UnSpyPC , filesafer23.exe , favset.exe , pppcgm.exe , sphlp32.exe , howiper.exe , csmnn.exe , cfgall.ini

startseite Gastbuch Kontakt
UnSpyPC
UnSpyPC






Datfindbat
http://virus-protect.org/datfindbat.html

Silentrunner
http://virus-protect.org/silentrunner.html

winpfind
http://virus-protect.org/winpfind.html

F-Secure - BlackLight
F-Secure - BlackLight

FixWareout
http://virus-protect.org/artikel/tools/fixwareout.html

multiavtool
http://virus-protect.org/multiavtool.html

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

SmitRem
SmitRem

Hosts - HostsXpert.zip
HostsXpert.zip


Beispiel:

1.
f-secure black light

12/17/05 03:12:18 [Info]: Hidden process: C:\WINDOWS\system32\idemlog.exe
12/17/05 03:12:55 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/17/05 03:12:57 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
12/17/05 03:12:57 [Info]: Hidden file: C:\WINDOWS\system32\csylx.exe
12/17/05 03:12:58 [Info]: Hidden file: C:\WINDOWS\system32\dmnxx.exe
12/17/05 03:12:58 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
12/17/05 03:12:59 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/17/05 03:13:02 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe


2.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
Dann lass Blacklight den Rechner neu starten.


3.
datfindbat

Verzeichnis von C:\WINDOWS\system32

02.01.2006 12:25 654.111 filesafer23.exe
02.01.2006 12:25 5.632 favset.exe
02.01.2006 12:25 45.568 pppcgm.exe
02.01.2006 12:25 4.608 sphlp32.exe
02.01.2006 12:25 2.048 howiper.exe
02.01.2006 12:25 51.200 csmnn.exe

Verzeichnis von C:\WINDOWS

02.01.2006 13:25 7.245 cfgall.ini
02.01.2006 12:42 4.639 rdt.ini


4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked-->PC neustarten

R3 - URLSearchHook: (no name) - {1535835B-C1E6-7DF5-25A5-F370BBB4B520} - backorif.dll (file missing)
O4 - HKLM\..\Run: [control64] BoundRec.exe
O4 - HKLM\..\Run: [mozilla-text] forces_elite.exe
O4 - HKCU\..\Run: [slamm] KeywordFinder.exe
O4 - HKCU\..\Run: [iesetupdll] SetupExeDll.exe
O4 - HKCU\..\Run: [MON76234] sound64.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 85.255.116.43,85.255.112.200

PC neustarten--> F8 druecken, wenn der PC hochfaehrt--> gehe in den abgesicherten Modus

5.
loesche (im abgesicherten Modus)

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\sphlp32.exe
C:\WINDOWS\system32\howiper.exe
C:\WINDOWS\system32\csmnn.exe
C:\WINDOWS\cfgall.ini
C:\WINDOWS\rdt.ini

6.
neue Internetverbindung erstellen - >manuell mit den Zugangsdaten des Providers herstellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen.

7.
Silentrunner

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csody.exe" [file not found]

8.
Download FixWareout:
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt


Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh


9.
multiavtool
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\
klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS


10.
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok



Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)


- * öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.


11.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2FDB21EE-AE4F-D8B4-B896-B87B675B623B}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

12.
C:\Programme\UnSpyPC --> deinstallieren und alles loeschen

13.
* scanne mit Ewido

* Online-Virenscanner (Kaspersky, Panda, Bitdefender)

14.
CleanUp anwenden


anderer PC

damit wird deine jetzige Internetverbindung geloescht, denn sie ist nicht korrekt. Stelle dich nach dem neustart darauf ein, dass du eine neue Verbindung erstellen musst.

