|
|
| ixt0.dll ismon.exe ishost.exe isnotify.exe
|
|
ixt0.dll, ismon.exe, ishost.exe, isnotify.exe, Safety Bar, PornMagPass.exe, AntivirusGolden
Trojan-Downloader.Win32.Zlob.rv
video codec irgendwelche spyware geholt - www.bestsafetyguide.net
pest trap - malware wipe - spyfalcon - AntivirusGolden
1.
Hinweis: diese reg-Datei ist gültig für SpywareQuake und SpyFalcon
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\WINDOWS\system32\components" >>files.txt
notepad files.txt
|
Verzeichnis von C:\WINDOWS\system32\components
18.06.2006 12:03 12'172 flx1.dll
17.06.2006 08:36 0 flx0.dll
17.06.2006 08:40 0 flx2.dll
17.06.2006 08:43 0 flx3.dll
3.
C:\WINDOWS\system32\components -> loeschen
4.
smitfraud.fix anwenden: (Option 1 und 2 und auch die Registry mitreinigen lassen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
wende CleanUp an
http://virus-protect.org/cleanup.html
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html
Beispiel:
HijackThis
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\System32\ismon.exe
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\System32\ixt0.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
Datfindbat
Verzeichnis von C:\WINDOWS\system32
18.06.2006 15:03 43.573 nvapps.xml
18.06.2006 15:03 11.264 ixt0.dll
18.06.2006 15:03 5.120 ismon.exe
18.06.2006 11:03 19.968 issearch.exe
17.06.2006 06:06 7.744 isnotify.exe
17.06.2006 06:04 28.180 ishost.exe
Verzeichnis von C:\WINDOWS\system32
03.07.2006 16:11 5.000 stdole3.tlb
03.07.2006 16:04 44.032 hp100.tmp
03.07.2006 16:04 54.285 ld101.tmp
03.07.2006 16:04 8.192 simpole.tlb
03.07.2006 10:58 10.832 atmclk.exe
03.07.2006 10:58 4.286 ot.ico
03.07.2006 10:58 176.128 tnvocyn.dll
03.07.2006 10:58 4.286 ts.ico
03.07.2006 10:58 69.120 dcomcfg.exe
23.06.2006 22:08 5.120 ismon.exe
23.06.2006 22:08 28.680 ishost.exe
17.06.2006 17:40 65.037 regperf.exe
Verzeichnis von C:\WINDOWS\system32
16.07.2006 20:44 673.314 nqtss.ini
16.07.2006 20:41 7.168 ismon.exe
16.07.2006 11:56 669.538 nqtss.bak1
16.07.2006 11:56 573.492 sstqn.dll
16.07.2006 11:42 4.286 ts.ico
16.07.2006 11:42 4.286 ot.ico
16.07.2006 11:42 24.064 ixt0.dll
16.07.2006 11:42 8.424 isnotify.exe
16.07.2006 11:40 51.728 ishost.exe
16.07.2006 11:39 38.925 nnnoolj.dll
16.07.2006 11:39 18.432 winjyp32.dll
Verzeichnis von C:\WINDOWS\system32\components
|
Verzeichnis von C:\WINDOWS\system32
18.06.2006 17:46 11'264 ixt0.dll
18.06.2006 17:46 5'120 ismon.exe
18.06.2006 15:38 19'968 issearch.exe
18.06.2006 11:15 2'550 Uninstall.ico
18.06.2006 11:15 1'406 Help.ico
18.06.2006 11:15 30'590 pavas.ico
18.06.2006 10:56 28'168 ishost.exe
17.06.2006 17:45 7'744 isnotify.exe
16.06.2006 22:10 4'286 ts.ico
16.06.2006 22:10 4'286 ot.ico
Verzeichnis von C:\WINDOWS\system32
13.07.2006 21:14 4.286 ot.ico
13.07.2006 21:14 4.286 ts.ico
13.07.2006 21:12 16.384 ixt1.dll
13.07.2006 21:12 7.680 ismon.exe
13.07.2006 14:18 16.384 ixt0.dll
13.07.2006 14:18 8.612 isnotify.exe
13.07.2006 14:18 26.112 issearch.exe
13.07.2006 14:16 156.672 oins.exe
13.07.2006 14:16 37.904 ishost.exe
13.07.2006 14:16 18.432 winwim32.dll
Verzeichnis von C:\WINDOWS
13.07.2006 14:16 39.424 YAXUninst.exe
|
HijackThis
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\ishost.exe
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt1.dll
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
smitfraud.fix anwenden:
http://virus-protect.org/artikel/tools/smitfrautfix.html
deinstalliere -> Safety Bar + PornMagPass + SpyQuake2.com + Cowabanga
loesche: ...falls vorhanden !
C:\WINDOWS\system32\components
C:\Programme\Safety Bar
C:\Programme\PornMagPass
C:\Programme\SpyQuake2.com
C:\Programme\Cowabanga
C:\Programme\Safety Bar
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
Toolbar installed with Smitfraud-type rogue anti-spyware infections. Used to promote the download and purchase of other rogue products.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)
Safety Bar
in edit und klicke "Ok".
Notepad wird sich oeffnen
---------------------------------------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}]
@="Safety Bar"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\InprocServer32]
@="C:\\Programme\\Safety Bar\\Safety Bar.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar]
"DisplayName"="Safety Bar"
"UninstallString"="\"C:\\Programme\\Safety Bar\\Uninstall.bat\" \"C:\\Programme\\Safety Bar\
Kaspersky-Online
C:\avenger\backup.zip/avenger/ishost.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped
C:\avenger\backup.zip/avenger/ismon.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped
C:\WINDOWS\ab1.exe/WISE0005.BIN Infected: Trojan-Downloader.Win32.Agent.ct skipped
C:\WINDOWS\syswast.exe/WISE0007.BIN Infected: Trojan-Downloader.Win32.VB.ah skipped
C:\WINDOWS\system32\components\flx6.dll Infected: not-virus:Hoax.Win32.Renos.dp skipped
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\temp.fr81A2
C:\Programme\PornMagPass\isinst.exe
C:\Programme\PornMagPass\PornMagPass.exe
C:\Programme\PornMagPass\PornMag Pass.url
C:\Programme\PornMagPass\uninst.exe
Start Menu Programs\PornMag Pass\PornMag Pass Login.lnk
Start Menu Programs\PornMag Pass\PornMag Pass.lnk
Desktop\PornMag Pass.lnk
C:\WINDOWS\ishost.exe
C:\WINDOWS\ismon.exe
HKEY_CURRENT_USER\Software\PornMag Pass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\isinst.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PornMag Pass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
bbs.gofuckyourself.net
greenguyandjim.com
bigboynetwork.com
bbs.mediumpimpin.com
tgpalliance.com
crutop.nu
master-x.com
bbs.adultwebmasterinfo.com
gaywebmasterchat.com
webmastersarea.com
netpond.com
pornresource.com
cozyfrog.com
foogie.com
adultchamber.com
ynotmasters.com
ynotbob.com
pornstarkings.com
extremebullshit.com
peppersboard.com
gaymarketforum.com
askdamagex.com
forum.krawl.com
krawl.biz
videoscash.com
tgpalliance.com
jmbsoft.com
germesia.com
gallerytrafficservice.com
gaytraffic.nl
gfy.com
gofuckyourself.com
videosboard.com
thinkreel.com
boards.xbiz.com
Virus: Trojan-Downloader.Win32.Zlob.tv
Datei: ISHOST.EXE
Verzeichnis: C:\WINDOWS\SYSTEM32
Prozess: svchost.exe
Virus: not-virus:Hoax.Win32.Renos.dp
Datei: flx4.dll
Verzeichnis: C:\WINDOWS\System32\components
Prozess: ishost.exe
Virus: Trojan-Downloader.Win32.Zlob.tv
Datei: ISMON.EXE
Verzeichnis: C:\WINDOWS\SYSTEM32
Prozess: svchost.exe
Virus: Trojan.WinREG.StartPage.aka
Datei: ixt0.dll
Verzeichnis: C:\WINDOWS\System32
Prozess: iexplore.exe
anderer PC
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Win32" = "msnsrv.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"wininet.dll" = "regperf.exe" [null data]
"dcomcfg.exe" = "dcomcfg.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\atmclk.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Win32" = "msnsrv.exe" [null data]
C:\WINDOWS\system32\msnsrv.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\tnvocyn.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\regperf.exe
smitfraudfix
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\ld???.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\mscornet.exe FOUND !
C:\WINDOWS\system32\1024\ FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
C:\Programme\SpyQuake2.com\ FOUND ! -> Link: http://virus-protect.org/artikel/spyware/spyquake2.html
anderer PC
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Cowabanga" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
|
Verzeichnis von C:\WINDOWS\system32\components
13.07.2006 14:22 3.828 flx1.dll
13.07.2006 14:22 10.504 flx2.dll
13.07.2006 14:18 65.179 flx4.dll
Verzeichnis von C:\WINDOWS\Downloaded Program Files
10.11.2005 14:41 2.088 YazzleActiveX.inf
06.06.2006 11:52 249.856 YazzleActiveX.ocx
Verzeichnis von C:\Programme\Cowabanga
02.05.2006 17:56 16.929 License.txt
Verzeichnis von C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp
14.07.2006 13:06 84.567 board.pote.htm
14.07.2006 13:06 -DIR- plugtmp
13.07.2006 22:04 0 tuj16.tmp
13.07.2006 21:19 -DIR- VBE
Verzeichnis von C:\WINDOWS\Temp
13.07.2006 21:31 8.083 win6.tmp.exe
14.07.2006 12:23 0 win7.tmp
13.07.2006 21:33 8.083 win7.tmp.exe
Verzeichnis von C:\Programme
13.07.2006 15:02 -DIR- Cowabanga
----------------------------------------------------------
Datfindbat
C:\WINDOWS\System32\
13.07.2006 21:14 4.286 ot.ico
13.07.2006 21:14 4.286 ts.ico
13.07.2006 21:14 12.598 wpa.dbl
13.07.2006 21:12 16.384 ixt1.dll
13.07.2006 21:12 7.680 ismon.exe
13.07.2006 14:18 16.384 ixt0.dll
13.07.2006 14:18 8.612 isnotify.exe
13.07.2006 14:18 26.112 issearch.exe
13.07.2006 14:16 156.672 oins.exe
13.07.2006 14:16 37.904 ishost.exe
13.07.2006 14:16 18.432 winwim32.dll
C:\WINDOWS\
13.07.2006 14:16 39.424 YAXUninst.exe
Avenger:
http://virus-protect.org/artikel/tools/avenger.html
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{052b12f7-86fa-4921-8482-26c42316b522}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|wininet.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|dcomcfg.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|kernel32.dll
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{873eb32d-ae1a-4183-89bd-45a77f761be4}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fcf04b6-6354-47ef-b45e-a48268e92757}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7fcf04b6-6354-47ef-b45e-a48268e92757}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PornMag Pass
HKEY_CURRENT_USER\Software\PornMag Pass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\isinst.exe
Files to delete:
C:\WINDOWS\system32\pmnqguh.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\winwim32.dll
C:\WINDOWS\YAXUninst.exe
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\Temp\win1.tmp
C:\WINDOWS\Temp\win1B.tmp.exe
Folders to delete:
C:\WINDOWS\system32\components
C:\Programme\Cowabanga
C:\Programme\Safety Bar
C:\Programme\PornMagPass
C:\Programme\SpyQuake2.com
C:\WINDOWS\system32\1024
|
smitfaud.fix abarbeiten
http://virus-protect.org/artikel/tools/smitfrautfix.html
(lasse auch die Registry mitreinigen)
C:\DOKUME~1\User\FAVORI~1\Antivirus Test Online.url FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt1.dll
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
|
|
|
