spywarequake
|
Spywarequake Vundo-Trojaner
datfindbat
Verzeichnis von C:\WINDOWS\system32 17.06.2006 12:54 664.775 jkllm.ini2 17.06.2006 12:52 29.204 nvapps.xml 17.06.2006 12:52 59.917 ld101.tmp 17.06.2006 12:52 8.704 simpole.tlb 17.06.2006 12:52 4.980 stdole3.tlb 17.06.2006 12:52 47.616 hp102.tmp 17.06.2006 12:26 664.807 jkllm.tmp 17.06.2006 12:26 664.743 jkllm.ini 17.06.2006 11:55 665.378 jkllm.bak2 17.06.2006 11:45 47.616 hp101.tmp 17.06.2006 10:54 47.616 hp100.tmp 17.06.2006 10:54 59.917 ld100.tmp 16.06.2006 20:46 73.728 dcomcfg.exe 16.06.2006 17:59 176.128 yvvdj.dll 16.06.2006 17:59 4.286 ts.ico 16.06.2006 17:59 10.860 atmclk.exe 16.06.2006 17:59 4.286 ot.ico 16.06.2006 15:13 57.384 avsda.dll 16.06.2006 14:42 663.973 jkllm.bak1 16.06.2006 14:41 569.396 mllkj.dll 15.06.2006 22:12 2 wnstssv.exe 15.06.2006 13:19 176.128 rmzdzx.dll 15.06.2006 13:17 71.181 regperf.exe 15.06.2006 13:17 39.437 cbxxwxx.dll 13.06.2006 17:48 81.920 wowexec-xyz.dll 13.06.2006 17:44 156.672 oins.exe 06.06.2006 16:51 139.264 eufececo.dll Verzeichnis von C:\WINDOWS 13.06.2006 17:44 39.424 YAXUninst.exe 13.06.2006 15:41 5 WinSysXcntr1.prx
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
Verzeichnis von C:\WINDOWS\Downloaded Program Files 10.11.2005 14:41 2.088 YazzleActiveX.inf 06.06.2006 11:52 249.856 YazzleActiveX.ocx
Vundofix
C:\WINDOWS\system32\cbxxwxx.dll C:\WINDOWS\system32\jkllm.bak1 C:\WINDOWS\system32\jkllm.bak2 C:\WINDOWS\system32\jkllm.tmp C:\WINDOWS\system32\jkllm.ini C:\WINDOWS\system32\jkllm.ini2 C:\WINDOWS\system32\mllkj.dll C:\WINDOWS\system32\jkllm.ini2 C:\WINDOWS\system32\jkllm.bak2 C:\WINDOWS\system32\jkllm.tmp C:\WINDOWS\system32\jkllm.ini C:\WINDOWS\system32\jkllm.ini2 C:\WINDOWS\system32\mllkj.dll
Avenger (Beispiel)
SmitfraudFix.zip
smitfrautfix-Anleitung
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\hp???.tmp Deleted C:\WINDOWS\system32\ld????.tmp Deleted C:\WINDOWS\system32\1024\ Deleted C:\DOKUME~1\thaag\Desktop\Remove Spyware.url Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\DOKUME~1\thaag\FAVORI~1\Antivirus Test Online.url Deleted C:\WINDOWS\system32\rmzdzx.dll -> Missing File C:\WINDOWS\system32\yvvdj.dll -> Missing File
öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R3 - URLSearchHook: (no name) - {EC232D69-9FA9-B05B-F7B9-942C8B690DEE} - C:\WINDOWS\system32\eufececo.dll R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - h://yax-download.yazzle.net/YazzleActiveX.cabrefid=1162 O20 - AppInit_DLLs: C:\WINDOWS\system32\wowexec.dll
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) anderer PC Zitat: Nachdem ich mir blöderweise nen keyg*hier nicht* von einer verseuchten seite gezogen habe erscheinen immer wieder irgendwelche popups auf dem desktop ohne das ich im inet bin
datfindbat
Verzeichnis von J:\WINDOWS\system32 21.06.2006 13:03 1.600 hgjlm.ini 21.06.2006 12:57 39.936 hp100.tmp 21.06.2006 12:57 4.980 stdole3.tlb 21.06.2006 12:57 67.080 ld101.tmp 21.06.2006 12:57 63.488 dcomcfg.exe 21.06.2006 11:39 11.860 atmclk.exe 21.06.2006 11:37 7.168 simpole.tlb 21.06.2006 11:37 67.080 ld100.tmp 21.06.2006 11:19 41.108 vsconfig.xml 20.06.2006 14:29 4.286 ot.ico 20.06.2006 14:29 4.286 ts.ico 20.06.2006 14:14 143 mcrh.tmp 20.06.2006 11:31 569.396 mljgh.dll 19.06.2006 16:21 39.437 vturpmj.dll 19.06.2006 16:18 78.856 regperf.exe 1. wende vundofix an. 2. spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 3. Avenger (Beispiel)
4. arbeite smitfrautfix nach Anleitung ab 5. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - J:\WINDOWS\system32\hp100.tmp O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - J:\WINDOWS\system32\vturpmj.dll O20 - Winlogon Notify: vturpmj - J:\WINDOWS\SYSTEM32\vturpmj.dll O20 - Winlogon Notify: winbug32 - winbug32.dll (file missing) 6. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktvieren) 7. scanne mit AVG Anti-Spyware 8. Panda-Online anwenden Adware:adware/emediacodec Not disinfected d:\dokumente und einstellungen\all users\desktop\Security Troubleshooting.url Adware:Adware/SecurityError Not disinfected C:\!KillBox\atmclk.exe Adware:Adware/SystemDoctor Not disinfected C:\WINDOWS\Temp\win5AE.tmp.exe Adware:Adware/Adsmart Not disinfected D:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\940c7cba.exe Adware:Adware/SystemDoctor Not disinfected D:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\c41284f.exe Potentially unwanted tool:Application/SpyFalcon Not disinfected D:\sfsetup.exe[SpyFalcon.exe]
Counterspy/Vipre
HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547} HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547}\1.0\0\win32 C:\WINDOWS\winres.dll HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547}\1.0\HELPDIR C:\WINDOWS\ HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547}\1.0 WindowsResources 1.1 Type Library HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit
'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese
Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
Verzeichnis von F:\WINDOWS\Downloaded Program Files 10.11.2005 14:41 2.088 YazzleActiveX.inf 06.06.2006 11:52 249.856 YazzleActiveX.ocx Verzeichnis von C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp 05.07.2006 07:17 71.680 !update.exe 05.07.2006 10:25 -DIR- Aabr 06.07.2006 21:34 -DIR- hsperfdata_username 27.06.2006 18:01 1.822.520 instmsi.exe 04.07.2006 23:48 -DIR- isp9.tmp 05.07.2006 13:10 29.831 ms1002.tmp 05.07.2006 13:10 29.831 ms1005.tmp 05.07.2006 07:17 184 mst2.bat 05.07.2006 07:16 18.432 mst2.tmp 01.06.2006 18:55 155.648 OA.exe 20.06.2006 21:36 -DIR- pft3.tmp 20.06.2006 21:36 5.248 plf1.tmp 05.07.2006 18:18 1.142.784 swp16.tmp 05.07.2006 05:09 1.142.784 swp2.tmp 05.07.2006 05:09 1.142.784 swp3.tmp 05.07.2006 05:09 1.142.784 swp4.tmp 05.07.2006 05:10 1.142.784 swp5.tmp 05.07.2006 05:10 1.142.784 swp6.tmp 27.06.2006 18:01 91.305 tmp.xpi 05.07.2006 07:16 14.848 win4.tmp.exe 05.07.2006 07:16 0 win5.tmp 05.07.2006 07:16 0 win9.tmp 05.07.2006 07:16 0 winB.tmp 05.07.2006 07:17 183.880 winC.tmp.exe 04.07.2006 23:54 232 _isdelet.ini 04.07.2006 23:48 -DIR- {359122A3-A712-420F-B19C-7E20F9B5301D} anderer PC