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - {2595B59C-5D12-D531-0599-AFC934DB47D6} - lpt.dll (file missing)
O2 - BHO: (no name) - {10BE2828-36D4-49E6-B022-FEE3517F0C41} - C:\WINDOWS\system32\kdpe.dll (file missing)
O2 - BHO: (no name) - {1884fe38-ce34-42d6-a272-ba950f73dfbb} - C:\WINDOWS\system32\anoroiya.cku
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [startman] xsetup.exe
O4 - HKLM\..\Run: [JAguAr] install2.exe
O4 - HKLM\..\Run: [dmznf.exe] C:\WINDOWS\system32\dmznf.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [NukeSpan] iesetupdll.exe
O4 - HKCU\..\Run: [ftbar] cmon14.exe
O4 - HKCU\..\Run: [EXE32EXE] typeconf.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A2B8B59-50B5-42F2-AC50-A0F2AD5CE6BF}: NameServer = 85.255.114.22,85.255.112.102

Killbox

C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\pavas.ico
C:\WINDOWS\system32\close.bmp
C:\WINDOWS\system32\insurance.bmp
C:\WINDOWS\system32\spyware.bmp
C:\WINDOWS\system32\xxx.bmp
C:\WINDOWS\system32\pharmacy.bmp
C:\WINDOWS\system32\dating.bmp
C:\WINDOWS\system32\gambling.bmp
C:\WINDOWS\system32\idesk.conf
C:\WINDOWS\system32\idemlog.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\aobtc.dll
C:\WINDOWS\system32\csjvp.exe
C:\WINDOWS\system32\pfdnnt.exe
C:\WINDOWS\system32\dmznf.exe
C:\WINDOWS\system32\anoroiya.cku

C:\WINDOWS\If42le.ini
C:\WINDOWS\tm.ini
C:\WINDOWS\rdt.ini
C:\WINDOWS\tdf.dii


datfindbat

Verzeichnis von C:\WINDOWS\system32

13.01.2006 13:58 0 asfiles.txt
13.01.2006 13:55 2.550 Uninstall.ico
13.01.2006 13:55 1.406 Help.ico
13.01.2006 13:55 30.590 pavas.ico
13.01.2006 13:49 4.984 close.bmp
13.01.2006 13:49 19.712 insurance.bmp
13.01.2006 13:49 11.772 spyware.bmp
13.01.2006 13:49 21.224 xxx.bmp
13.01.2006 13:49 21.872 pharmacy.bmp
13.01.2006 13:49 21.872 dating.bmp
13.01.2006 13:49 23.480 gambling.bmp
13.01.2006 13:49 387 idesk.conf
15.12.2005 16:07 109.568 idemlog.exe
15.12.2005 16:07 45.568 pppcgm.exe
15.12.2005 16:07 155.648 aobtc.dll
04.11.2005 14:39 6.144 pfdnnt.exe

Verzeichnis von C:\WINDOWS

13.01.2006 12:22 3.056 If42le.ini
12.01.2006 11:47 3.290 tm.ini
16.12.2005 08:00 4.700 rdt.ini


winpfind

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System = csjvp.exe


anderer PC

R3 - URLSearchHook: (no name) - {5AEF15E2-725B-BA36-5B6F-2C8DEFB9A18F} - srbho.dll (file missing)
O4 - HKLM\..\Run: [avpmondll] ParisM.exe
O4 - HKLM\..\Run: [xxtoolbar] slamm.exe
O4 - HKCU\..\Run: [UnSpyPC] C:\Programme\UnSpyPC\UnSpyPC.exe
O4 - HKCU\..\Run: [nmdllw] NukeSpan.exe
O4 - HKCU\..\Run: [Shaitan1678] WinInitDll.exe
O4 - HKCU\..\Run: [Testimonials] panel_its.exe[/color]
O17 - HKLM\System\CCS\Services\Tcpip\..\{35B294B9-5867-43F7-B65A-F623780ECD03}: NameServer = 85.255.115.85,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C5F2063-D7D5-4757-B32C-B5156B8BC178}: NameServer = 85.255.115.85,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{754E6B69-520B-4ABA-9798-0CCC35EA25FA}: NameServer = 85.255.115.85,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{E242E8EA-2DF0-4012-B8B6-A28E08D6FC12}: NameServer = 85.255.115.85,85.255.112.74


Winpfind:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Testimonials panel_its.exe
Testimonials panel_its.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
NoCDBurning 0

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoBandCustomize 0


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Testimonials panel_its.exe"=-
"Testimonials panel_its.exe"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]


killbox

C:\WINDOWS\system32\csmyk.exe
C:\WINDOWS\tm.ini
C:\WINDOWS\rdt.ini
C:\WINDOWS\tdf.dii
C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\pppcgm.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

deinstalliere/lösche:
C:\Programme\UnSpyPC


virus-protect.org Valid HTML 4.0 Ranking-Hits