Hallo, danke das ihr das durchlehst
Ich habe vollgedes Problem und zwar habe ich mir etwas heruntegeladen und da war eine Install Datei dabei, diese
hatte den Namen "Winstall". Ich hab doppelklick auf diese Datei gemacht und seit dem habe ich einen Hintergrund den man nicht mehr wegmachen kann. Blauer Bildschirm mit roter Schrift auf schwarzem Hintergrund. Dabei hat dieses Ding auch ein Programm installiert, das sich die ganze Zeit meldet und sagt, das mein Computer infiziert sei. das Problem ist, ich kanns nicht deinstallieren und mit vielen Programmen, die ich ausprobiert ahb, ging es auch nicht weg.
Ich danke euch schon im Vorraus das ihr mir helft.
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Habe Problem mit einem Komiscchen Spyware Programm
15 Beiträge • Seite 1 von 1
von Virenopfer am 25.12.2005, 12:54
hallo
ich hatte das auch^^
und nachdem ich das auf meinem pc hatte kam sofort eine virus meldung> dieses winstall ist doeer hat ein virus> immer ablehnen!
soweit ich noch weiß ist in irgendeiner ecke auf deem desktop ein
" X " (also das zum schließen)..das musst du anklicken und dann kriegst du dein altest bild wieder zurück (so war daas jedenfalls ebim mir^^)
undn wenn diese winstall-meldung nochmal komt immer auf das schließen-button gehen! und auch wenn du schließen drückst kommt da die anzeige das das programm gedownloadet wird
-so war das bei mir immer- musst du immer weiter darauf klicken das ales davon weg ist und vorsichtsalber nochmal virusprogramm durchlaufen lassen^^
ich hatte das auch^^
und nachdem ich das auf meinem pc hatte kam sofort eine virus meldung> dieses winstall ist doeer hat ein virus> immer ablehnen!
soweit ich noch weiß ist in irgendeiner ecke auf deem desktop ein
" X " (also das zum schließen)..das musst du anklicken und dann kriegst du dein altest bild wieder zurück (so war daas jedenfalls ebim mir^^)
undn wenn diese winstall-meldung nochmal komt immer auf das schließen-button gehen! und auch wenn du schließen drückst kommt da die anzeige das das programm gedownloadet wird
-so war das bei mir immer- musst du immer weiter darauf klicken das ales davon weg ist und vorsichtsalber nochmal virusprogramm durchlaufen lassen^^
- Virenopfer
- Beiträge: 2
- Registriert: 25.12.2005, 12:16
von Holy Marcell am 25.12.2005, 15:41
Und vorsichtshalber einfach mal den Mund halte, wenn man keine Ahnung davon hat!
@ Üble Infizierung:
http://virus-protect.net/artikel/spyware/secure_32.html
-----------------------------------------------------------------------------
Lade:
http://www.merijn.org/files/hijackthis.zip
Bebilderte Kurzanleitung
=======
Entpacke in einen eigenen Ordner ==> Doppelklick auf: "Hijackthis.exe" ==> Haken setzen ==> [Noone of the above Just start the Programm] ==> Button [Scan] ==> Nach dem Scan [Save Logfile] Speichere es ==> Ein Editor öffnet sich: kopiere den Inhalt hierher ins Forum.
datfindbat (kopiere die 4 Textdateien --> 2 Monate vom Datum her genuegen)
http://virus-protect.net/datfindbat.html
@ Üble Infizierung:
http://virus-protect.net/artikel/spyware/secure_32.html
-----------------------------------------------------------------------------
Lade:
http://www.merijn.org/files/hijackthis.zip
Bebilderte Kurzanleitung
=======
Entpacke in einen eigenen Ordner ==> Doppelklick auf: "Hijackthis.exe" ==> Haken setzen ==> [Noone of the above Just start the Programm] ==> Button [Scan] ==> Nach dem Scan [Save Logfile] Speichere es ==> Ein Editor öffnet sich: kopiere den Inhalt hierher ins Forum.
