|
HILFE!? SpyFalcon, etc. -.- hallo...brauche hilfe..biddö... da mein problem noch andere leute haben und die problemdarstellung passt habe ich den text mal von djbestfx kopiert. hier mein problem seit gestern Abend habe ich ein riesen Problem. Beim Surfen durch das Internet öffnete sich auf einmal ein Fenster mit dem Namen Spyware Strike und einen Icon im Tray. Zuerst habe ich versucht das "Programm" über die uninstall.exe zu entfernen was im ersten Moment auch zu funktionieren schien. Aber das Icon aus dem Tray konnte ich einfach nich entfernen. Auch Spybot (der Spyware Strike als Virus erkannt hat) und es "entfernt" hat konnte es nich aus dem Tray entfernen. Als ich heute wieder an den PC bin habe ich mal ein bischen bei google gesucht und habe auf dieser Seite einen Thread zum Thema gefunden wo Kaspersky geholfen hat. Allerdings hat Kaspersky bei mir überhaupt nichts gefunden. Mittlerweile wurde aus dem einen Icon ein zweites bzw drittes. Jetzt hat sich noch ein anderes Programm mit dem Namen SpyFalcon 2.0 installiert welches sich ebenfalls nicht ernfernen lässt. hier erstmal HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 13:00:47, on 11.02.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\AMD\Cool'n'Quiet\GemServ.exe C:\Programme\AMD\Cool'n'Quiet\gemback.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\locator.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\nvctrl.exe C:\WINNT\SOUNDMAN.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\SpyFalcon\SpyFalcon.exe C:\WINNT\system32\internat.exe E:\Valve\Steam\Steam.exe C:\Programme\SpyFalcon\SpyFalcon.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\HijackThis.exe O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINNT\system32\hp9479.tmp O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-2fe89c996183} - c:\programme\steganos internet anonym 7\sia7iep.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NVRTCLK] C:\WINNT\system32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SpyFalcon] C:\Programme\SpyFalcon\SpyFalcon.exe /h O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Steam] E:\Valve\Steam\\Steam.exe -silent O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINNT\nvidGUIv.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe thx (scho ma im vorraus!^^) derAngler |
@derAngler Zitat:
Danach Spybot und Adaware mit akuellen Signaturen laufen lassen. |
das programm hab ich ja nich installiert... es hat sich selbst installiert! ich kann spyfalcon ja "deinstallieren"... beim nächsten neustart isses aber wieder da! hab die progs jetz ma durchlaufen lassen... hilft nix...haben zwar was gefunden...aber nich die nervigen sachen!^^ trotzdem danke! |
hab alles mögliche ausprobiert...normal und im abgesicherten modus...es kommt spätestens nach nem neustart wieder!?:headbang: |SpyFalcon|:snyper: |
Hallo der Angler, lass diese hier bei Jotti überprüfen: C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\nvctrl.exe Link zu Jotti : http://virusscan.jotti.org/de/ O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINNT\system32\hp9479.tmp das sieht sehr nach dem Trojaner zlob aus. Poste was Jotti sagt. Irrlicht |
|
Datei: mssearchnet.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPACK AntiVir Keine Viren gefunden ArcaVir Heur.Win32 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Datei: mssearchnet.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPACK AntiVir Keine Viren gefunden ArcaVir Heur.Win32 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Datei: nvctrl.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPACK AntiVir Keine Viren gefunden ArcaVir Heur.Win32 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Generic.Malware.Ssp.0CC7FE37 gefunden (mögliche Variante) ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden ... beim letzten sagt er das: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file ... könnte dran liegen, dass ich das schon gefixt hab!? hier nochma mein aktueller log: Logfile of HijackThis v1.99.1 Scan saved at 18:58:20, on 11.02.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\AMD\Cool'n'Quiet\GemServ.exe C:\Programme\AMD\Cool'n'Quiet\gemback.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\mssearchnet.exe C:\WINNT\SOUNDMAN.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINNT\system32\internat.exe E:\Valve\Steam\Steam.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\SpyFalcon\SpyFalcon.exe C:\Programme\SpyFalcon\SpyFalcon.exe C:\WINNT\System32\locator.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winamp.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\HiJackThis\HijackThis.exe O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-2fe89c996183} - c:\programme\steganos internet anonym 7\sia7iep.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NVRTCLK] C:\WINNT\system32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Steam] E:\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINNT\nvidGUIv.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe ...hoffe das alles richtig is^^ |
Zitat:
smitRem © log file version 2.8 by noahdfear Microsoft Windows 2000 [Version 5.00.2195] Running from C:\Dokumente und Einstellungen\Administrator\Desktop\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32] @="C:\WINNT\system32\dxmpp.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ Online Security Guide.url Security Troubleshooting.url ~~~ Favorites ~~~ Antivirus Test Online.url ~~~ system32 folder ~~~ 1024 dir msvol.tlb ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe mscornet.exe hp***.tmp ~~~ Icons in System32 ~~~ ts.ico ot.ico ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 436 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32] @="C:\WINNT\system32\dxmpp.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) |
derAngler vielleicht wendest du das hier zusaetzlich noch an (nur die bfu, denn mit smitrem hast du ja schon gescannt)) http://virus-protect.org/artikel/bfu/spyaxebfu.html Info:spyfalcon http://virus-protect.org/artikel/spyware/spyfalcon.html |
@Sabina Hallo, in deiner Beschreibung fehlt aber die zentrale Datei bei Spyfalcon, nämlich die C:\WINNT\system32\dxmpp.dll Hier auch der Regeintrag bei Smitrem: "{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver" [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD -F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32] @="C:\WINNT\system32\dxmpp.dll" Beschreibung bei bleepingcomputer (einschl reg Datei): Edit Da hatte ich tomaten auf den Augen, sorry. Ich glaube ich gehe für heute mal off, Zeit wird es. Grüße Wildone |
danke danke... ich werd nen netten film gucken und mich danach wieder an den rechner setzen. meld mich dann und sag, ob alles gklappt hat! (hoffe ich doch)^^ mfg derAngler |
so, ich denke, ich habs fertig... siehe: http://www.hijackthis-forum.de/showthread.php?t=14328 hab im abgesichtern modus erst unter systemsteuerung->software spy falcon deinstalliert... dann alles was davon noch geblieben is manuell gelöscht... dann alles (clean-up, ad-aware, spybot s&d, ccleaner und a-squared) drübergejagt. es hat sich nichts neu gestartet oder ähnliches... denke ich bins los!!! mfg & thx derAngler |
Hi Ich habe das selbe Problem mit diesem Programm! Hi die Datei von Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 16:56:01, on 20.02.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\mssearchnet.exe C:\WINDOWS\System32\nvctrl.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\Programme\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SpyFalcon\spyfalcon.exe C:\Programme\SpyFalcon\spyfalcon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\JAEGER~1\LOKALE~1\Temp\Rar$EX00.421\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.alcohol-software.com/quantity.php O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp7464.tmp O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [Lwinst Run Profiler] .\Lwtest.exe /detect /quiet /launch ".\Lwpevntm.exe" O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SpyFalcon] C:\Programme\SpyFalcon\SpyFalcon.exe /h O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] d:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe Was muß ich jetzt machen ? |
Hallo Jägermeister, ein Thread hätte genügt! Siehe: http://www.trojaner-board.de/showthr...d=1#post197765 dartus |
Jaegermeister spyfalcon http://virus-protect.org/artikel/spyware/spyfalcon.html ----------------------------------------------------------------- Ich schaue mal nach, ob es neue Daten gibt..... ;) denn diese ........ ersinnen immer neue, damit uns die Arbeit nicht ausgeht....:headbang: stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SpyFalcon in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn |
Hallo Sabina, da ist aber noch mehr drauf als nur der SpyFalcon und die "Anhängsel". dartus |
