UnSpyPC
|
UnSpyPC , filesafer23.exe , favset.exeProgramme:
Datfindbat
Silentrunner
Winpfind
F-Secure - BlackLight
Fixwareout
Multiavtool
Killbox
SmitRem
HostsXpert.zip
Beispiel
f-secure black light
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe) Dann lass Blacklight den Rechner neu starten.
datfindbat
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen
setzen -- Button "Fix checked-->PC neustarten
R3 - URLSearchHook: (no name) - {1535835B-C1E6-7DF5-25A5-F370BBB4B520} - backorif.dll (file missing) O4 - HKLM\..\Run: [control64] BoundRec.exe O4 - HKLM\..\Run: [mozilla-text] forces_elite.exe O4 - HKCU\..\Run: [slamm] KeywordFinder.exe O4 - HKCU\..\Run: [iesetupdll] SetupExeDll.exe O4 - HKCU\..\Run: [MON76234] sound64.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 85.255.116.43,85.255.112.200
PC neustarten--> F8 druecken, wenn der PC hochfaehrt--> gehe in den abgesicherten Modus
lösche (im abgesicherten Modus)
C:\WINDOWS\system32\filesafer23.exe C:\WINDOWS\system32\favset.exe C:\WINDOWS\system32\pppcgm.exe C:\WINDOWS\system32\sphlp32.exe C:\WINDOWS\system32\howiper.exe C:\WINDOWS\system32\csmnn.exe C:\WINDOWS\cfgall.ini C:\WINDOWS\rdt.ini
neue Internetverbindung erstellen - >manuell mit den Zugangsdaten
des Providers herstellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen.
Silentrunner
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csody.exe" [file not found]
lade Fixwareout
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt Reg Entries that were deleted
lade: Multiavtool
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ klicke "6" --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS
lade: smitRem
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok 
Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)
* öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten
(F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
C:\Programme\UnSpyPC --> deinstallieren und alles löschen
scanne mit AVG Antispyware
Online-Virenscanner (Kaspersky, Panda, Bitdefender)
CleanUp anwenden, um die temporären Dateien zu entfernen
anderer PC damit wird deine jetzige Internetverbindung geloescht, denn sie ist nicht korrekt. Stelle dich nach dem neustart darauf ein, dass du eine neue Verbindung erstellen musst.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R3 - URLSearchHook: (no name) - {2595B59C-5D12-D531-0599-AFC934DB47D6} - lpt.dll (file missing) O2 - BHO: (no name) - {10BE2828-36D4-49E6-B022-FEE3517F0C41} - C:\WINDOWS\system32\kdpe.dll (file missing) O2 - BHO: (no name) - {1884fe38-ce34-42d6-a272-ba950f73dfbb} - C:\WINDOWS\system32\anoroiya.cku O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [startman] xsetup.exe O4 - HKLM\..\Run: [JAguAr] install2.exe O4 - HKLM\..\Run: [dmznf.exe] C:\WINDOWS\system32\dmznf.exe O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O4 - HKCU\..\Run: [NukeSpan] iesetupdll.exe O4 - HKCU\..\Run: [ftbar] cmon14.exe O4 - HKCU\..\Run: [EXE32EXE] typeconf.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7A2B8B59-50B5-42F2-AC50-A0F2AD5CE6BF}: NameServer = 85.255.114.22,85.255.112.102
Killbox
C:\WINDOWS\system32\Uninstall.ico C:\WINDOWS\system32\Help.ico C:\WINDOWS\system32\pavas.ico C:\WINDOWS\system32\close.bmp C:\WINDOWS\system32\insurance.bmp C:\WINDOWS\system32\spyware.bmp C:\WINDOWS\system32\xxx.bmp C:\WINDOWS\system32\pharmacy.bmp C:\WINDOWS\system32\dating.bmp C:\WINDOWS\system32\gambling.bmp C:\WINDOWS\system32\idesk.conf C:\WINDOWS\system32\idemlog.exe C:\WINDOWS\system32\pppcgm.exe C:\WINDOWS\system32\aobtc.dll C:\WINDOWS\system32\csjvp.exe C:\WINDOWS\system32\pfdnnt.exe C:\WINDOWS\system32\dmznf.exe C:\WINDOWS\system32\anoroiya.cku C:\WINDOWS\If42le.ini C:\WINDOWS\tm.ini C:\WINDOWS\rdt.ini C:\WINDOWS\tdf.dii
datfindbat
Verzeichnis von C:\WINDOWS\system32 13.01.2006 13:58 0 asfiles.txt 13.01.2006 13:55 2.550 Uninstall.ico 13.01.2006 13:55 1.406 Help.ico 13.01.2006 13:55 30.590 pavas.ico 13.01.2006 13:49 4.984 close.bmp 13.01.2006 13:49 19.712 insurance.bmp 13.01.2006 13:49 11.772 spyware.bmp 13.01.2006 13:49 21.224 xxx.bmp 13.01.2006 13:49 21.872 pharmacy.bmp 13.01.2006 13:49 21.872 dating.bmp 13.01.2006 13:49 23.480 gambling.bmp 13.01.2006 13:49 387 idesk.conf 15.12.2005 16:07 109.568 idemlog.exe 15.12.2005 16:07 45.568 pppcgm.exe 15.12.2005 16:07 155.648 aobtc.dll 04.11.2005 14:39 6.144 pfdnnt.exe Verzeichnis von C:\WINDOWS 13.01.2006 12:22 3.056 If42le.ini 12.01.2006 11:47 3.290 tm.ini 16.12.2005 08:00 4.700 rdt.ini
Winpfind
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = csjvp.exe anderer PC
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"
R3 - URLSearchHook: (no name) - {5AEF15E2-725B-BA36-5B6F-2C8DEFB9A18F} - srbho.dll O4 - HKLM\..\Run: [avpmondll] ParisM.exe O4 - HKLM\..\Run: [xxtoolbar] slamm.exe O4 - HKCU\..\Run: [UnSpyPC] C:\Programme\UnSpyPC\UnSpyPC.exe O4 - HKCU\..\Run: [nmdllw] NukeSpan.exe O4 - HKCU\..\Run: [Shaitan1678] WinInitDll.exe O4 - HKCU\..\Run: [Testimonials] panel_its.exe[/color] O17 - HKLM\System\CCS\Services\Tcpip\..\{35B294B9-5867-43F7-B65A-F623780ECD03}: NameServer = 85.255.115.85,85.255.112.74 O17 - HKLM\System\CCS\Services\Tcpip\..\{3C5F2063-D7D5-4757-B32C-B5156B8BC178}: NameServer = 85.255.115.85,85.255.112.74 O17 - HKLM\System\CCS\Services\Tcpip\..\{754E6B69-520B-4ABA-9798-0CCC35EA25FA}: NameServer = 85.255.115.85,85.255.112.74 O17 - HKLM\System\CCS\Services\Tcpip\..\{E242E8EA-2DF0-4012-B8B6-A28E08D6FC12}: NameServer = 85.255.115.85,85.255.112.74
Winpfind
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Testimonials panel_its.exe Testimonials panel_its.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer NoCDBurning 0 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoBandCustomize 0
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit
'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Killbox
C:\WINDOWS\system32\csmyk.exe C:\WINDOWS\tm.ini C:\WINDOWS\rdt.ini C:\WINDOWS\tdf.dii C:\WINDOWS\system32\filesafer23.exe C:\WINDOWS\system32\pppcgm.exe
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei
"fixme.reg" auf dem Desktop doppelklicken
deinstalliere/lösche
C:\Programme\UnSpyPC |