datfindbat (kopiere die 4 Textdateien --> 2 Monate vom Datum her genuegen)
http://virus-protect.net/datfindbat.html
- Holy Marcell
von Schnipper am 25.12.2005, 16:00
hier isch des zeug von Hijak this
Logfile of HijackThis v1.99.1
Scan saved at 14:59:55, on 25.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\GEARSec.exe
S:\Programme\Spyware\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
S:\Programme\Musicmatch\mm_tray.exe
S:\Programme\Musicmatch\mmtask.exe
C:\WINDOWS\system32\rundll32.exe
C:\winstall.exe
S:\Spiele etc\XFire\Xfire.exe
C:\WINDOWS\system32\WISPTIS.EXE
S:\Programme\Musicmatch\MMJB.EXE
S:\Programme\Musicmatch\MMDiag.exe
S:\Programme\Musicmatch\mm_director.exe
S:\PROGRA~1\MUSICM~1\MM_TDM~1.EXE
S:\Programme\Mozilla\firefox.exe
C:\DOKUME~1\Isch\LOKALE~1\Temp\Rar$EX00.188\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - S:\Programme\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_98.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - S:\PROGRA~1\Spyware\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - S:\PROGRA~1\Spyware\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [MMTray] "S:\Programme\Musicmatch\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "S:\Programme\Musicmatch\mmtask.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CSLauncher] C:\Programme\CS-Launcher\CSLauncher.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Startup: Xfire.lnk = S:\Spiele etc\XFire\Xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = S:\Programme\Acrobat Reader\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://S:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - S:\PROGRA~1\Spyware\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - S:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8A506F6-7ECA-4839-B428-57414728341E}: NameServer = 194.25.2.129,0.0.0.0
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - S:\Programme\Spyware\Spyware Doctor\sdhelp.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
Logfile of HijackThis v1.99.1
Scan saved at 14:59:55, on 25.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\GEARSec.exe
S:\Programme\Spyware\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
S:\Programme\Musicmatch\mm_tray.exe
S:\Programme\Musicmatch\mmtask.exe
C:\WINDOWS\system32\rundll32.exe
C:\winstall.exe
S:\Spiele etc\XFire\Xfire.exe
C:\WINDOWS\system32\WISPTIS.EXE
S:\Programme\Musicmatch\MMJB.EXE
S:\Programme\Musicmatch\MMDiag.exe
S:\Programme\Musicmatch\mm_director.exe
S:\PROGRA~1\MUSICM~1\MM_TDM~1.EXE
S:\Programme\Mozilla\firefox.exe
C:\DOKUME~1\Isch\LOKALE~1\Temp\Rar$EX00.188\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - S:\Programme\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_98.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - S:\PROGRA~1\Spyware\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - S:\PROGRA~1\Spyware\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [MMTray] "S:\Programme\Musicmatch\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "S:\Programme\Musicmatch\mmtask.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CSLauncher] C:\Programme\CS-Launcher\CSLauncher.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Startup: Xfire.lnk = S:\Spiele etc\XFire\Xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = S:\Programme\Acrobat Reader\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://S:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - S:\PROGRA~1\Spyware\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - S:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8A506F6-7ECA-4839-B428-57414728341E}: NameServer = 194.25.2.129,0.0.0.0
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - S:\Programme\Spyware\Spyware Doctor\sdhelp.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
- Schnipper
- Beiträge: 40
- Registriert: 09.09.2005, 12:17
von Holy Marcell am 25.12.2005, 16:14
Arbeite das hier ab:
http://www.informationsarchiv.net/foren ... 26734.html
+
LSPfix
http://www.spychecker.com/program/lspfix.html
hake an: "I know what Im doing"--Remove
und loesche die newdotnet6_98.dll
(eventuell musst du die dll von links nach rechts bringen)
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_98.dll
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
PC neustarten
deinstalliere/loesche.
C:\Programme\NewDotNet
C:\Program Files\SpySheriff
C:\winstall.exe
--------------------------------------------------------------------
datfindbat (kopiere die 4 Textdateien --> 2 Monate vom Datum her genuegen)
http://virus-protect.net/datfindbat.html
http://www.informationsarchiv.net/foren ... 26734.html
+
LSPfix
http://www.spychecker.com/program/lspfix.html
hake an: "I know what Im doing"--Remove
und loesche die newdotnet6_98.dll
(eventuell musst du die dll von links nach rechts bringen)
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_98.dll
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
PC neustarten
deinstalliere/loesche.
C:\Programme\NewDotNet
C:\Program Files\SpySheriff
C:\winstall.exe
--------------------------------------------------------------------
datfindbat (kopiere die 4 Textdateien --> 2 Monate vom Datum her genuegen)
http://virus-protect.net/datfindbat.html
- Holy Marcell
von Schnipper am 27.12.2005, 11:59
Was meinst du mirt 2 Monate genuegen, das ich in zwei Monaten 4 mal diese Texte poste?
- Schnipper
- Beiträge: 40
- Registriert: 09.09.2005, 12:17
von Holy Marcell am 27.12.2005, 14:20
Nein: Kopiere die Textdateien hier rein. Am anfang jeder Zeile steht ein Datum und alle Einträge, die älter ls 2 Monate sidn lässt du raus.
- Holy Marcell
von Yourhighness am 27.12.2005, 23:52
Hi!
Es sind 4 DATEIN, bitte auch jeweils die Ueberschriften hier posten.
MfG,
Es sind 4 DATEIN, bitte auch jeweils die Ueberschriften hier posten.
MfG,
- Yourhighness
von Schnipper am 28.12.2005, 12:23
1e
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0AF-C01E
Verzeichnis von C:\WINDOWS\system32
28.12.2005 11:22 13.646 wpa.dbl
17.12.2005 09:24 371.028 perfh007.dat
17.12.2005 09:24 363.734 perfh009.dat
17.12.2005 09:24 45.408 perfc009.dat
17.12.2005 09:24 54.788 perfc007.dat
17.12.2005 09:24 843.752 PerfStringBackup.INI
11.12.2005 17:13 16.832 amcompat.tlb
11.12.2005 17:13 23.392 nscompat.tlb
08.12.2005 16:25 2.723.680 MRT.exe
07.12.2005 16:31 34.064 lhacm.acm
07.12.2005 16:21 62.728 GDIPFONTCACHEV1.DAT
05.12.2005 14:58 238.352 FNTCACHE.DAT
05.12.2005 14:31 8.464 sporder.dll
05.12.2005 14:26 2.195.840 kernel1.exe
04.12.2005 20:14 251 spupdwxp.log
04.12.2005 19:52 22 ati64hlp.stb
04.12.2005 19:34 25.065 wmpscheme.xml
04.12.2005 18:26 13.588 wpa.bak
04.12.2005 18:05 261 $winnt$.inf
04.12.2005 18:03 2.951 CONFIG.NT
04.12.2005 18:01 488 WindowsLogon.manifest
04.12.2005 18:01 488 logonui.exe.manifest
04.12.2005 18:01 749 sapi.cpl.manifest
04.12.2005 18:01 749 cdplayer.exe.manifest
04.12.2005 18:01 749 wuaucpl.cpl.manifest
04.12.2005 18:01 749 ncpa.cpl.manifest
04.12.2005 18:01 749 nwc.cpl.manifest
04.12.2005 17:59 21.740 emptyregdb.dat
04.12.2005 17:53 0 h323log.txt
01.12.2005 04:31 1.492.480 shdocvw.dll
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0AF-C01E
Verzeichnis von C:\WINDOWS\system32
28.12.2005 11:22 13.646 wpa.dbl
17.12.2005 09:24 371.028 perfh007.dat
17.12.2005 09:24 363.734 perfh009.dat
17.12.2005 09:24 45.408 perfc009.dat
17.12.2005 09:24 54.788 perfc007.dat
17.12.2005 09:24 843.752 PerfStringBackup.INI
11.12.2005 17:13 16.832 amcompat.tlb
11.12.2005 17:13 23.392 nscompat.tlb
08.12.2005 16:25 2.723.680 MRT.exe
07.12.2005 16:31 34.064 lhacm.acm
07.12.2005 16:21 62.728 GDIPFONTCACHEV1.DAT
05.12.2005 14:58 238.352 FNTCACHE.DAT
05.12.2005 14:31 8.464 sporder.dll
05.12.2005 14:26 2.195.840 kernel1.exe
04.12.2005 20:14 251 spupdwxp.log
04.12.2005 19:52 22 ati64hlp.stb
04.12.2005 19:34 25.065 wmpscheme.xml
04.12.2005 18:26 13.588 wpa.bak
04.12.2005 18:05 261 $winnt$.inf
04.12.2005 18:03 2.951 CONFIG.NT
04.12.2005 18:01 488 WindowsLogon.manifest
04.12.2005 18:01 488 logonui.exe.manifest
04.12.2005 18:01 749 sapi.cpl.manifest
04.12.2005 18:01 749 cdplayer.exe.manifest
04.12.2005 18:01 749 wuaucpl.cpl.manifest
04.12.2005 18:01 749 ncpa.cpl.manifest
04.12.2005 18:01 749 nwc.cpl.manifest
04.12.2005 17:59 21.740 emptyregdb.dat
04.12.2005 17:53 0 h323log.txt
01.12.2005 04:31 1.492.480 shdocvw.dll
- Schnipper
- Beiträge: 40
- Registriert: 09.09.2005, 12:17
von Schnipper am 28.12.2005, 12:24
2e
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0AF-C01E