HijackThis
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com O4 - HKCU\..\Run: [Qvohgeux] C:\WINDOWS\?ystem\??plorer.exe O4 - HKCU\..\Run: [Bier] "C:\WINDOWS\ICROSO~1\scanregw.exe" -vt yazr O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162 O20 - AppInit_DLLs: wbsys.dll
Datfindbat
Verzeichnis von C:\WINDOWS\system32 06.07.2006 17:46 629.618 abeeg.ini2 06.07.2006 17:41 52 stdole3.tlb 06.07.2006 17:35 629.211 abeeg.bak2 24.06.2006 10:31 588.159 abeeg.bak1 20.06.2006 11:42 661.952 abeeg.tmp 19.06.2006 13:44 661.992 abeeg.ini 18.06.2006 22:37 143 mcrh.tmp 17.06.2006 19:14 569.396 geeba.dll 16.06.2006 13:32 39.437 ssqqpqo.dll 16.06.2006 10:35 2 wnsapisv.exe 11.06.2006 03:05 81.920 chkdsk.dll 08.06.2006 22:27 6.656 simpole.tlb 08.06.2006 22:27 176.128 asxbbx.dll 08.06.2006 22:27 30.208 hp100.tmp 08.06.2006 22:27 11.564 atmclk.exe 08.06.2006 22:27 4.286 ot.ico 08.06.2006 22:27 51.200 dcomcfg.exe 08.06.2006 15:05 156.672 oins.exe 08.06.2006 15:03 34.829 ld100.tmp 08.06.2006 15:03 43.533 regperf.exe 08.06.2006 15:03 15.317 winepi32.dll Verzeichnis von C:\WINDOWS 08.06.2006 15:05 39.424 YAXUninst.exe 08.06.2006 15:03 74.240 winres.dll
Start > Ausführen --> reinschreiben --> cmd.exe
und ok. kopiere rein:
um den Purityscan zu löschen, musst du sehr aufmerksam sein und darfst nicht das falsche, also keine reguläre Windows-Datei löschen !!!!
du musst immer nach Datum suchen !
Verzeichnis von c:\WINDOWS\...icrosoft -->>> c:\WINDOWS\?icrosoft 08.06.2006 15:04 71.680 scanregw.exe 1 Datei(en) 71.680 Bytes Originaldtei: 
Verzeichnis von c:\WINDOWS\Prefetch 08.07.2006 12:34 27.690 ...PLORER.EXE-05756086.pf Verzeichnis von c:\WINDOWS\...ystem 06.06.2006 16:54 495.616 ...plorer.exe 1 Datei(en) 495.616 Bytes Originaldtei: 
Verzeichnis von c:\WINDOWS --> ?ystem ?ystem32 16.06.2006 10:35 -DIR- ...ystem 11.06.2006 03:05 -DIR- ..ystem32 c:\Dokumente und Einstellungen\Username\Recent 06.07.2006 17:52 729 system.lnk 06.07.2006 17:51 741 system32.lnk 06.07.2006 17:52 751 systemtemp.lnk
HijackThis
O20 - AppInit_DLLs: wbsys.dll
Datfindbat
Verzeichnis von c:\WINDOWS\system32 26.02.2003 23:27 36.864 wbsys.dll 1 Datei(en) 36.864 Bytes Verzeichnis von C:\WINDOWS\Downloaded Program Files 10.11.2005 14:41 2.088 YazzleActiveX.inf 06.06.2006 11:52 249.856 YazzleActiveX.ocx Verzeichnis von C:\Programme 11.07.2006 14:27 -DIR- Cowabanga 11.07.2006 14:28 -DIR- F?nts 12.07.2006 08:55 -DIR- SpyQuake2.com 11.07.2006 14:28 -DIR- ?icrosoft Verzeichnis von C:\Programme\Gemeinsame Dateien 11.07.2006 14:27 -DIR- {E034D2F9-07DA-1031-0120-061123050031} Verzeichnis von C:\WINDOWS\Temp 12.07.2006 14:27 -DIR- tmp000000b6 Counter-Box.de |
