spy falcon? bitte bitte helfen...

hatte probleme mit spyfalcon (so schimpft sich das glaub ich). habe mit hijekthis und adaware einiges beseitig. aber es erscheint immer wieder unten recht "your computer is infected"-warnungen.
bin am verzweifeln, da ich momentan sehr viel mit dem rechner machen muss.
bitte um hilfe und DANKE im voraus!
habe bei vorgängern gesehen was ihr für die analyse so verlangt.
hier:
http://www.hijackthis.de/logfiles/8c2050ec076beb5647c56be4b471fb2d.html


Verzeichnis von C:\WINDOWS\system32

16.05.2006 21:45 380.350 perfh009.dat
16.05.2006 21:45 52.764 perfc009.dat
16.05.2006 21:45 391.000 perfh007.dat
16.05.2006 21:45 63.580 perfc007.dat
16.05.2006 21:45 897.778 PerfStringBackup.INI
16.05.2006 21:20 5.012 stdole3.tlb
16.05.2006 21:07 26.637 ld1ECD.tmp
16.05.2006 21:06 198.552 FNTCACHE.DAT
16.05.2006 20:48 5.632 simpole.tlb
16.05.2006 20:48 176.128 appmagr.dll
16.05.2006 20:48 4.286 ot.ico
16.05.2006 20:48 4.286 ts.ico
16.05.2006 20:48 156.672 oins.exe
16.05.2006 20:46 4.096 f696c453.exe
16.05.2006 20:46 12.162 winmbj32.dll
16.05.2006 16:52 16.832 amcompat.tlb
16.05.2006 16:52 23.392 nscompat.tlb
08.05.2006 21:43 139.264 kagbsf.dll
07.05.2006 12:26 2.206 wpa.dbl
28.03.2006 22:20 23.552 amese.dll
28.03.2006 22:12 131.072 SpoonUninstall.exe
07.12.2005 19:05 716.800 divxdec.ax


Verzeichnis von C:\DOKUME~1\Nana\LOKALE~1\Temp

IN DEINEM EIGENEN INTERESSE, HABE ICH DIESEN TEIL MAL GELÖSCHT.

Gruss, Matthias


Verzeichnis von C:\WINDOWS

16.05.2006 22:13 0 0.log
16.05.2006 22:13 159 wiadebug.log
16.05.2006 22:13 50 wiaservc.log
16.05.2006 22:13 2.048 bootstat.dat
16.05.2006 22:11 191.488 ntbtlog.txt
16.05.2006 22:06 32.630 SchedLgU.Txt
16.05.2006 21:43 19.306.547 setupapi.log
16.05.2006 20:48 39.424 YAXUninst.exe
16.05.2006 17:16 67 #1 Video Converter.INI
16.05.2006 16:41 115.666 wmsetup.log
16.05.2006 11:47 341 LEXSTAT.INI
02.05.2006 19:36 906 eReg.dat
27.04.2006 19:30 214.823 setupact.log
05.04.2006 19:14 436.686 Firefox Wallpaper.bmp
03.04.2006 20:23 10.752 Thumbs.db
22.03.2006 10:35 2.359.350 ACD Hintergrund.bmp
13.03.2006 15:48 3.443 cdplayer.ini
10.03.2006 13:20 83.263 DirectX.log
21.02.2006 11:38 65.536 MEMORY.DMP
10.02.2006 13:11 392.479 WindowsUpdate.log
01.02.2006 16:49 4.790 mozver.dat
28.01.2006 13:37 36 TSNPL.dat

 

Tja, beim Filesharing kann man sich offenbar einiges einfangen.

Warum ist das SP2 nicht installiert?

 

Hallo,
überträgt sich meistens nicht über Filesharing, normalerweise ist die Infektionsquelle ein Videocodec mit dem man sich Hoppelfilme anschauen kann.
Oder auch über Crackseiten, die Browserlücken ausnutzen.

Du hast nicht nur Spyfalcon, sondern auch noch anderen Kram (wahrscheinlich Purityscan).
Überprüfe mal folgende Dateien hier und poste das jeweilige Ergebnis:

C:\Windows\System32\f696c453.exe
C:\Windows\System32\kagbsf.dll


Grüße Jasager

 

http://www.virustotal.com/vt/en/resultadof?3936c614cdb6778daac06936b244b88b

http://www.virustotal.com/vt/en/resultadof?d58e9a4d76bcb2bdfa9ec768f5c1c79a


danke, jasager. hab gehofft, dass du dich einschaltest. hab hier beim durchlesen schon festgestellt, wie hilfsbereit du bist.

 

Hallo,
hast du im Hijackthis Logfile schon sachen verändert? Wenn ja welche (kannst du ev. noch in den Backups einsehen)?

Besorge dir killbox und lösche folgende Dateien on reboot:

16.05.2006 21:20 5.012 stdole3.tlb
16.05.2006 21:07 26.637 ld1ECD.tmp
16.05.2006 20:48 5.632 simpole.tlb
16.05.2006 20:48 176.128 appmagr.dll
16.05.2006 20:48 4.286 ot.ico
16.05.2006 20:48 4.286 ts.ico
16.05.2006 20:48 156.672 oins.exe
16.05.2006 20:46 4.096 f696c453.exe
16.05.2006 20:46 12.162 winmbj32.dll
08.05.2006 21:43 139.264 kagbsf.dll

C:\Windows\YAXUninst.exe

Berichte malwie es danach aussieht.


P.S Entferne Teile deines Temp File Logs, da sind Webseiten dabei die im Forum verboten sind.

 

bei hijack da kann ich leider nichts mehr sagen, was ich geändert habe. und die back ups reichen nicht mehr bis zur 1.auswertung.

http://www.hijackthis.de/logfiles/99f7f108...8f656093ba.html


Verzeichnis von C:\WINDOWS\system32

16.05.2006 21:45 380.350 perfh009.dat
16.05.2006 21:45 52.764 perfc009.dat
16.05.2006 21:45 391.000 perfh007.dat
16.05.2006 21:45 63.580 perfc007.dat
16.05.2006 21:45 897.778 PerfStringBackup.INI
16.05.2006 21:06 198.552 FNTCACHE.DAT
16.05.2006 20:48 156.672 oins.exe
16.05.2006 16:52 16.832 amcompat.tlb
16.05.2006 16:52 23.392 nscompat.tlb
07.05.2006 12:26 2.206 wpa.dbl
27.04.2006 17:49 288.417 SrchSTS.exe

Verzeichnis von C:\DOKUME~1\Nana\LOKALE~1\Temp

17.05.2006 02:23 240 datFind.zip
17.05.2006 01:26 408 jusched.log
2 Datei(en) 648 Bytes
0 Verzeichnis(se), 9.027.502.080 Bytes frei


p.s.: kann mein beitrag nicht editieren. ist der 2. rechner vom kumpel, hab ich keine 5std. ausgeliehen, um bewerbungen zu schreiben, schon hab ich schrott gekriegt. das gibt ärger. dabei wollte ich nach keygen. suchen (war eigentlich selbst seine idee) da er lose textbearbeitungsprogramm-cds dabei hatte ohne keys.

 

Hallo,
Link zum HijackThis Log funktioniert nicht.
Die datei noch löschen:

16.05.2006 20:48 156.672 oins.exe

Sag mal, du wirst auch Schaden aber auch nicht klug, wenn du weiterhin Software aus unseriösen Quellen ausführst, stelle ich meine Hilfe sofort ein, denn dann ist es vergebene Liebesmüh'. du wirst dich sowieso wieder infizieren.


Grüße Jasager

 

http://www.hijackthis.de/logfiles/99f7f108d69dfb7467597b8f656093ba.html

brauchst du denn noch was? nochmals vielen dank bis hierhin!

also ich meinte damit, dass der rechner hier von anfang an der 2. rechner von dem kumpel ist (wär das mein rechner, hätte ich ihn schon längst aus panik neu aufgesetzt). seit ca. 6monaten - seitdem ich auszog - habe ich keinen eigenen mehr. ich muss immer zu mitbewohner wegen mails und so. deswegen auch die bewerbungen, damit das geld für nen ordentlichen pc auch mal wieder drinn ist. ich werde (war danach auch nicht mehr, wie dus gedacht hast) ganz bestimmt nicht mehr auf unseriösen crack-seiten rumtreiben.

lieben gruß
gg

 

Hallo,
sieht alles sauber aus, gibt es noch irgendwelche Auffälligkeiten?

Okay dann habe ich dich falsch verstanden, sorry. Aber stauche mal deinen Kumpel zurecht, so kann das nämlich nicht weiter gehen, und ich bereinige den Rechner mit Sicherheit kein zweites Mal.

Hier noch Lektüre für den Kumpel.
Und was er zukünftig zu lassen hat, sollte jetzt ja klar sein, keine cracks, keine Software aus P2P, keine Videocodecs von unseriösen Seiten, keine Mailanhänge öffnen...

Edit
Fast vergessen, falls es einen Ordner C:\Windows\System32\1024 gibt, diesen auch löschen.


Grüße Jasager

 

ne, scheint alles ok zu sein - hab ihn jetzt auch nicht so lange, so dass ich jetzt nicht so die genaue veränderung feststellen kann (wegen des neuen windows-sicherheitcenter ist er beim aufbauen glaub ich bissel langsamer).
nur beim start erscheint ein "windows installer"-fenster mit der meldung "installation wird vorbereitet"...dann folgt "adobe acrobat 7.0". ich drück immer dann gleich auf abbrechen, weil ich damit nichts anfangen kann.

aber ich danke dir noch mal! und danke für die tipps....so wird das bei meinem neuen rechner ganz bestimmt ablaufen.