Verzeichnis von C:\DOKUME~1\Isch\LOKALE~1\Temp
27.12.2005 10:48 32.768 ~DFEF66.tmp
27.12.2005 10:46 16.384 ~DF93E0.tmp
27.12.2005 10:46 212.849 hijackthis.zip
25.12.2005 12:15 59.964 ~e5.0001
24.12.2005 23:58 16.384 Perflib_Perfdata_c50.dat
24.12.2005 15:06 98 DFC5A2B2.TMP
24.12.2005 12:52 4.592 SIntfIcn.ani
24.12.2005 12:52 36.864 CmdLineExt02.dll
19.12.2005 14:13 717 control.xml
18.12.2005 11:53 807 MelodyRadio_Net_DfW_Stream.asx
18.12.2005 11:51 358 MelodyRadio_Net_DfW_Stream.pls
17.12.2005 02:07 242 1F1205F7.TMP
15.12.2005 13:44 0 jve32.tmp
13.12.2005 17:17 213.009 aao_infoview.zip
13.12.2005 17:00 919.931 tmp-1.xpi
24.05.2005 15:16 106.568 saveinstwm.exe
12.10.2004 11:14 57.344 InstHelp.dll
17.09.2003 13:16 142.608 atl.exe
11.12.2002 20:11 4.085.904 wmf9.exe
19 Datei(en) 5.907.391 Bytes
0 Verzeichnis(se), 29.296.492.544 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0AF-C01E
Verzeichnis von C:\DOKUME~1\Isch\LOKALE~1\Temp
27.12.2005 10:48 32.768 ~DFEF66.tmp
27.12.2005 10:46 16.384 ~DF93E0.tmp
27.12.2005 10:46 212.849 hijackthis.zip
25.12.2005 12:15 59.964 ~e5.0001
24.12.2005 23:58 16.384 Perflib_Perfdata_c50.dat
24.12.2005 15:06 98 DFC5A2B2.TMP
24.12.2005 12:52 4.592 SIntfIcn.ani
24.12.2005 12:52 36.864 CmdLineExt02.dll
19.12.2005 14:13 717 control.xml
18.12.2005 11:53 807 MelodyRadio_Net_DfW_Stream.asx
18.12.2005 11:51 358 MelodyRadio_Net_DfW_Stream.pls
17.12.2005 02:07 242 1F1205F7.TMP
15.12.2005 13:44 0 jve32.tmp
13.12.2005 17:17 213.009 aao_infoview.zip
13.12.2005 17:00 919.931 tmp-1.xpi
24.05.2005 15:16 106.568 saveinstwm.exe
12.10.2004 11:14 57.344 InstHelp.dll
17.09.2003 13:16 142.608 atl.exe
11.12.2002 20:11 4.085.904 wmf9.exe
19 Datei(en) 5.907.391 Bytes
0 Verzeichnis(se), 29.296.492.544 Bytes frei
- Schnipper
- Beiträge: 40
- Registriert: 09.09.2005, 12:17
von Schnipper am 28.12.2005, 12:24
3e
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0AF-C01E
Verzeichnis von C:\WINDOWS
28.12.2005 11:19 0 0.log
28.12.2005 11:18 701.861 WindowsUpdate.log
28.12.2005 11:18 2.048 bootstat.dat
27.12.2005 22:50 8.660 SchedLgU.Txt
27.12.2005 10:48 5.208 resetlog.txt
26.12.2005 10:50 494.374 setupapi.log
25.12.2005 11:39 538 win.ini
25.12.2005 00:27 1.999 desktop.html
24.12.2005 23:56 336.663 iis6.log
24.12.2005 23:56 122.756 tsoc.log
24.12.2005 23:56 57.495 ntdtcsetup.log
24.12.2005 23:56 95.939 comsetup.log
24.12.2005 23:56 2.599 KB893803v2Uninst.log
24.12.2005 23:56 14.604 ocmsn.log
24.12.2005 23:56 1.393 imsins.log
24.12.2005 23:56 13.600 tabletoc.log
24.12.2005 23:56 13.180 msgsocm.log
24.12.2005 23:56 45.022 netfxocm.log
24.12.2005 23:56 137.735 ocgen.log
24.12.2005 23:56 19.051 medctroc.Log
24.12.2005 23:56 251.330 FaxSetup.log
24.12.2005 23:56 89.730 msmqinst.log
24.12.2005 23:51 995 wiadebug.log
24.12.2005 20:31 50 wiaservc.log
24.12.2005 12:52 64.346 War3Unin.dat
24.12.2005 12:36 2.829 War3Unin.pif
24.12.2005 12:36 139.264 War3Unin.exe
19.12.2005 14:13 45.471 wmsetup.log
17.12.2005 09:11 177.901 setupact.log
16.12.2005 19:10 83 wwp.INI
16.12.2005 14:19 967 search.vbs
16.12.2005 14:19 967 start.vbs
16.12.2005 14:19 231 close.vbs
16.12.2005 14:19 0 muma2004.INI
15.12.2005 14:27 88 musicmaker.INI
14.12.2005 13:59 1.393 imsins.BAK
14.12.2005 13:59 9.877 KB910437.log
14.12.2005 13:59 17.245 updspapi.log
14.12.2005 13:59 15.768 KB905915.log
13.12.2005 17:00 2.987 mozver.dat
11.12.2005 17:13 238 wmsetup10.log
08.12.2005 13:20 1.557 INSTALL.LOG
08.12.2005 13:20 316.640 WMSysPr9.prx
06.12.2005 17:02 268 thug2.ini
05.12.2005 18:42 2.064 vminst.log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0AF-C01E
Verzeichnis von C:\WINDOWS
28.12.2005 11:19 0 0.log
28.12.2005 11:18 701.861 WindowsUpdate.log
28.12.2005 11:18 2.048 bootstat.dat
27.12.2005 22:50 8.660 SchedLgU.Txt
27.12.2005 10:48 5.208 resetlog.txt
26.12.2005 10:50 494.374 setupapi.log
25.12.2005 11:39 538 win.ini
25.12.2005 00:27 1.999 desktop.html
24.12.2005 23:56 336.663 iis6.log
24.12.2005 23:56 122.756 tsoc.log
24.12.2005 23:56 57.495 ntdtcsetup.log
24.12.2005 23:56 95.939 comsetup.log
24.12.2005 23:56 2.599 KB893803v2Uninst.log
24.12.2005 23:56 14.604 ocmsn.log
24.12.2005 23:56 1.393 imsins.log
24.12.2005 23:56 13.600 tabletoc.log
24.12.2005 23:56 13.180 msgsocm.log
24.12.2005 23:56 45.022 netfxocm.log
24.12.2005 23:56 137.735 ocgen.log
24.12.2005 23:56 19.051 medctroc.Log
24.12.2005 23:56 251.330 FaxSetup.log
24.12.2005 23:56 89.730 msmqinst.log
24.12.2005 23:51 995 wiadebug.log
24.12.2005 20:31 50 wiaservc.log
24.12.2005 12:52 64.346 War3Unin.dat
24.12.2005 12:36 2.829 War3Unin.pif
24.12.2005 12:36 139.264 War3Unin.exe
19.12.2005 14:13 45.471 wmsetup.log
17.12.2005 09:11 177.901 setupact.log
16.12.2005 19:10 83 wwp.INI
16.12.2005 14:19 967 search.vbs
16.12.2005 14:19 967 start.vbs
16.12.2005 14:19 231 close.vbs
16.12.2005 14:19 0 muma2004.INI
15.12.2005 14:27 88 musicmaker.INI
14.12.2005 13:59 1.393 imsins.BAK
14.12.2005 13:59 9.877 KB910437.log
14.12.2005 13:59 17.245 updspapi.log
14.12.2005 13:59 15.768 KB905915.log
13.12.2005 17:00 2.987 mozver.dat
11.12.2005 17:13 238 wmsetup10.log
08.12.2005 13:20 1.557 INSTALL.LOG
08.12.2005 13:20 316.640 WMSysPr9.prx
06.12.2005 17:02 268 thug2.ini
05.12.2005 18:42 2.064 vminst.log
- Schnipper
- Beiträge: 40
- Registriert: 09.09.2005, 12:17
von Schnipper am 28.12.2005, 12:25
4e
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0AF-C01E
Verzeichnis von C:\
28.12.2005 11:24 0 sys.txt
28.12.2005 11:24 7.590 system.txt
28.12.2005 11:23 1.230 systemtemp.txt
28.12.2005 11:23 97.248 system32.txt
28.12.2005 11:18 805.306.368 pagefile.sys
04.12.2005 20:03 211 boot.ini
04.12.2005 20:03 211 BOOT.BKK
04.12.2005 19:59 47.564 NTDETECT.COM
04.12.2005 19:59 251.184 ntldr
04.12.2005 19:43 191 CDSetup.log
04.12.2005 18:03 0 CONFIG.SYS
04.12.2005 18:03 0 IO.SYS
04.12.2005 18:03 0 MSDOS.SYS
04.12.2005 18:03 0 AUTOEXEC.BAT
28.11.2005 20:48 29.184 winstall.exe
29.08.2002 13:00 4.952 bootfont.bin
16 Datei(en) 805.745.933 Bytes
0 Verzeichnis(se), 29.296.168.960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0AF-C01E
Verzeichnis von C:\
28.12.2005 11:24 0 sys.txt
28.12.2005 11:24 7.590 system.txt
28.12.2005 11:23 1.230 systemtemp.txt
28.12.2005 11:23 97.248 system32.txt
28.12.2005 11:18 805.306.368 pagefile.sys
04.12.2005 20:03 211 boot.ini
04.12.2005 20:03 211 BOOT.BKK
04.12.2005 19:59 47.564 NTDETECT.COM
04.12.2005 19:59 251.184 ntldr
04.12.2005 19:43 191 CDSetup.log
04.12.2005 18:03 0 CONFIG.SYS
04.12.2005 18:03 0 IO.SYS
04.12.2005 18:03 0 MSDOS.SYS
04.12.2005 18:03 0 AUTOEXEC.BAT
28.11.2005 20:48 29.184 winstall.exe
29.08.2002 13:00 4.952 bootfont.bin
16 Datei(en) 805.745.933 Bytes
0 Verzeichnis(se), 29.296.168.960 Bytes frei
- Schnipper
- Beiträge: 40
- Registriert: 09.09.2005, 12:17
von Nikita am 28.12.2005, 15:50
gehe in die Registry
Start-->Ausfuehren--> regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html" <<--loeschen
KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html
Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
C:\Program Files\SpySheriff\SpySheriff.exe
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\system32\kernel1.exe
C:\winstall.exe
C:\WINDOWS\desktop.html
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
PC neustarten
loeschen
C:\Program Files\SpySheriff
wende CleanUp an
http://virus-protect.net/cleanup.html
C:\DOKUME~1\Isch\LOKALE~1\Temp --> muss leer sein
Counterspy
http://virus-protect.net/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
Start-->Ausfuehren--> regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html" <<--loeschen
KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html
Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
C:\Program Files\SpySheriff\SpySheriff.exe
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\system32\kernel1.exe
C:\winstall.exe
C:\WINDOWS\desktop.html
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
PC neustarten
loeschen
C:\Program Files\SpySheriff
wende CleanUp an
http://virus-protect.net/cleanup.html
C:\DOKUME~1\Isch\LOKALE~1\Temp --> muss leer sein
Counterspy
http://virus-protect.net/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Schnipper am 30.12.2005, 01:29
hier isch des zeug
Spyware Scan Details
Start Date: 29.12.2005 12:54:04
End Date: 29.12.2005 13:07:34
Total Time: 13 mins 30 secs
Detected spyware
SpySheriff Misc more information...
Details: SpySheriff is a fake Spyware removal program. It is usually bundled with other malware.
Status: Deleted
Infected files detected
C:\!KillBox\desktop.html
T:\Program Files\SpySheriff\found.wav
T:\Program Files\SpySheriff\notfound.wav
T:\Program Files\SpySheriff\removed.wav
Spy Sheriff Potentially Unwanted Software more information...
Details: SpySheriff is known to be installed through webpages exploiting known vulnerabilities. It scans system for possible spyware infection and prompts user to register in order to clean the system.
Status: Deleted
Infected files detected
C:\!KillBox\winstall.exe
T:\Program Files\SpySheriff\heur000.dll
T:\Program Files\SpySheriff\heur001.dll
T:\Program Files\SpySheriff\heur002.dll
T:\Program Files\SpySheriff\heur003.dll
T:\Program Files\SpySheriff\IESecurity.dll
T:\Program Files\SpySheriff\ProcMon.dll
T:\Program Files\SpySheriff\SpySheriff.exe
BearShare P2P more information...
Details: BearShare is a file sharing network. The free version installs a number of known spyware and adware programs.
Status: Deleted
Infected files detected
S:\Programme\Bearshare\BSidle.dll
s:\programme\bearshare\runmsc.dll
Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 S:\Programme\Bearshare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_CLASSES_ROOT\gnufile
HKEY_CLASSES_ROOT\gnufile\shell\open\command "S:\Programme\Bearshare\BearShare.exe" "%1"
HKEY_CLASSES_ROOT\gnufile gnutella
HKEY_CLASSES_ROOT\gnufile BrowserFlags 8
HKEY_CLASSES_ROOT\gnufile EditFlags 65536
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 S:\Programme\Bearshare\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR S:\Programme\Bearshare\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current S:\Programme\Bearshare\sounds\notify.wav
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare BearShare
HKEY_LOCAL_MACHINE\software\bearshare
HKEY_LOCAL_MACHINE\software\bearshare InstallDir S:\Programme\Bearshare
HKEY_LOCAL_MACHINE\software\classes\gnufile
HKEY_LOCAL_MACHINE\software\classes\gnufile\shell\open\command "S:\Programme\Bearshare\BearShare.exe" "%1"
HKEY_LOCAL_MACHINE\software\classes\gnufile gnutella
HKEY_LOCAL_MACHINE\software\classes\gnufile BrowserFlags 8
HKEY_LOCAL_MACHINE\software\classes\gnufile EditFlags 65536
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 S:\Programme\Bearshare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR S:\Programme\Bearshare\
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayName BearShare
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare UninstallString S:\PROGRA~1\BEARSH~1\UNWISE.EXE S:\PROGRA~1\BEARSH~1\INSTALL.LOG
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayVersion 5.0.2.10DE
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare HelpLink http://bearshare.de/Help/index.htm
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare Publisher Free Peers, Inc.
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare URLInfoAbout http://www.freepeers.com
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayIcon S:\Programme\Bearshare\BearShare.exe,-128
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_USERS\.default\appevents\schemes\apps\bearshare
HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current S:\Programme\Bearshare\sounds\notify.wav
HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_USERS\.default\appevents\schemes\apps\bearshare BearShare
HKEY_USERS\s-1-5-18\appevents\eventlabels\bearsharechatnotifymsg
HKEY_USERS\s-1-5-18\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_USERS\s-1-5-18\appevents\schemes\apps\bearshare
HKEY_USERS\s-1-5-18\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current S:\Programme\Bearshare\sounds\notify.wav
HKEY_USERS\s-1-5-18\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_USERS\s-1-5-18\appevents\schemes\apps\bearshare BearShare
WhenU.SaveNow Adware more information...
Details: an advertising application that displays pop-up advertising on the desktop in response to users' surfing behavior.
Status: Deleted
Infected files detected
S:\Programme\Bearshare\RunMSC.dll
S:\Programme\Bearshare\Webstats.exe
S:\Programme\Bearshare\Webstats.ini
S:\Programme\Bearshare\Installer\saveinstwm.exe
Infected registry entries detected
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 S:\Programme\Bearshare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
RBot.steam Trojan more information...
Status: Deleted
Infected files detected
S:\Spiele etc\CS 1.55\Valve\platform\steam_dev.exe
Trojan.Desktophijack Trojan more information...
Details: Trojan.Desktophijack modifies the home page and desktop settings on a compromised computer.
Status: Deleted
Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ForceActiveDesktopOn 1
DoubleClick Cookie more information...
Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\isch\cookies\isch@doubleclick[1].txt
Zedo Cookie more information...
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\isch\cookies\isch@zedo[2].txt
Spyware Scan Details
Start Date: 29.12.2005 12:54:04
End Date: 29.12.2005 13:07:34
Total Time: 13 mins 30 secs
Detected spyware
SpySheriff Misc more information...
Details: SpySheriff is a fake Spyware removal program. It is usually bundled with other malware.
Status: Deleted
Infected files detected
C:\!KillBox\desktop.html
T:\Program Files\SpySheriff\found.wav
T:\Program Files\SpySheriff\notfound.wav
T:\Program Files\SpySheriff\removed.wav
Spy Sheriff Potentially Unwanted Software more information...
Details: SpySheriff is known to be installed through webpages exploiting known vulnerabilities. It scans system for possible spyware infection and prompts user to register in order to clean the system.
Status: Deleted
Infected files detected
C:\!KillBox\winstall.exe
T:\Program Files\SpySheriff\heur000.dll
T:\Program Files\SpySheriff\heur001.dll
T:\Program Files\SpySheriff\heur002.dll
T:\Program Files\SpySheriff\heur003.dll
T:\Program Files\SpySheriff\IESecurity.dll
T:\Program Files\SpySheriff\ProcMon.dll
T:\Program Files\SpySheriff\SpySheriff.exe
BearShare P2P more information...
