ixt0.dll
ismon.exe


ixt0.dll - Safety Bar, PornMagPass.exe, AntivirusGolden

Trojan-Downloader.Win32.Zlob.rv
video codec irgendwelche spyware geholt - www.bestsafetyguide.net
pest trap - malware wipe - spyfalcon - AntivirusGolden

weiter Hinweis: diese reg-Datei ist gültig für SpywareQuake und SpyFalcon

weiter spyfalcon.zip -> spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

spyfalcon.reg

spyfalcon.reg

weiter Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
notepad files.txt


Verzeichnis von C:\WINDOWS\system32\components

18.06.2006 12:03 12'172 flx1.dll
17.06.2006 08:36 0 flx0.dll
17.06.2006 08:40 0 flx2.dll
17.06.2006 08:43 0 flx3.dll

weiter C:\WINDOWS\system32\components -> löschen

weiter smitfrautfix anwenden: (Option 1 und 2 und auch die Registry mitreinigen lassen)

weiter vundofix anwenden

Beispiel:

weiter HijackThis

C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\System32\ismon.exe

O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\System32\ixt0.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll

weiter Datfindbat

Verzeichnis von C:\WINDOWS\system32

18.06.2006 15:03 43.573 nvapps.xml
18.06.2006 15:03 11.264 ixt0.dll
18.06.2006 15:03 5.120 ismon.exe
18.06.2006 11:03 19.968 issearch.exe
17.06.2006 06:06 7.744 isnotify.exe
17.06.2006 06:04 28.180 ishost.exe

Verzeichnis von C:\WINDOWS\system32

03.07.2006 16:11 5.000 stdole3.tlb
03.07.2006 16:04 44.032 hp100.tmp
03.07.2006 16:04 54.285 ld101.tmp
03.07.2006 16:04 8.192 simpole.tlb
03.07.2006 10:58 10.832 atmclk.exe
03.07.2006 10:58 4.286 ot.ico
03.07.2006 10:58 176.128 tnvocyn.dll
03.07.2006 10:58 4.286 ts.ico
03.07.2006 10:58 69.120 dcomcfg.exe
23.06.2006 22:08 5.120 ismon.exe
23.06.2006 22:08 28.680 ishost.exe
17.06.2006 17:40 65.037 regperf.exe

Verzeichnis von C:\WINDOWS\system32

16.07.2006 20:44 673.314 nqtss.ini
16.07.2006 20:41 7.168 ismon.exe
16.07.2006 11:56 669.538 nqtss.bak1
16.07.2006 11:56 573.492 sstqn.dll
16.07.2006 11:42 4.286 ts.ico
16.07.2006 11:42 4.286 ot.ico
16.07.2006 11:42 24.064 ixt0.dll
16.07.2006 11:42 8.424 isnotify.exe
16.07.2006 11:40 51.728 ishost.exe
16.07.2006 11:39 38.925 nnnoolj.dll
16.07.2006 11:39 18.432 winjyp32.dll

Verzeichnis von C:\WINDOWS\system32\components


Verzeichnis von C:\WINDOWS\system32

18.06.2006 17:46 11'264 ixt0.dll
18.06.2006 17:46 5'120 ismon.exe
18.06.2006 15:38 19'968 issearch.exe
18.06.2006 11:15 2'550 Uninstall.ico
18.06.2006 11:15 1'406 Help.ico
18.06.2006 11:15 30'590 pavas.ico
18.06.2006 10:56 28'168 ishost.exe
17.06.2006 17:45 7'744 isnotify.exe
16.06.2006 22:10 4'286 ts.ico
16.06.2006 22:10 4'286 ot.ico

Verzeichnis von C:\WINDOWS\system32

13.07.2006 21:14 4.286 ot.ico
13.07.2006 21:14 4.286 ts.ico
13.07.2006 21:12 16.384 ixt1.dll
13.07.2006 21:12 7.680 ismon.exe
13.07.2006 14:18 16.384 ixt0.dll
13.07.2006 14:18 8.612 isnotify.exe
13.07.2006 14:18 26.112 issearch.exe
13.07.2006 14:16 156.672 oins.exe
13.07.2006 14:16 37.904 ishost.exe
13.07.2006 14:16 18.432 winwim32.dll

Verzeichnis von C:\WINDOWS

13.07.2006 14:16 39.424 YAXUninst.exe


weiter HijackThis

C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\ishost.exe
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt1.dll
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll

weiter smitfrautfix anwenden:

deinstalliere -> Safety Bar + PornMagPass + SpyQuake2.com + Cowabanga

loesche: ...falls vorhanden !

C:\WINDOWS\system32\components
C:\Programme\Safety Bar
C:\Programme\PornMagPass
C:\Programme\SpyQuake2.com
C:\Programme\Cowabanga

C:\Programme\Safety Bar

weiter HijackThis

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll

weiter Toolbar installed with Smitfraud-type rogue anti-spyware infections. Used to promote the download and purchase of other rogue products.

weiter Download Registry Search by Bobbi Flekman Regsearch
und doppelklicken, um zu starten.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Safety Bar

in edit und klicke "Ok".
Notepad wird sich öffnen

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}]
@="Safety Bar"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\InprocServer32]
@="C:\\Programme\\Safety Bar\\Safety Bar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar]
"DisplayName"="Safety Bar"
"UninstallString"="\"C:\\Programme\\Safety Bar\\Uninstall.bat\" \"C:\\Programme\\Safety Bar\

weiter Kaspersky-Online

C:\avenger\backup.zip/avenger/ishost.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped
C:\avenger\backup.zip/avenger/ismon.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped

C:\WINDOWS\ab1.exe/WISE0005.BIN Infected: Trojan-Downloader.Win32.Agent.ct skipped
C:\WINDOWS\syswast.exe/WISE0007.BIN Infected: Trojan-Downloader.Win32.VB.ah skipped
C:\WINDOWS\system32\components\flx6.dll Infected: not-virus:Hoax.Win32.Renos.dp skipped
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\temp.fr81A2

C:\Programme\PornMagPass\isinst.exe
C:\Programme\PornMagPass\PornMagPass.exe
C:\Programme\PornMagPass\PornMag Pass.url
C:\Programme\PornMagPass\uninst.exe
Start Menu Programs\PornMag Pass\PornMag Pass Login.lnk
Start Menu Programs\PornMag Pass\PornMag Pass.lnk
Desktop\PornMag Pass.lnk
C:\WINDOWS\ishost.exe
C:\WINDOWS\ismon.exe

HKEY_CURRENT_USER\Software\PornMag Pass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\isinst.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PornMag Pass

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

bbs.gofuckyourself.net greenguyandjim.com bigboynetwork.com bbs.mediumpimpin.com tgpalliance.com crutop.nu master-x.com bbs.adultwebmasterinfo.com gaywebmasterchat.com webmastersarea.com netpond.com pornresource.com cozyfrog.com foogie.com adultchamber.com ynotmasters.com ynotbob.com pornstarkings.com extremebullshit.com peppersboard.com gaymarketforum.com askdamagex.com forum.krawl.com krawl.biz videoscash.com tgpalliance.com jmbsoft.com germesia.com gallerytrafficservice.com gaytraffic.nl gfy.com gofuckyourself.com videosboard.com thinkreel.com boards.xbiz.com

Virus: Trojan-Downloader.Win32.Zlob.tv
Datei: ISHOST.EXE
Verzeichnis: C:\WINDOWS\SYSTEM32
Prozess: svchost.exe

Virus: not-virus:Hoax.Win32.Renos.dp
Datei: flx4.dll
Verzeichnis: C:\WINDOWS\System32\components
Prozess: ishost.exe

Virus: Trojan-Downloader.Win32.Zlob.tv
Datei: ISMON.EXE
Verzeichnis: C:\WINDOWS\SYSTEM32
Prozess: svchost.exe

Virus: Trojan.WinREG.StartPage.aka
Datei: ixt0.dll
Verzeichnis: C:\WINDOWS\System32
Prozess: iexplore.exe

anderer PC

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Win32" = "msnsrv.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"wininet.dll" = "regperf.exe" [null data]
"dcomcfg.exe" = "dcomcfg.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\atmclk.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Win32" = "msnsrv.exe" [null data]

C:\WINDOWS\system32\msnsrv.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\tnvocyn.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\regperf.exe

weiter smitfraudfix

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ld???.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\mscornet.exe FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyQuake2.com\ FOUND !

anderer PC

weiter Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Cowabanga" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt


Verzeichnis von C:\WINDOWS\system32\components
13.07.2006 14:22 3.828 flx1.dll
13.07.2006 14:22 10.504 flx2.dll
13.07.2006 14:18 65.179 flx4.dll

Verzeichnis von C:\WINDOWS\Downloaded Program Files
10.11.2005 14:41 2.088 YazzleActiveX.inf
06.06.2006 11:52 249.856 YazzleActiveX.ocx

Verzeichnis von C:\Programme\Cowabanga
02.05.2006 17:56 16.929 License.txt

Verzeichnis von C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp
14.07.2006 13:06 84.567 board.pote.htm
14.07.2006 13:06 -DIR- plugtmp
13.07.2006 22:04 0 tuj16.tmp
13.07.2006 21:19 -DIR- VBE

Verzeichnis von C:\WINDOWS\Temp

13.07.2006 21:31 8.083 win6.tmp.exe
14.07.2006 12:23 0 win7.tmp
13.07.2006 21:33 8.083 win7.tmp.exe

Verzeichnis von C:\Programme
13.07.2006 15:02 -DIR- Cowabanga

weiter Datfindbat

C:\WINDOWS\System32\

13.07.2006 21:14 4.286 ot.ico
13.07.2006 21:14 4.286 ts.ico
13.07.2006 21:14 12.598 wpa.dbl
13.07.2006 21:12 16.384 ixt1.dll
13.07.2006 21:12 7.680 ismon.exe
13.07.2006 14:18 16.384 ixt0.dll
13.07.2006 14:18 8.612 isnotify.exe
13.07.2006 14:18 26.112 issearch.exe
13.07.2006 14:16 156.672 oins.exe
13.07.2006 14:16 37.904 ishost.exe
13.07.2006 14:16 18.432 winwim32.dll

C:\WINDOWS\

13.07.2006 14:16 39.424 YAXUninst.exe

weiter Avenger (Beispiel)

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{052b12f7-86fa-4921-8482-26c42316b522}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|wininet.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|dcomcfg.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|kernel32.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{873eb32d-ae1a-4183-89bd-45a77f761be4}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fcf04b6-6354-47ef-b45e-a48268e92757}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7fcf04b6-6354-47ef-b45e-a48268e92757}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PornMag Pass
HKEY_CURRENT_USER\Software\PornMag Pass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\isinst.exe

Files to delete:
C:\WINDOWS\system32\pmnqguh.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\winwim32.dll
C:\WINDOWS\YAXUninst.exe
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\Temp\win1.tmp
C:\WINDOWS\Temp\win1B.tmp.exe

Folders to delete:
C:\WINDOWS\system32\components
C:\Programme\Cowabanga
C:\Programme\Safety Bar
C:\Programme\PornMagPass
C:\Programme\SpyQuake2.com
C:\WINDOWS\system32\1024


weiter smitfraudfix

C:\DOKUME~1\User\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !

weiter öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt1.dll
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll







virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam