Home » Spyware & Browser Hijacker Support Forum » ebenfalls Spywarequake » Themenansicht

ebenfalls Spywarequake
06.06.2006, 23:42
Anima
...neu hier

Beiträge: 5
#1 Hi, habe mir vor kurzem auch Spywarequake eingefangen und bin bei googlen auf die Seite hier gestoßen. Hab auch über die Anleitung schon Cleanup ausgeführt und mit Hijackthis die Spywarequake.exe gelöscht. Allerdings bekomm ich immer noch im Minutentakt die Warnungen ich hätte mir was eingefangen und soll Antivirensoftware installieren. Außerdem ist mein Internet (Netzwerk) zwischendurch immer wieder verdächtig langsam.

Leider konnte ich der Anleitung nicht selbstständig folgen, hab Angst was falsches zu löschen.

PS: Nur für den Fall es hat was damit zu tun, ich bekomm auch immer öfter Spammails.

Mfg

________________________________________________________

EDIT


Hi

Hab heut nochmal n bißchen Eigeninitiative gezeigt und nochmal n Hijackthislog gemacht, dann über die Seite auswerten lassen und eine Einträge gelöscht.

Das Spywarequake-Problem, sprich die Fehlermeldungen, hab ich aber immer noch und ab jetzt komm ich eigenständig nich mehr wirklich weiter.

Ich poste mal den aktuellen Log

Logfile of HijackThis v1.99.1
Scan saved at 11:48:49, on 07.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\lmqtgii.exe
C:\Programme\obwr\ihus.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8B00BDD2-2741-28E2-4341-5250D72437B1} - C:\WINDOWS\System32\libmanq.dll
O2 - BHO: (no name) - {BB2D8DA0-0A05-1FDA-6E74-6A7DE4601AF0} - C:\WINDOWS\System32\libmanq.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [nucgyjgb] C:\WINDOWS\System32\zidwqe.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Uryfdcj] C:\WINDOWS\System32\lmqtgii.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Nrhc] "C:\Programme\obwr\ihus.exe" -vt mt
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reboot.exe
O4 - Startup: Registration Brothers In Arms.LNK = D:\Support\Register\RegistrationReminder.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: raid_tool.exe.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .swf: C:\Programme\Internet Explorer\PLUGINS\NPSWF32.dll
O12 - Plugin for ¸æ¶: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for ôå: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/094daca48daa7a2e8c05/netzip/RdxIE601_de.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - http://webcam.tcc-chemnitz.de/activex/AxisCamControl.ocx
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} - http://meinefotos05.aol.de/ygp/aol/plugin/upf/YGPUPF.de-DE.9.2.4.0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{909A7F55-1040-460E-A323-3DADD34E3549}: NameServer = 195.145.3.3
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dieser Beitrag wurde am 07.06.2006 um 11:53 Uhr von Anima editiert.
Seitenanfang Seitenende
07.06.2006, 12:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Anima

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\ihus*.*" > c:\find.txt & start notepad c:\find.txt

Zitat

dir /s /a "c:\obwr*.*" > c:\find.txt & start notepad c:\find.txt
4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\obwr" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 13:04
Anima
...neu hier

Themenstarter

Beiträge: 5
#3 C:\WINDOWS\System32\

07.06.2006 12:43 4.988 stdole3.tlb
07.06.2006 12:43 10.516 atmclk.exe
07.06.2006 12:18 6.656 simpole.tlb
07.06.2006 12:18 29.184 hp100.tmp
07.06.2006 12:18 48.640 dcomcfg.exe
07.06.2006 11:46 4.452 nvapps.xml
07.06.2006 11:46 43.533 ld100.tmp
07.06.2006 11:46 41.172 vsconfig.xml
06.06.2006 22:35 5.836 dxole32.exe
06.06.2006 22:35 4.286 ot.ico
06.06.2006 22:35 4.286 ts.ico
03.06.2006 15:38 176.128 imfdfcj.dll
03.06.2006 15:31 52.749 regperf.exe
02.06.2006 20:24 13.646 wpa.dbl
29.05.2006 11:47 4.212 zllictbl.dat
04.05.2006 21:29 16.832 amcompat.tlb
04.05.2006 21:29 23.392 nscompat.tlb
26.03.2006 14:17 311.604 perfh009.dat
26.03.2006 14:17 39.992 perfc009.dat
26.03.2006 14:17 48.156 perfc007.dat
26.03.2006 14:17 316.594 perfh007.dat
26.03.2006 14:17 723.744 PerfStringBackup.INI
25.03.2006 16:19 43.520 CmdLineExt03.dll
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
09.03.2006 22:18 195.368 FNTCACHE.DAT
____________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC66-7F5D

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

07.06.2006 12:30 16.384 Perflib_Perfdata_6c4.dat
07.06.2006 11:58 16.384 ~DF79FB.tmp
07.06.2006 11:58 512 ~DF67B9.tmp
07.06.2006 11:58 16.384 ~DF67A4.tmp
07.06.2006 11:47 16.384 ~DFB8D6.tmp
07.06.2006 11:46 16.384 Perflib_Perfdata_bc4.dat
___________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC66-7F5D

Verzeichnis von C:\WINDOWS

07.06.2006 11:46 0 0.log
07.06.2006 11:46 2.048 bootstat.dat
07.06.2006 11:45 32.604 SchedLgU.Txt
07.06.2006 11:01 192 Winamp.ini
07.06.2006 10:12 54.156 QTFont.qfn
05.06.2006 13:25 2.192.698 ntbtlog.txt
04.06.2006 23:38 169 RtlRack.ini
04.06.2006 23:16 602 EventSystem.log
04.06.2006 12:04 159 wiadebug.log
04.06.2006 12:04 50 wiaservc.log
03.06.2006 23:35 29.086.002 setupapi.log
03.06.2006 22:03 115.634 DtcInstall.log
03.06.2006 16:04 116 NeroDigital.ini
03.06.2006 15:18 731 win.ini
31.05.2006 13:55 10.627 wmsetup.log
26.05.2006 20:41 10 msoffice.ini
26.05.2006 19:50 37.283.488 aolback.exe
18.05.2006 14:24 4.096 d3dx.dat
16.05.2006 23:49 1.409 QTFont.for
10.04.2006 15:30 182.292 setupact.log
04.04.2006 11:46 2.554 OEWABLog.txt
04.04.2006 11:40 1.163 wmsetup10.log
01.04.2006 16:22 10.938 EAConfigInfo.txt
28.03.2006 14:59 479.046 DirectX.log
21.03.2006 16:52 83.534 Windows Update.log
_________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC66-7F5D

Verzeichnis von C:\

07.06.2006 13:04 0 sys.txt
07.06.2006 13:04 21.291 system.txt
07.06.2006 13:03 566 systemtemp.txt
07.06.2006 13:02 104.841 system32.txt
07.06.2006 11:46 805.306.368 pagefile.sys
26.05.2006 19:50 349 IPH.PH
16.05.2006 13:21 394.626 temp.raw
21.11.2005 15:51 711 debugInstaller.txt
18.11.2005 12:21 856 flashplayer.xpt
20.12.2004 13:50 709.030 crash.txt
08.11.2004 23:52 287 boot.ini
22.09.2004 21:00 2.488 INSTALL.LOG
19.09.2004 22:58 359 log.txt
06.05.2004 14:08 0 IO.SYS
06.05.2004 14:08 0 CONFIG.SYS
06.05.2004 14:08 0 MSDOS.SYS
02.04.2003 14:00 47.580 NTDETECT.COM
02.04.2003 14:00 4.952 bootfont.bin
02.04.2003 14:00 235.296 ntldr
24.05.2001 12:59 162.304 UNWISE.EXE

_______________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC66-7F5D

Verzeichnis von c:\Programme\obwr

12.01.2006 15:36 68.608 ihus.exe
1 Datei(en) 68.608 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 68.608 Bytes
0 Verzeichnis(se), 9.829.212.160 Bytes frei

_____________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC66-7F5D

Verzeichnis von c:\Programme\obwr

12.01.2006 15:36 68.608 ihus.exe
1 Datei(en) 68.608 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 68.608 Bytes
0 Verzeichnis(se), 9.829.212.160 Bytes frei
__________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC66-7F5D

Verzeichnis von C:\Programme\obwr

05.06.2006 13:14 <DIR> .
05.06.2006 13:14 <DIR> ..
12.01.2006 15:36 <DIR> sne
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 9.829.093.376 Bytes frei
Dieser Beitrag wurde am 07.06.2006 um 13:17 Uhr von Anima editiert.
Seitenanfang Seitenende
07.06.2006, 13:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 poste noch die anderen Logs ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 13:17
Anima
...neu hier

Themenstarter

Beiträge: 5
#5 Jetzt müsste alles da sein ;)
Seitenanfang Seitenende
07.06.2006, 13:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Anima

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

C:\WINDOWS\System32\libmanq.dll
C:\WINDOWS\System32\stdole3.tlb
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\simpole.tlb
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\dxole32.exe
C:\WINDOWS\System32\ot.ico
C:\WINDOWS\System32\ts.ico
C:\WINDOWS\System32\imfdfcj.dll
C:\WINDOWS\System32\lmqtgii.exe
C:\WINDOWS\System32\regperf.exe
C:\WINDOWS\System32\zidwqe.exe
C:\Dokumente und Einstellungen\Besitzer\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\Programme\obwr\ihus.exe
C:\Programme\obwr\sne
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
poste den report vom Avenger, der erscheint

**
4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {8B00BDD2-2741-28E2-4341-5250D72437B1} - C:\WINDOWS\System32\libmanq.dll
O2 - BHO: (no name) - {BB2D8DA0-0A05-1FDA-6E74-6A7DE4601AF0} - C:\WINDOWS\System32\libmanq.dll
O4 - HKLM\..\Run: [nucgyjgb] C:\WINDOWS\System32\zidwqe.exe
O4 - HKCU\..\Run: [Uryfdcj] C:\WINDOWS\System32\lmqtgii.exe
O4 - HKCU\..\Run: [Nrhc] "C:\Programme\obwr\ihus.exe" -vt mt
5.
Smitfraud.fix
download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip
1. doppelklick smitfraudfix.cmd
2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
4. doppelklick smitfraudfix.cmd
5. schreibe: 2
6. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile hier

**
6.
loesche:
C:\Programme\obwr
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 14:02
Anima
...neu hier

Themenstarter

Beiträge: 5
#7 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lkvtakvp

*******************

Script file located at: \??\C:\Program Files\ffuh^sqi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\libmanq.dll deleted successfully.
File C:\WINDOWS\System32\stdole3.tlb deleted successfully.
File C:\WINDOWS\System32\atmclk.exe deleted successfully.
File C:\WINDOWS\System32\simpole.tlb deleted successfully.
File C:\WINDOWS\System32\dcomcfg.exe deleted successfully.
File C:\WINDOWS\System32\dxole32.exe deleted successfully.
File C:\WINDOWS\System32\ot.ico deleted successfully.
File C:\WINDOWS\System32\ts.ico deleted successfully.
File C:\WINDOWS\System32\imfdfcj.dll deleted successfully.
File C:\WINDOWS\System32\lmqtgii.exe deleted successfully.
File C:\WINDOWS\System32\regperf.exe deleted successfully.


File C:\WINDOWS\System32\zidwqe.exe not found!
Deletion of file C:\WINDOWS\System32\zidwqe.exe failed!

Could not process line:
C:\WINDOWS\System32\zidwqe.exe
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Besitzer\Favoriten\Antivirus Test Online.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url deleted successfully.
File C:\Programme\obwr\ihus.exe deleted successfully.


Error: C:\Programme\obwr\sne is a folder, not a file!
Deletion of file C:\Programme\obwr\sne failed!

Could not process line:
C:\Programme\obwr\sne
Status: 0xc00000ba


Completed script processing.

*******************

Finished! Terminate.

__________________________________________

SmitFraudFix v2.55

Scan done at 14:01:06,42, 07.06.2006
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
07.06.2006, 22:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Anima

scanne mit panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1