hab ich gesehen ;) aber ich warte erst mal ab, ob die 4 Textdateien von datfindbat hier eintrudeln |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A015-ACD5 Verzeichnis von C:\WINDOWS\system32 21.02.2006 17:07 22.571 nvapps.xml 20.02.2006 17:30 5.052 ncompat.tlb 20.02.2006 16:37 5.632 msvol.tlb 20.02.2006 16:37 27.648 hp7464.tmp 20.02.2006 16:37 21.517 ld71C5.tmp 20.02.2006 09:05 17.104 nvctrl.exe 20.02.2006 09:05 9.644 mssearchnet.exe 20.02.2006 09:05 4.286 ot.ico 20.02.2006 09:05 4.286 ts.ico 20.02.2006 09:02 2.206 wpa.dbl 13.02.2006 17:23 102.400 dxmpp.dll 13.02.2006 17:21 13.761 mscornet.exe 13.01.2006 09:50 113.376 FNTCACHE.DAT 12.01.2006 18:03 380.486 perfh009.dat 12.01.2006 18:03 52.900 perfc009.dat 12.01.2006 18:03 391.330 perfh007.dat 12.01.2006 18:03 63.778 perfc007.dat 12.01.2006 18:03 787.052 PerfStringBackup.INI 14.11.2005 18:43 30.208 usb496.dat 01.11.2005 11:30 114.688 spacklsp.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A015-ACD5 Verzeichnis von C:\DOKUME~1\JAEGER~1\LOKALE~1\Temp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A015-ACD5 Verzeichnis von C:\WINDOWS 21.02.2006 16:32 0 0.log 21.02.2006 16:32 2.048 bootstat.dat 20.02.2006 21:54 32.390 SchedLgU.Txt 20.02.2006 17:36 583.958 ntbtlog.txt 20.02.2006 17:35 282.568 setupact.log 20.02.2006 17:04 729.182 setupapi.log 30.01.2006 19:29 1.125 Winamp.ini 12.01.2006 20:28 2.884 COM+.log 12.01.2006 18:04 266.450 DirectX.log 03.01.2006 17:46 50 wiaservc.log 03.01.2006 17:46 215 wiadebug.log 24.10.2005 17:54 4.118 Windows Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A015-ACD5 Verzeichnis von C:\ 21.02.2006 17:14 0 sys.txt 21.02.2006 17:14 5.254 system.txt 21.02.2006 17:13 136 systemtemp.txt 21.02.2006 17:11 96.013 system32.txt 21.02.2006 16:32 805.306.368 pagefile.sys 20.02.2006 17:34 3.536 smitfiles.txt 25.01.2005 17:49 194 boot.ini So das sind die 4 Dateien!! |
Naja das Log des Reg search ist wohl etwas zu groß für das Forum! Schick mir einfach deine Email per PM und dann lass ich es dir zukommen! |
Jaegermeister öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp7464.tmp O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [SpyFalcon] C:\Programme\SpyFalcon\SpyFalcon.exe /h KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ........ C:\WINDOWS\system32\nvapps.xml C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hp7464.tmp C:\WINDOWS\system32\ld71C5.tmp C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\dxmpp.dll C:\WINDOWS\system32\mscornet.exe PC neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell Loeschen: C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\Programme\Common files\SearchUpgrader --------------------------------------------------------------- Wende diesen Remover fuer den Blaster-Wurm an (am besten im abgesicherten Modus) http://securityresponse.symantec.com...oval.tool.html Lade den Stinger und scanne ebenfalls (im Normal+ abgesichertem Modus) http://vil.nai.com/vil/stinger/ arbeite das genausten ab (eingeschlossen die Onlinescans) http://virus-protect.org/artikel/bfu/spyaxebfu.html |
Ich wollt mich zum Teil mal bedanken :) Da hatte jemand geschrieben man müsste mal z.B. mit CleanUp! scannen, was ich auch getan hab, und nu is dieses komische zeichen unten weg, was andauernd Virus Alert sagte (:balla: ) und dieses SpyFalcon is nu auch wech :) Adaware und Spybot, Sophos AntiVirus, a² habens ned gefunden und so Oo also wirklich dickes danke ^^ musste zwar dieses mssearchnet.exe und das nvctrl.exe zwar manuell entfernen aber naja. Danke! nu hab ich mir auch noch das zeug vom aktuellen PC Magazin drauf gemacht und hoffe das sowas nie wieder passiert. Sry wenn ich damit gespammt hab, oder dieses thema z.B. wieder aufgefrischt hab oder so Oo aber danke. |
bei SpyFalcon werden staendig neue dll auf die Server geladen, deshalb ist es unumgaenglich, auch manuell zu loeschen und vorher mit der datfindbat zu pruefen, was sich auf dem System befindet. http://virus-protect.org/artikel/spyware/spyfalcon.html http://virus-protect.org/datfindbat.html Verzeichnis von C:\WINDOWS\system32 02.03.2006 19:43 102.400 ginuerep.dll --> neue dll 09.02.2006 16:58 102.400 dxmpp.dll 18.02.2006 03:41 14.857 dfrgsrv.exe 20.02.2006 02:57 56 dfrgsrv.exe 27.02.2006 06:59 15.561 dfrgsrv.exe 28.02.2006 16:34 15.581 dfrgsrv.exe erst dann sollte cleanUp und smitfraud.fix und smitrem angewendet werden ;) |
Hiho Wollte mich nur mal Bedanken! Hat alles geklappt! Danke! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board