Details: BearShare is a file sharing network. The free version installs a number of known spyware and adware programs.
Status: Deleted
Infected files detected
S:\Programme\Bearshare\BSidle.dll
s:\programme\bearshare\runmsc.dll
Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 S:\Programme\Bearshare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_CLASSES_ROOT\gnufile
HKEY_CLASSES_ROOT\gnufile\shell\open\command "S:\Programme\Bearshare\BearShare.exe" "%1"
HKEY_CLASSES_ROOT\gnufile gnutella
HKEY_CLASSES_ROOT\gnufile BrowserFlags 8
HKEY_CLASSES_ROOT\gnufile EditFlags 65536
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 S:\Programme\Bearshare\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR S:\Programme\Bearshare\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current S:\Programme\Bearshare\sounds\notify.wav
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare BearShare
HKEY_LOCAL_MACHINE\software\bearshare
HKEY_LOCAL_MACHINE\software\bearshare InstallDir S:\Programme\Bearshare
HKEY_LOCAL_MACHINE\software\classes\gnufile
HKEY_LOCAL_MACHINE\software\classes\gnufile\shell\open\command "S:\Programme\Bearshare\BearShare.exe" "%1"
HKEY_LOCAL_MACHINE\software\classes\gnufile gnutella
HKEY_LOCAL_MACHINE\software\classes\gnufile BrowserFlags 8
HKEY_LOCAL_MACHINE\software\classes\gnufile EditFlags 65536
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 S:\Programme\Bearshare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR S:\Programme\Bearshare\
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayName BearShare
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare UninstallString S:\PROGRA~1\BEARSH~1\UNWISE.EXE S:\PROGRA~1\BEARSH~1\INSTALL.LOG
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayVersion 5.0.2.10DE
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare HelpLink http://bearshare.de/Help/index.htm
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare Publisher Free Peers, Inc.
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare URLInfoAbout http://www.freepeers.com
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayIcon S:\Programme\Bearshare\BearShare.exe,-128
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_USERS\.default\appevents\schemes\apps\bearshare
HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current S:\Programme\Bearshare\sounds\notify.wav
HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_USERS\.default\appevents\schemes\apps\bearshare BearShare
HKEY_USERS\s-1-5-18\appevents\eventlabels\bearsharechatnotifymsg
HKEY_USERS\s-1-5-18\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_USERS\s-1-5-18\appevents\schemes\apps\bearshare
HKEY_USERS\s-1-5-18\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current S:\Programme\Bearshare\sounds\notify.wav
HKEY_USERS\s-1-5-18\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_USERS\s-1-5-18\appevents\schemes\apps\bearshare BearShare
WhenU.SaveNow Adware more information...
Details: an advertising application that displays pop-up advertising on the desktop in response to users' surfing behavior.
Status: Deleted
Infected files detected
S:\Programme\Bearshare\RunMSC.dll
S:\Programme\Bearshare\Webstats.exe
S:\Programme\Bearshare\Webstats.ini
S:\Programme\Bearshare\Installer\saveinstwm.exe
Infected registry entries detected
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 S:\Programme\Bearshare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
RBot.steam Trojan more information...
Status: Deleted
Infected files detected
S:\Spiele etc\CS 1.55\Valve\platform\steam_dev.exe
Trojan.Desktophijack Trojan more information...
Details: Trojan.Desktophijack modifies the home page and desktop settings on a compromised computer.
Status: Deleted
Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ForceActiveDesktopOn 1
DoubleClick Cookie more information...
Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\isch\cookies\isch@doubleclick[1].txt
Zedo Cookie more information...
Status: Deleted
Infected cookies detected
c:\dokumente und einstellungen\isch\cookies\isch@zedo[2].txt
- Schnipper
- Beiträge: 40
- Registriert: 09.09.2005, 12:17
15 Beiträge • Seite 1 von 1
Ähnliche Themen
| Scanner-Problem unter XP Forum: Hardware-Hilfe Autor: Nordi Antworten: |
Internet problem Forum: Software-Hilfe Autor: noodlez Antworten: |
Probleme mit WinXP auf einem Laptop Amilo A beim Hochfahren Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
kurioses win98 problem mit sämtlichen laufwerken Forum: Software-Hilfe Autor: Anonymous Antworten: |
Problem mit Battlefield 1942 Mod Forum: Software-Hilfe Autor: noodlez Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste