scan-btn.gif
03.05.2006 20:05 803 footer.gif
03.05.2006 20:05 1.470 facts.gif
03.05.2006 20:05 119 corner-right.gif
03.05.2006 20:05 119 corner-left.gif
03.05.2006 20:05 2.151 buy-now-btn.gif
03.05.2006 20:05 3.808 antispylab-logo.gif
03.05.2006 20:05 9.977 adware-sheriff-header.gif
03.05.2006 20:05 18.600 adware-sheriff-box.gif
03.05.2006 20:05 0 0.log
03.05.2006 20:05 1.164.872 WindowsUpdate.log
03.05.2006 20:05 159 wiadebug.log
03.05.2006 20:05 50 wiaservc.log
03.05.2006 20:05 2.048 bootstat.dat
03.05.2006 18:46 32.578 SchedLgU.Txt
03.05.2006 18:06 816 win.ini
03.05.2006 18:06 227 system.ini
03.05.2006 17:25 889.760 ntbtlog.txt
03.05.2006 14:37 582.199 setupapi.log
03.05.2006 13:11 923 spupdsvc.log
03.05.2006 13:02 135 uno.ini
03.05.2006 12:50 421.252 iis6.log
03.05.2006 12:50 130.261 comsetup.log
03.05.2006 12:50 168.163 tsoc.log
03.05.2006 12:50 77.344 ntdtcsetup.log
03.05.2006 12:50 1.355 imsins.log
03.05.2006 12:50 18.668 tabletoc.log
03.05.2006 12:50 20.037 ocmsn.log
03.05.2006 12:50 20.473 KB908531.log
03.05.2006 12:50 63.438 netfxocm.log
03.05.2006 12:50 25.287 MedCtrOC.log
03.05.2006 12:50 178.028 ocgen.log
03.05.2006 12:50 17.839 msgsocm.log
03.05.2006 12:50 357.757 FaxSetup.log
03.05.2006 12:50 115.236 msmqinst.log
03.05.2006 12:50 28.207 updspapi.log
03.05.2006 12:49 1.355 imsins.BAK
03.05.2006 12:49 20.436 KB900485.log
03.05.2006 12:49 16.813 KB911565.log
03.05.2006 12:49 51.452 wmsetup.log
03.05.2006 12:48 19.634 KB911562.log
03.05.2006 12:48 21.906 KB912812.log
03.05.2006 12:47 13.233 KB911567.log
03.05.2006 12:47 8.772 KB913446.log
03.05.2006 12:47 9.812 KB911564.log
03.05.2006 12:46 12.922 KB911927.log
03.05.2006 12:46 29.565 KB912919.log
03.05.2006 12:46 28.255 KB908519.log
03.05.2006 12:46 16.048 KB910437.log
03.05.2006 12:45 24.112 KB896424.log
03.05.2006 09:34 7.675 WGA.log
21.04.2006 11:58 5.052 fnerr.dat


Verzeichnis von C:\

03.05.2006 20:51 0 sys.txt
03.05.2006 20:51 11.590 system.txt
03.05.2006 20:51 979 systemtemp.txt
03.05.2006 20:49 108.582 system32.txt
03.05.2006 20:05 1.073.270.784 hiberfil.sys
03.05.2006 20:05 805.306.368 pagefile.sys
03.05.2006 18:06 183 boot.ini
02.05.2006 21:11 9.065 voxFcoldrv.log



Gruß
Alexander

Alt 03.05.2006, 20:03   #8
Wildone
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,
*huch* ich habe gar nicht gewußt das Spysheriff mittlerweile so viele Dateien auf ein befallenes System droppt. Ich muss sagen bei soviel Malware auf dem System solltest du dich ev. auch mit der Option eines Neuaufsetzens mal auseinandersetzen, würde denke ich schneller gehen und ist bedeutend sicherer.

Mal einen Ausschnitt was ich an Malware ausmache (sollte ev. nochmal durch virustotal bestätigt werden):

03.05.2006 20:48 8.192 udpmod.dll
03.05.2006 20:48 8.192 questmod.dll
03.05.2006 20:48 8.192 jao.dll
03.05.2006 20:48 8.192 bridge.dll
03.05.2006 20:48 8.192 a.exe
03.05.2006 20:48 8.192 runsrv32.exe
03.05.2006 20:48 8.192 txfdb32.dll
03.05.2006 20:48 8.192 runsrv32.dll
03.05.2006 20:48 8.192 wstart.dll
03.05.2006 20:48 8.192 tcpservice2.exe
03.05.2006 20:48 8.192 dailytoolbar.dll
03.05.2006 20:48 8.192 alxres.dll
03.05.2006 20:48 8.192 CWS_iestart.exe
03.05.2006 20:48 8.192 mirarsearch_toolbar.exe
03.05.2006 14:27 552 d3d8caps.dat
03.05.2006 09:06 1 exuc32.tmp
03.05.2006 09:06 8.192 shellgui32.dll
03.05.2006 09:05 16.896 winapi32.dll
03.05.2006 09:05 48.644 repigsp.exe
03.05.2006 09:05 48.644 winbl32.dll
03.05.2006 09:05 71.684 winsrv32.exe
03.05.2006 09:05 8.708 ekevdqax.exe
26.04.2006 21:13 6.201 phqghume.exe
03.05.2006 20:51 8.192 dlmax.dll
03.05.2006 20:51 8.192 Pynix.dll
03.05.2006 20:51 8.192 BTGrab.dll
03.05.2006 20:51 8.192 ZServ.dll
03.05.2006 20:51 8.192 susp.exe
03.05.2006 20:51 8.192 alxtb1.dll
03.05.2006 20:51 8.192 alxie328.dll
03.05.2006 20:51 8.192 alexaie.dll
03.05.2006 20:46 7.551 ccscan6.ini
03.05.2006 20:34 649 cclean13.ini
03.05.2006 20:06 10.809 win-sec-center-logo.gif
03.05.2006 20:06 1.014 warning-bar-ico.gif
03.05.2006 20:06 6.575 remove-spyware-btn.gif
03.05.2006 20:06 64 close-bar.gif
03.05.2006 20:06 177 blue-bg.gif
03.05.2006 20:06 545 yes-icon.gif
03.05.2006 20:06 2.400 windows-compatible.gif
03.05.2006 20:06 985 true-stories.gif
03.05.2006 20:06 196 star.gif
03.05.2006 20:06 127 star-grey.gif
03.05.2006 20:06 10.829 spyware-sheriff-header.gif
03.05.2006 20:05 18.610 spyware-sheriff-box.gif
03.05.2006 20:05 9.392 reg-freeze-header.gif
03.05.2006 20:05 20.199 reg-freeze-box.gif
03.05.2006 20:05 104 no-icon.gif
03.05.2006 20:05 7.627 info.gif
03.05.2006 20:05 7.679 infected.gif
03.05.2006 20:05 352 header-bg.gif
03.05.2006 20:05 1.028 h-line-gradient.gif
03.05.2006 20:05 2.361 free-scan-btn.gif
03.05.2006 20:05 803 footer.gif
03.05.2006 20:05 1.470 facts.gif
03.05.2006 20:05 119 corner-right.gif
03.05.2006 20:05 119 corner-left.gif
03.05.2006 20:05 2.151 buy-now-btn.gif
03.05.2006 20:05 3.808 antispylab-logo.gif
03.05.2006 20:05 9.977 adware-sheriff-header.gif
03.05.2006 20:05 18.600 adware-sheriff-box.gif
03.05.2006 20:05 0 0.log


übrigens nützt es nichts im Nachhinein die Microsoft Patches einzuspielen wenn das Kind schon im Brunnen ist. Die gif Dateien musst du nicht gegenchecken, mein Ratschlag von oben steht aber.


Grüße Wildone

Geändert von Wildone (03.05.2006 um 20:08 Uhr)

Alt 03.05.2006, 21:30   #9
artiplus
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,

ich habe nun die aufgeführten Dateien (ausser jpg-Dateien) überprüft mit nachfolgendem Ergebnis:


03.05.2006 20:48 8.192 udpmod.dll - kein Virus gefunden
03.05.2006 20:48 8.192 questmod.dll - kein Virus gefunden
03.05.2006 20:48 8.192 jao.dll - kein Virus gefunden
03.05.2006 20:48 8.192 bridge.dll - kein Virus gefunden
03.05.2006 20:48 8.192 a.exe - kein Virus gefunden
03.05.2006 20:48 8.192 runsrv32.exe - kein Virus gefunden
03.05.2006 20:48 8.192 txfdb32.dll - kein Virus gefunden
03.05.2006 20:48 8.192 runsrv32.dll - kein Virus gefunden
03.05.2006 20:48 8.192 wstart.dll - kein Virus gefunden
03.05.2006 20:48 8.192 tcpservice2.exe - kein Virus gefunden
03.05.2006 20:48 8.192 dailytoolbar.dll - kein Virus gefunden
03.05.2006 20:48 8.192 alxres.dll - kein Virus gefunden
03.05.2006 20:48 8.192 CWS_iestart.exe - kein Virus gefunden
03.05.2006 20:48 8.192 mirarsearch_toolbar.exe - kein Virus gefunden
03.05.2006 14:27 552 d3d8caps.dat - kein Virus gefunden
03.05.2006 09:06 1 exuc32.tmp - kein Virus gefunden
03.05.2006 09:06 8.192 shellgui32.dll - kein Virus gefunden

03.05.2006 09:05 16.896 winapi32.dll Virus gefunden:

AVG 386 05.03.2006 Downloader.VB.EJ
Avira 6.34.1.58 05.03.2006 TR/Dldr.VB.aan.1
BitDefender 7.2 05.03.2006 Trojan.Fakealert.CF
DrWeb 4.33 05.03.2006 Trojan.Fakealert
Ewido 3.5 05.03.2006 Downloader.VB.aan
F-Prot 3.16c 05.03.2006 security risk named W32/Downloader.YWU
Kaspersky 4.0.2.24 05.03.2006 Trojan-Downloader.Win32.VB.aan
MSophos 4.05.0 05.03.2006 Troj/SpyDldr-E
TUNA 1.83 05.03.2006 TrojanDownloader.Win32.VB
VBA32 3.11.0 05.03.2006 Trojan-Downloader.Win32.VB.aan

03.05.2006 09:05 48.644 repigsp.exe Virus gefunden:

AntiVir 6.34.0.24 04.20.2006 TR/Dldr.VB.JR.1
AVG 386 05.03.2006 Downloader.Generic.XBG
Avira 6.34.1.58 05.03.2006 TR/Dldr.VB.JR.1
BitDefender 7.2 05.03.2006 Trojan.Downloader.VB.JR
DrWeb 4.33 05.03.2006 Trojan.Fakealert
Fortinet 2.71.0.0 05.03.2006 Dloader.B!tr
F-Prot 3.16c 05.03.2006 security risk named W32/Downloader.YWX
McAfee 4754 05.03.2006 Generic Downloader.b
Sophos 4.05.0 05.03.2006 Troj/SpyDldr-E
Symantec 8.0 05.03.2006 Downloader.Trojan

03.05.2006 09:05 48.644 winbl32.dll Virus gefunden
AntiVir 6.34.0.24 04.20.2006 TR/Dldr.VB.JR.1
AVG 386 05.03.2006 Downloader.Generic.XBG
Avira 6.34.1.58 05.03.2006 TR/Dldr.VB.JR.1
BitDefender 7.2 05.03.2006 Trojan.Downloader.VB.JR
DrWeb 4.33 05.03.2006 Trojan.Fakealert
Fortinet 2.71.0.0 05.03.2006 Dloader.B!tr
F-Prot 3.16c 05.03.2006 security risk named W32/Downloader.YWX
McAfee 4754 05.03.2006 Generic Downloader.b
Sophos 4.05.0 05.03.2006 Troj/SpyDldr-E
Symantec 8.0 05.03.2006 Downloader.Trojan

03.05.2006 09:05 71.684 winsrv32.exe Virus gefunden
AntiVir 6.34.0.24 04.20.2006 TR/SpySheriff.G
AVG 386 05.03.2006 Downloader.Generic.YIB
Avira 6.34.1.58 05.03.2006 TR/SpySheriff.G
BitDefender 7.2 05.03.2006 Trojan.SpySheriff.G
DrWeb 4.33 05.03.2006 Trojan.Fakealert
Ewido 3.5 05.03.2006 Downloader.Adload.aq
Fortinet 2.71.0.0 05.03.2006 W32/Adload.AQ!tr.dldr
F-Prot 3.16c 05.03.2006 security risk named W32/Downloader.YWY
Kaspersky 4.0.2.24 05.03.2006 Trojan-Downloader.Win32.Adload.aq
McAfee 4754 05.03.2006 Generic VB.b
Norman 5.90.17 05.03.2006 W32/Adload.LN
Sophos 4.05.0 05.03.2006 Troj/SpyDldr-E
UNA 1.83 05.03.2006 TrojanDownloader.Win32.Adload
VBA32 3.11.0 05.03.2006 Trojan-Downloader.Win32.Adload.aq

03.05.2006 09:05 8.708 ekevdqax.exe

AntiVir 6.34.0.24 04.20.2006 TR/Dldr.VB.aan
AVG 386 05.03.2006 Generic.SQM
Avira 6.34.1.58 05.03.2006 TR/Dldr.VB.aan
BitDefender 7.2 05.03.2006 Trojan.Downloader.VB.AAN
CAT-QuickHeal 8.00 05.03.2006 TrojanDownloader.VB.aan
DrWeb 4.33 05.03.2006 Trojan.DownLoader.9544
Ewido 3.5 05.03.2006 Downloader.VB.aan
Fortinet 2.71.0.0 05.03.2006 W32/VB.AAN!tr.dldr
Ikarus 0.2.65.0 05.03.2006 Trojan-Downloader.Win32.VB.aan
Kaspersky 4.0.2.24 05.03.2006 Trojan-Downloader.Win32.VB.aan
McAfee 4754 05.03.2006 StartPage-IU
Norman 5.90.17 05.03.2006 W32/DLoader.WGC
Panda 9.0.0.4 05.03.2006 Suspicious file
Sophos 4.05.0 05.03.2006 Troj/SpyDldr-E
Symantec 8.0 05.03.2006 Trojan.Adclicker
TheHacker 5.9.7.137 05.03.2006 Trojan/Downloader.VB.aan
UNA 1.83 05.03.2006 TrojanDownloader.Win32.VB
VBA32 3.11.0 05.03.2006 Trojan-Downloader.Win32.VB.aan

26.04.2006 21:13 6.201 phqghume.exe
Avira 6.34.1.58 05.03.2006 TR/Spy.Agent.VA
CAT-QuickHeal 8.00 05.03.2006 Trojan.Tibs
DrWeb 4.33 05.03.2006 Trojan.DownLoader.6811
eTrust-Vet 12.4.2192 05.03.2006 Win32/Sinteri
Ewido 3.5 05.03.2006 Trojan.Small
Fortinet 2.71.0.0 05.03.2006 W32/Tibs.CQU!tr
Kaspersky 4.0.2.24 05.03.2006 Packed.Win32.Tibs
McAfee 4753 05.02.2006 Downloader-ZQ
Panda 9.0.0.4 05.03.2006 Trj/Gagar.H
Symantec 8.0 05.03.2006 Trojan.Galapoper.A

03.05.2006 20:51 8.192 dlmax.dll - kein Virus gefunden
03.05.2006 20:51 8.192 Pynix.dll - kein Virus gefunden
03.05.2006 20:51 8.192 BTGrab.dll - kein Virus gefunden
03.05.2006 20:51 8.192 ZServ.dll - kein Virus gefunden
03.05.2006 20:51 8.192 susp.exe - kein Virus gefunden
03.05.2006 20:51 8.192 alxtb1.dll - kein Virus gefunden
03.05.2006 20:51 8.192 alxie328.dll - kein Virus gefunden
03.05.2006 20:51 8.192 alexaie.dll - kein Virus gefunden
03.05.2006 20:46 7.551 ccscan6.ini - kein Virus gefunden
03.05.2006 20:34 649 cclean13.ini - kein Virus gefunden
03.05.2006 20:06 10.809 win-sec-center-logo.gif
03.05.2006 20:06 1.014 warning-bar-ico.gif
03.05.2006 20:06 6.575 remove-spyware-btn.gif
03.05.2006 20:06 64 close-bar.gif
03.05.2006 20:06 177 blue-bg.gif
03.05.2006 20:06 545 yes-icon.gif
03.05.2006 20:06 2.400 windows-compatible.gif
03.05.2006 20:06 985 true-stories.gif
03.05.2006 20:06 196 star.gif
03.05.2006 20:06 127 star-grey.gif
03.05.2006 20:06 10.829 spyware-sheriff-header.gif
03.05.2006 20:05 18.610 spyware-sheriff-box.gif
03.05.2006 20:05 9.392 reg-freeze-header.gif
03.05.2006 20:05 20.199 reg-freeze-box.gif
03.05.2006 20:05 104 no-icon.gif
03.05.2006 20:05 7.627 info.gif
03.05.2006 20:05 7.679 infected.gif
03.05.2006 20:05 352 header-bg.gif
03.05.2006 20:05 1.028 h-line-gradient.gif
03.05.2006 20:05 2.361 free-scan-btn.gif
03.05.2006 20:05 803 footer.gif
03.05.2006 20:05 1.470 facts.gif
03.05.2006 20:05 119 corner-right.gif
03.05.2006 20:05 119 corner-left.gif
03.05.2006 20:05 2.151 buy-now-btn.gif
03.05.2006 20:05 3.808 antispylab-logo.gif
03.05.2006 20:05 9.977 adware-sheriff-header.gif
03.05.2006 20:05 18.600 adware-sheriff-box.gif
03.05.2006 20:05 0 0.log - kein Virus gefunden


Wenn es irgendwie vermeidbar ist, würde ich zuerst mal versuchen, das Problem so in den Griff zu bekommen, da auf diesem Rechner, viele wichtige Programme installiert sind, würde ich min. 1 weiteren Tag benötigen um alles neu zu installieren.

Gruß
Alexander

Alt 03.05.2006, 22:42   #10
Wildone
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,
schaue es mir morgen noch mal genauer an, dann sehen wir weiter. Die Dateien, die nicht als Virus erkannt werden sind wahrscheinlich einfach noch nicht fertig heruntergeladen (alle 8.192 byte).


Grüße Wildone

Alt 03.05.2006, 23:43   #11
artiplus
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Ich habe zwischenzeitlich mal SmitFrauFix ausgeführt. Dadurch sind zumindest mal die lästigen Fehlermeldungen behoben und ich kann auch wieder den Taskmanager ohne Probleme bedienen. Im Spybot werden nun nur noch drei statt 21 Fehler erkannt und repariert. Jedoch sind nach jedem Neustart die selben drei Fehler wieder vorhanden.

Gruß
Alexander

Alt 04.05.2006, 09:53   #12
Wildone
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,
Smitfraudfix drüberlaufen zu lassen war auf keinen Fall ein Fehler, aber da dürfte noch mehr sein.

Fixe mal folgende Einträge mit HijackThis:

O2- BHO: (noname)-{00000000-59D4-4008-9058-080011001200}-(nofile)
O2- BHO: (noname)-{00000000-C1EC-0345-6EC2-4D0300000000}-(nofile)
O2- BHO: (noname)-{00000000-F09C-02B4-6EC2-AD0300000000}-(nofile)
O2- BHO: (noname)-{3ceff6cd-6f08-4e4d-bccd-ff7415288c3b}-(nofile)
O2- BHO:winapi32.MyBHO-{62E2E094-F989-48C6-B947-6E79DA2294F9}-C:\WINDOWS\system32\winapi32.dll
O2- BHO: (noname)-{77701e16-9bfe-4b63-a5b4-7bd156758a37}-(nofile)
O2- BHO: (noname)-{7b55bb05-0b4d-44fd-81a6-b136188f5deb}-(nofile)
O2- BHO: (noname)-{8333c319-0669-4893-a418-f56d9249fca6}-(nofile)
O2- BHO: (noname)-{9c691a33-7dda-4c2f-be4c-c176083f35cf}-(nofile)
O2- BHO: (noname)-{AA58ED58-01DD-4d91-8333-CF10577473F7}-(nofile)
O2- BHO: (noname)-{e52dedbb-d168-4bdb-b229-c48160800e81}-(nofile)
O2- BHO: (noname)-{ffd2825e-0785-40c5-9a41-518f53a8261f}-(nofile)
O4- HKLM\..\Run:[Adware.Srv32]C:\WINDOWS\system32\runsrv32.exe
O4- HKLM\..\Run:[Transponder]C:\WINDOWS\system32\susp.exe
O6- HKCU\Software\Policies\Microsoft\InternetExplorer\ Restrictionspresent
O6- HKCU\Software\Policies\Microsoft\InternetExplorer\ ControlPanelpresent
O9- Extrabutton:Real.com-{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}-C:\WINDOWS\system32\Shdocvw.dll



Dann postest du ein neues HijackThis logfile und nochmal die vier Logfiles der Datfind.bat.


Grüße Wildone

Alt 04.05.2006, 10:21   #13
artiplus
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,

die Pos.
O2- BHO: (noname)-{00000000-C1EC-0345-6EC2-4D0300000000}-(nofile)
O2- BHO: (noname)-{9c691a33-7dda-4c2f-be4c-c176083f35cf}-(nofile)
O2- BHO: (noname)-{ffd2825e-0785-40c5-9a41-518f53a8261f}-(nofile)
waren nicht mehr vorhanden

Hier das neue HiJack Protokol:

LogfileofHijackThisv1.99.1
Scansavedat11:15:25,on04.05.2006
Platform:WindowsXPSP2(WinNT5.01.2600)
MSIE:InternetExplorerv6.00SP2(6.00.2900.2180)

Runningprocesses:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\GemeinsameDateien\AOL\ACS\AOLAcsd.exe
C:\Programme\NavNT\defwatch.exe
C:\Programme\GemeinsameDateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\NavNT\rtvscan.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\GemeinsameDateien\AOL\ACS\AOLDial.exe
C:\Programme\MicrosoftActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat5.0\Distillr\AcroTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\GemeinsameDateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\ktpuctvh.exe
C:\Programme\MozillaFirefox\firefox.exe
Z:\hijackthis\HijackThis.exe

R1-HKCU\Software\Microsoft\InternetConnectionWizard,ShellNext=http://windowsupdate.microsoft.com/
O2-BHO:AcroIEHlprObjClass-{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}-C:\Programme\Adobe\Acrobat5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2-BHO:(noname)-{53707962-6F74-2D53-2644-206D7942484F}-C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2-BHO:SSVHelperClass-{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}-C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2-BHO:GoogleToolbarHelper-{AA58ED58-01DD-4d91-8333-CF10577473F7}-c:\programme\google\googletoolbar1.dll
O3-Toolbar:&Google-{2318C2B1-4965-11d4-9B18-009027A5CD4F}-c:\programme\google\googletoolbar1.dll
O4-HKLM\..\Run:[SoundMan]SOUNDMAN.EXE
O4-HKLM\..\Run:[EPSONStylusC84Series]C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE/P23"EPSONStylusC84Series"/O6"USB001"/M"StylusC84"
O4-HKLM\..\Run:[SunJavaUpdateSched]C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4-HKLM\..\Run:[AOLDialer]C:\Programme\GemeinsameDateien\AOL\ACS\AOLDial.exe
O4-HKLM\..\Run:[NeroCheck]C:\WINDOWS\system32\NeroCheck.exe
O4-HKCU\..\Run:[NvMediaCenter]RUNDLL32.EXEC:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4-HKCU\..\Run:[H/PCConnectionAgent]"C:\Programme\MicrosoftActiveSync\WCESCOMM.EXE"
O4-HKCU\..\Run:[SpybotSDTeaTimer]C:\Programme\Spybot-Search&Destroy\TeaTimer.exe
O4-HKCU\..\Run:[taskdir]C:\WINDOWS\system32\taskdir.exe
O4-GlobalStartup:AcrobatAssistant.lnk=C:\Programme\Adobe\Acrobat5.0\Distillr\AcroTray.exe
O4-GlobalStartup:EPSONStatusMonitor3EnvironmentCheck2.lnk=C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4-GlobalStartup:ISDNWatch.lnk=C:\Programme\FRITZ!\IWatch.exe
O4-GlobalStartup:KodakEasyShareSoftware.lnk=C:\Programme\kodak\KodakEasySharesoftware\bin\EasyShare.exe
O4-GlobalStartup:LogitechSetPoint.lnk=C:\Programme\Logitech\SetPoint\SetPoint.exe
O4-GlobalStartup:STAMPTTRAY.lnk=stampit\Binary\STRAY.EXE
O6-HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanelpresent
O8-Extracontextmenuitem:&Google-Suche-res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8-Extracontextmenuitem:&InsDeutscheübersetzen-res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8-Extracontextmenuitem:ImCachegespeicherteSeite-res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8-Extracontextmenuitem:NachMicrosoft&Excelexportieren-res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8-Extracontextmenuitem:Verweisseiten-res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8-Extracontextmenuitem:ÄhnlicheSeiten-res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9-Extrabutton:(noname)-{08B0E5C0-4FCB-11CF-AAA5-00401C608501}-C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9-Extra'Tools'menuitem:SunJavaKonsole-{08B0E5C0-4FCB-11CF-AAA5-00401C608501}-C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9-Extrabutton:MobilenFavoritenerstellen-{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}-C:\Programme\MicrosoftActiveSync\INetRepl.dll
O9-Extrabutton:(noname)-{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}-C:\Programme\MicrosoftActiveSync\INetRepl.dll
O9-Extra'Tools'menuitem:MobilenFavoritenerstellen...-{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}-C:\Programme\MicrosoftActiveSync\INetRepl.dll
O9-Extrabutton:Recherchieren-{92780B25-18CC-41C8-B9BE-3C9C571A8263}-C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16-DPF:{4C39376E-FA9D-4349-BACC-D305C1750EF3}(EPUImageControlClass)-http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16-DPF:{6414512B-B978-451D-A0D8-FCFDF33E833C}(WUWebControlClass)-http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129131833890
O16-DPF:{B1826A9F-4AA0-4510-BA77-9013E74E4B9B}-http://www.trendmicro.com/spyware-scan/as4web.cab
O16-DPF:{B49C4597-8721-4789-9250-315DFBD9F525}(IWinAmpActiveXClass)-http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17-HKLM\System\CCS\Services\Tcpip\..\{F05A260D-4E66-48C8-850F-58C6CA1EE4B6}:NameServer=192.168.0.1,192.168.0.2
O20-WinlogonNotify:NavLogon-C:\WINDOWS\system32\NavLogon.dll
O20-WinlogonNotify:WRNotifier-WRLogonNTF.dll(filemissing)
O23-Service:AOLConnectivityService(AOLACS)-AmericaOnline,Inc.-C:\Programme\GemeinsameDateien\AOL\ACS\AOLAcsd.exe
O23-Service:DefWatch-SymantecCorporation-C:\Programme\NavNT\defwatch.exe
O23-Service:EPSONPrinterStatusAgent2(EPSONStatusAgent2)-SEIKOEPSONCORPORATION-C:\Programme\GemeinsameDateien\EPSON\EBAPI\SAgent2.exe
O23-Service:KodakCameraConnectionSoftware(KodakCCS)-EastmanKodakCompany-C:\WINDOWS\system32\drivers\KodakCCS.exe
O23-Service:IntelNCSNetService(NetSvc)-Intel(R)Corporation-C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23-Service:NortonAntiVirusClient(NortonAntiVirusServer)-SymantecCorporation-C:\Programme\NavNT\rtvscan.exe
O23-Service:NortonUneraseProtection(NProtectService)-SymantecCorporation-C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23-Service:NVIDIADisplayDriverService(NVSvc)-NVIDIACorporation-C:\WINDOWS\system32\nvsvc32.exe
O23-Service:SpeedDiskservice-SymantecCorporation-C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

Datfind.bat:

Verzeichnis von C:\WINDOWS\system32

04.05.2006 10:18 4 winsub.xml
04.05.2006 10:18 62 svcp.csv
04.05.2006 10:04 6.152 ktpuctvh.exe - enthält Viren
03.05.2006 23:08 8.192 udpmod.dll
03.05.2006 23:08 8.192 questmod.dll
03.05.2006 23:08 8.192 jao.dll
03.05.2006 23:08 8.192 bridge.dll
03.05.2006 23:08 8.192 a.exe
03.05.2006 23:08 8.192 dailytoolbar.dll
03.05.2006 23:08 8.192 alxres.dll
03.05.2006 22:56 8.192 CWS_iestart.exe
03.05.2006 22:56 8.192 mirarsearch_toolbar.exe
03.05.2006 14:27 552 d3d8caps.dat
03.05.2006 13:11 433.264 FNTCACHE.DAT
03.05.2006 11:50 2.206 wpa.dbl
03.05.2006 09:06 1 exuc32.tmp
03.05.2006 09:06 8.192 shellgui32.dll
03.05.2006 09:05 48.644 winbl32.dll
03.05.2006 09:05 48.644 repigsp.exe
03.05.2006 09:05 71.684 winsrv32.exe
03.05.2006 09:05 8.708 ekevdqax.exe
26.04.2006 21:13 6.201 phqghume.exe
06.04.2006 12:48 5.143.456 MRT.exe

Verzeichnis von C:\DOKUME~1\artiplus\LOKALE~1\Temp

04.05.2006 11:08 16.384 ~DFB063.tmp
04.05.2006 11:02 896 WcesView.log
04.05.2006 09:14 578 MSI3fbcf.LOG
04.05.2006 09:13 20 ~713.tmp
04.05.2006 08:10 824 jusched.log
04.05.2006 08:00 224 WCESCOMM.LOG

Verzeichnis von C:\WINDOWS

04.05.2006 08:00 1.178.631 WindowsUpdate.log
04.05.2006 08:00 0 0.log
04.05.2006 08:00 159 wiadebug.log
04.05.2006 08:00 50 wiaservc.log
04.05.2006 08:00 2.048 bootstat.dat
04.05.2006 01:09 32.578 SchedLgU.Txt
04.05.2006 00:52 7.551 ccscan6.ini
03.05.2006 23:14 816 win.ini
03.05.2006 23:14 227 system.ini
03.05.2006 23:14 190.711 setupact.log
03.05.2006 23:13 1.036.608 ntbtlog.txt
03.05.2006 23:08 8.192 dlmax.dll
03.05.2006 23:08 8.192 Pynix.dll
03.05.2006 23:08 8.192 BTGrab.dll
03.05.2006 23:08 8.192 ZServ.dll
03.05.2006 23:08 8.192 susp.exe
03.05.2006 23:08 8.192 alxtb1.dll
03.05.2006 23:08 8.192 alxie328.dll
03.05.2006 23:08 8.192 alexaie.dll
03.05.2006 20:34 649 cclean13.ini
03.05.2006 20:09 11.495 mozver.dat
03.05.2006 20:06 10.809 win-sec-center-logo.gif
03.05.2006 20:06 1.014 warning-bar-ico.gif
03.05.2006 20:06 6.575 remove-spyware-btn.gif
03.05.2006 20:06 64 close-bar.gif
03.05.2006 20:06 177 blue-bg.gif
03.05.2006 20:06 545 yes-icon.gif
03.05.2006 20:06 2.400 windows-compatible.gif
03.05.2006 20:06 985 true-stories.gif
03.05.2006 20:06 196 star.gif
03.05.2006 20:06 127 star-grey.gif
03.05.2006 20:06 10.829 spyware-sheriff-header.gif
03.05.2006 20:05 18.610 spyware-sheriff-box.gif
03.05.2006 20:05 9.392 reg-freeze-header.gif
03.05.2006 20:05 20.199 reg-freeze-box.gif
03.05.2006 20:05 104 no-icon.gif
03.05.2006 20:05 7.627 info.gif
03.05.2006 20:05 7.679 infected.gif
03.05.2006 20:05 352 header-bg.gif
03.05.2006 20:05 1.028 h-line-gradient.gif
03.05.2006 20:05 2.361 free-scan-btn.gif
03.05.2006 20:05 803 footer.gif
03.05.2006 20:05 1.470 facts.gif
03.05.2006 20:05 119 corner-right.gif
03.05.2006 20:05 119 corner-left.gif
03.05.2006 20:05 2.151 buy-now-btn.gif
03.05.2006 20:05 3.808 antispylab-logo.gif
03.05.2006 20:05 9.977 adware-sheriff-header.gif
03.05.2006 20:05 18.600 adware-sheriff-box.gif
03.05.2006 14:37 582.199 setupapi.log
03.05.2006 13:11 923 spupdsvc.log
03.05.2006 13:02 135 uno.ini
03.05.2006 12:50 421.252 iis6.log
03.05.2006 12:50 130.261 comsetup.log
03.05.2006 12:50 77.344 ntdtcsetup.log
03.05.2006 12:50 168.163 tsoc.log
03.05.2006 12:50 18.668 tabletoc.log
03.05.2006 12:50 1.355 imsins.log
03.05.2006 12:50 20.037 ocmsn.log
03.05.2006 12:50 20.473 KB908531.log
03.05.2006 12:50 63.438 netfxocm.log
03.05.2006 12:50 25.287 MedCtrOC.log
03.05.2006 12:50 178.028 ocgen.log
03.05.2006 12:50 17.839 msgsocm.log
03.05.2006 12:50 357.757 FaxSetup.log
03.05.2006 12:50 115.236 msmqinst.log
03.05.2006 12:50 28.207 updspapi.log
03.05.2006 12:49 1.355 imsins.BAK
03.05.2006 12:49 20.436 KB900485.log
03.05.2006 12:49 16.813 KB911565.log
03.05.2006 12:49 51.452 wmsetup.log
03.05.2006 12:48 19.634 KB911562.log
03.05.2006 12:48 21.906 KB912812.log
03.05.2006 12:47 13.233 KB911567.log
03.05.2006 12:47 8.772 KB913446.log
03.05.2006 12:47 9.812 KB911564.log
03.05.2006 12:46 12.922 KB911927.log
03.05.2006 12:46 29.565 KB912919.log
03.05.2006 12:46 28.255 KB908519.log
03.05.2006 12:46 16.048 KB910437.log
03.05.2006 12:45 24.112 KB896424.log
03.05.2006 09:34 7.675 WGA.log
21.04.2006 11:58 5.052 fnerr.dat

Verzeichnis von C:\

04.05.2006 11:19 0 sys.txt
04.05.2006 11:19 11.590 system.txt
04.05.2006 11:18 540 systemtemp.txt
04.05.2006 11:17 108.426 system32.txt
04.05.2006 08:00 1.073.270.784 hiberfil.sys
04.05.2006 08:00 805.306.368 pagefile.sys
04.05.2006 00:20 182 boot.ini
03.05.2006 23:14 700 rapport.txt
02.05.2006 21:11 9.065 voxFcoldrv.log

Gruß
Alexander

Alt 04.05.2006, 10:34   #14
Rene-gad
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



@artiplus
Ich habe ganz dummes Gefühl gekriegt, dass Malware sich auf Deinem Rechner vermehrt:
Zitat:
O4-HKCU\..\Run:[taskdir]C:\WINDOWS\system32\taskdir.exe
Hier handelt es sich darum. Das Gescheiteste dabei wäre, Windows neu aufzusetzten.

Alt 04.05.2006, 10:40   #15
Wildone
 
Spyware lässt sich nicht entfernen - Standard

Spyware lässt sich nicht entfernen



Hallo,
besorge dir killbox und lösche folgende Dateien on reboot:

C:\Windows\System32\winsub.xml
C:\Windows\System32\svcp.csv
C:\Windows\System32\ktpuctvh.exe
C:\Windows\System32\udpmod.dll
C:\Windows\System32\questmod.dll
C:\Windows\System32\jao.dll
C:\Windows\System32\bridge.dll
C:\Windows\System32\a.exe
C:\Windows\System32\dailytoolbar.dll
C:\Windows\System32\alxres.dll
C:\Windows\System32\CWS_iestart.exe
C:\Windows\System32\mirarsearch_toolbar.exe
C:\Windows\System32\d3d8caps.dat
C:\Windows\System32\exuc32.tmp
C:\Windows\System32\shellgui32.dll
C:\Windows\System32\winbl32.dll
C:\Windows\System32\repigsp.exe
C:\Windows\System32\winsrv32.exe
C:\Windows\System32\ekevdqax.exe
C:\Windows\System32\phqghume.exe
C:\Windows\dlmax.dll
C:\Windows\Pynix.dll
C:\Windows\BTGrab.dll
C:\Windows\ZServ.dll
C:\Windows\susp.exe
C:\Windows\alxtb1.dll
C:\Windows\alxie328.dll
C:\Windows\alexaie.dll

Erst beui der letzten das rebooten bejaen.
Die ganzen gif Dateien in C:\Windows kannst du ganz normal löschen.

Poste danach nochmal die vier Logfiles.


Edit
Die taskdir.exe scheint wirklich der Lager.aq zu sein, auch wenn sich das ohne die Datei leider nicht bestätigen läßt, und vorhanden scheint sie mir nicht mehr zu sein. Aber trotzdem war/ist ein Fernzugriff auf deinen PC möglich und keiner kann dir sagen was verändert wurde, Konsequenz sollte Neuaufsetzen sein.


Grüße Wildone

Geändert von Wildone (04.05.2006 um 10:50 Uhr)

Antwort

Themen zu Spyware lässt sich nicht entfernen
abgesicherten modus, adobe, antivirus, bho, browser, drivers, einstellungen, entfernen, excel, explorer, fritz!, hijack, internet, internet explorer, lässt sich nicht entfernen, microsoft, monitor, nvidia, object, programme, rundll, software, spyware, symantec, system, usb, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Spyware lässt sich nicht entfernen


  1. Windows7 taskmgr lässt sich nicht starten, Avira Echtzeitscanner lässt sich nicht aktivieren, USB wird nicht angenommen, ohne Meldung,
    Log-Analyse und Auswertung - 01.06.2015 (15)
  2. Imitent lässt sich nicht entfernen/ spyware ?
    Plagegeister aller Art und deren Bekämpfung - 04.08.2014 (16)
  3. Laptop ruckelt nur noch, Iminent lässt sich nicht löschen und Radio schaltet sich alleine an und aus und lässt sich ebenfalls nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.06.2014 (3)
  4. Malware/ Spyware lässt sich trotz mehrerer scanns nicht löschen!
    Log-Analyse und Auswertung - 24.06.2013 (43)
  5. XP Anti-Spyware lässt sich, trotz Anleitung, nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 19.04.2011 (8)
  6. SECURITY TOOL WARNUNG öffnet sich andauernd und lässt sich nicht entfernen!
    Log-Analyse und Auswertung - 03.10.2010 (1)
  7. Rootkit-Agent El lässt sich werder von avg noch von spyware oder spydoctor entfernen
    Plagegeister aller Art und deren Bekämpfung - 05.07.2010 (1)
  8. Spybot+Firefox hängen sich auf / Windows Security Alert lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (15)
  9. Pc hängt - Spyware Doctor lässt sich nicht öffnen
    Log-Analyse und Auswertung - 09.07.2009 (1)
  10. Spyware lässt sich nicht entfernen
    Log-Analyse und Auswertung - 23.01.2009 (0)
  11. Zonealarm Spyware lässt sich nicht updaten!
    Antiviren-, Firewall- und andere Schutzprogramme - 21.01.2008 (3)
  12. Lästige Spyware lässt sich nicht entfernen :(
    Log-Analyse und Auswertung - 19.06.2007 (23)
  13. Spyware und tr/dldr.purityscan.co.10 lassen sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 11.12.2006 (1)
  14. Spyware lässt sich nicht entfernen
    Log-Analyse und Auswertung - 16.11.2006 (2)
  15. Lässt sich nicht entfernen
    Log-Analyse und Auswertung - 07.05.2006 (10)
  16. Desktophintergrund lässt sich nicht verändern, Hinweiss Spyware infected
    Plagegeister aller Art und deren Bekämpfung - 10.11.2005 (2)
  17. Spyware im Systemtray lässt sich nicht entfernen
    Log-Analyse und Auswertung - 17.05.2005 (4)

Zum Thema Spyware lässt sich nicht entfernen - Hallo, den ganzen Tag ärgere ich mich nun schon mit irgendwelcher Spyware rum. Etliche Versuche u.A. mit Spybot zeigen mir auch an, daß hier was vorhanden ist (habe hierzu einen - Spyware lässt sich nicht entfernen...
Archiv
Du betrachtest: Spyware lässt sich nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.