Ich kann Spywarequake nicht entfernen

#0
31.03.2006, 00:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 defendermax

alles sauber ;)
Halte dich von unsicheren Codecs fern................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2006, 06:58
...neu hier

Beiträge: 5
#17 VIELEN DANK!VIELEN DANK!VIELEN DANK!
Seitenanfang Seitenende
31.03.2006, 16:17
...neu hier

Beiträge: 2
#18 Guten Tag Sabina,
mich nerft nun auch dieses Spywarequake ....
ich habe die vorangegangenen Beiträge gelesen und schon mal die Log`s angefertigt.
Da ich nicht weiß ob Vorgehensweise immer die selbe ist poste ich sie mal.

Verzeichnis von C:\WINDOWS\system32

31.03.2006 12:43 0 nmp.log
31.03.2006 12:40 4.960 ncompat.tlb

31.03.2006 12:39 41.263 app_filter_ui.log
31.03.2006 12:39 0 _nvidia_xxx_.log
31.03.2006 12:39 43.573 nvapps.xml
31.03.2006 12:39 29.709 ld54F6.tmp
31.03.2006 11:38 176.128 stickrep.dll
31.03.2006 11:38 4.286 ot.ico
31.03.2006 11:38 4.286 ts.ico
31.03.2006 11:36 15.529 dfrgsrv.exe

26.03.2006 12:44 316.594 perfh007.dat
26.03.2006 12:44 39.992 perfc009.dat
26.03.2006 12:44 311.604 perfh009.dat
26.03.2006 12:44 48.156 perfc007.dat
26.03.2006 12:44 723.744 PerfStringBackup.INI
25.03.2006 13:25 2.206 wpa.dbl
16.03.2006 01:29 659.744 wodhttp.dll
04.03.2006 19:48 110.992 FNTCACHE.DAT
01.02.2006 21:58 3.002 CONFIG.NT
28.01.2006 00:38 503.296 aswBoot.exe
28.01.2006 00:30 90.112 AVASTSS.scr
04.01.2006 05:35 68.096 webclnt.dll

Verzeichnis von C:\DOKUME~1\Unknown\LOKALE~1\Temp

31.03.2006 15:40 32.723 SQLanguage.ini
31.03.2006 12:49 204 jusched.log
26.03.2006 22:20 118 0CF6E057.TMP
3 Datei(en) 33.045 Bytes
0 Verzeichnis(se), 21.195.841.536 Bytes frei

Verzeichnis von C:\WINDOWS

31.03.2006 15:40 51 iTouch.ini
31.03.2006 15:40 2.048 bootstat.dat
31.03.2006 13:02 3.763 WindowsUpdate.log
31.03.2006 11:36 587 win.ini
19.03.2006 17:48 116 NeroDigital.ini
03.03.2006 21:40 502 ODBC.INI
20.02.2006 14:11 442 SIERRA.INI
16.02.2006 18:58 316.640 WMSysPr9.prx
04.02.2006 18:41 107.134 UninstallFirefox.exe
04.02.2006 18:41 3.134 mozver.dat
04.02.2006 00:21 227 system.ini
29.01.2006 15:48 151 PhotoSnapViewer.INI
06.01.2006 18:08 54.156 QTFont.qfn
03.01.2006 21:53 104 nTune.INI
03.01.2006 21:53 119 NVPerformance.INI
03.01.2006 21:40 114 NVProfileManager.INI
03.01.2006 20:56 106 NVMonitor.INI
02.01.2006 17:04 1.409 QTFont.for
23.12.2005 22:30 725 aolback.exe.lnk

Verzeichnis von C:\

31.03.2006 15:51 0 sys.txt
31.03.2006 15:50 3.628 system.txt
31.03.2006 15:49 396 systemtemp.txt
31.03.2006 15:48 99.269 system32.txt
31.03.2006 15:40 1.610.612.736 pagefile.sys
04.02.2006 00:21 222 boot.ini
25.12.2005 15:32 0 itouch_crash_info.txt
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
01.01.2003 01:39 1.024 .rnd
18.08.2001 12:00 4.952 bootfont.bin
11 Datei(en) 1.611.020.975 Bytes
0 Verzeichnis(se), 21.195.829.248 Bytes frei

Logfile of HijackThis v1.99.1
Scan saved at 15:55:38, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\SpywareQuake\SpywareQuake.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SpywareQuake\SpywareQuake.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Programme\Defrag\mstDfrgS.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Unknown\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:3476/cgi-bin/ncgir.exe?menu/fwl_index.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Anwendungen und Programme\Adobe Acrobat 7.0 Prof\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MSOFFI~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - D:\Anwendungen und Programme\Schnapper Pro\SchnapperPro.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: mst Defrag Service (mstDfrgS) - mst software, Martin Stiemerling, Germany - D:\Programme\Defrag\mstDfrgS.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ich hoffe alles richtig hier untergebracht und man kann den / die Fehler erkennen.

Mit freundlichen Grüßen

Henner
Seitenanfang Seitenende
31.03.2006, 16:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 zum Henner

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/de/

C:\WINDOWS\system32\wodhttp.dll

poste hier bitte die scanergebnisse

-----------------------------------------------------------------------

arbeite alles ab.
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox)

C:\WINDOWS\system32\nmp.log
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\nvapps.xml
C:\DOKUME~1\Unknown\LOKALE~1\Temp\SQLanguage.ini
C:\WINDOWS\system32\ld54F6.tmp
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dfrgsrv.exe


zum Schluss berichte vom scan mit Kaspersky und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2006, 16:31
...neu hier

Beiträge: 2
#20 Hallo Sabina,

ich brauch ebenfalls Hilfe gegen SpywareQuake, das ist echt ne Seuche...
Ich hab schon mal alles vorbereitet, ich hoffe es ist richtig so?

Verzeichnis von C:\WINDOWS\system32

31.03.2006 13:59 5.004 ncompat.tlb
31.03.2006 13:57 29.709 ld4E7D.tmp
31.03.2006 00:17 176.128 stickrep.dll
31.03.2006 00:17 4.286 ts.ico
31.03.2006 00:17 4.286 ot.ico
31.03.2006 00:15 15.529 dfrgsrv.exe

29.03.2006 06:17 52.900 perfc009.dat
29.03.2006 06:17 63.778 perfc007.dat
29.03.2006 06:17 380.486 perfh009.dat
29.03.2006 06:17 391.330 perfh007.dat
29.03.2006 06:17 897.954 PerfStringBackup.INI
28.03.2006 18:10 2.206 wpa.dbl
12.03.2006 15:31 229.592 FNTCACHE.DAT
07.02.2006 20:42 139.264 hpzjrd01.dll
04.02.2006 22:45 552 d3d8caps.dat
04.02.2006 13:14 9.006 quicktime.qtp
04.02.2006 13:14 98.304 qttask.exe
04.02.2006 12:56 16.832 amcompat.tlb
04.02.2006 12:56 23.392 nscompat.tlb
04.02.2006 12:46 34 oeminfo.ini
04.02.2006 08:10 0 h323log.txt


Verzeichnis von C:\DOKUME~1\Holger\LOKALE~1\Temp

31.03.2006 15:49 12.695 WCESLog.log
31.03.2006 15:49 375 WCESCOMM.LOG

Verzeichnis von C:\WINDOWS

31.03.2006 15:41 0 0.log
31.03.2006 15:41 159 wiadebug.log
31.03.2006 15:41 50 wiaservc.log
31.03.2006 15:41 625.002 WindowsUpdate.log
31.03.2006 15:40 2.048 bootstat.dat
31.03.2006 15:40 32.596 SchedLgU.Txt
23.03.2006 19:23 152.407 setupapi.log
21.03.2006 20:33 174.617 setupact.log
16.03.2006 18:13 24.012 cdplayer.ini
15.03.2006 20:26 46.459 wmsetup.log
15.03.2006 20:26 316.640 WMSysPr9.prx
13.03.2006 20:16 147.623 comsetup.log
13.03.2006 20:16 7.902 ntdtcsetup.log
13.03.2006 20:16 59.609 iis6.log


Verzeichnis von C:\

31.03.2006 16:02 0 sys.txt
31.03.2006 16:01 8.130 system.txt
31.03.2006 16:01 336 systemtemp.txt
31.03.2006 16:00 101.554 system32.txt
31.03.2006 15:40 1.073.008.640 hiberfil.sys
31.03.2006 15:40 2.306.867.200 pagefile.sys
16.02.2006 23:45 40 Auth.prof
04.02.2006 21:36 0 itouch_config_crash_info.txt
04.02.2006 10:52 3.369 LGSInst.Log
04.02.2006 10:49 0 itouch_crash_info.txt
04.02.2006 02:22 211 boot.ini
04.02.2006 02:17 47.564 NTDETECT.COM
04.02.2006 02:17 251.184 ntldr
04.02.2006 01:14 0 AUTOEXEC.BAT
04.02.2006 01:14 0 CONFIG.SYS
04.02.2006 01:14 0 MSDOS.SYS
04.02.2006 01:14 0 IO.SYS
18.08.2001 12:00 4.952 bootfont.bin

Logfile of HijackThis v1.99.1
Scan saved at 16:21:52, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\AntiVir PersonalEdition Classic\sched.exe
E:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Peripherie\Logitech\Tastatur\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\HP Programme\HP Software Update\HPWuSchd2.exe
E:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Peripherie\ATI\ATI Tray Tools\atitray.exe
E:\Active Sync\wcescomm.exe
E:\Active Sync\rapimgr.exe
C:\Peripherie\Logitech\Mouse\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Holger\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Peripherie\Logitech\Tastatur\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] E:\HP Programme\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "E:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [XoftSpy] E:\XoftSpy\XoftSpy.exe -s
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Peripherie\ATI\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Active Sync\wcescomm.exe"
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Office2003\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Active Sync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Active Sync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Active Sync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office2003\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - E:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Vielen Dank für Dein Engagement und Deine Hilfe

Grüße Slash
Dieser Beitrag wurde am 31.03.2006 um 16:37 Uhr von Slash74 editiert.
Seitenanfang Seitenende
31.03.2006, 16:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Slash74

arbeite alles ab.
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox)

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ld4E7D.tmp
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\dfrgsrv.exe

zum Schluss berichte vom scan mit Kaspersky
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2006, 18:00
...neu hier

Beiträge: 2
#22 Scheint geklappt zu haben SpywareQuake meldet sich nicht mehr, XoftSpy findet nichts jetzt werde ich meinen Virenscanner noch updaten und laufen lassen und hoffen das alles sauber ist.

Erstmal ein herzliches D A N K E S C H Ö N! Respekt kompetente und sauschnelle Hilfe

Ich hoffe ich muß dieses Forum niewieder bemühen ;) das würde nämlich heißen ich bliebe sauber. Aber wenns mich doch mal wieder erwischt weiß ich wo ich um Hilfe rufen kann!

Muß doch mal sehen was es hier noch so zu entdecken gibt... :]

Dankbare Grüße Slash
Seitenanfang Seitenende
31.03.2006, 21:04
...neu hier

Beiträge: 2
#23

Zitat

Sabina postete
zum Henner

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
http://virusscan.Jotti.org/de/

C:\WINDOWS\system32\wodhttp.dll

poste hier bitte die scanergebnisse

AntiVir 6.34.0.14 03.31.2006 no virus found
Avast 4.6.695.0 03.29.2006 no virus found
AVG 386 03.31.2006 no virus found
Avira 6.34.0.54 03.31.2006 no virus found
BitDefender 7.2 03.31.2006 no virus found
CAT-QuickHeal 8.00 03.30.2006 no virus found
ClamAV devel-20060202 03.30.2006 no virus found
DrWeb 4.33 03.31.2006 no virus found
eTrust-InoculateIT 23.71.116 03.31.2006 no virus found
eTrust-Vet 12.4.2145 03.31.2006 no virus found
Ewido 3.5 03.31.2006 no virus found
Fortinet 2.71.0.0 03.31.2006 no virus found
F-Prot 3.16c 03.30.2006 no virus found
Ikarus 0.2.59.0 03.31.2006 no virus found
Kaspersky 4.0.2.24 03.31.2006 no virus found
McAfee 4730 03.30.2006 no virus found
NOD32v2 1.1465 03.31.2006 no virus found
Norman 5.70.10 03.31.2006 no virus found
Panda 9.0.0.4 03.31.2006 no virus found
Sophos 4.04.0 03.31.2006 no virus found
Symantec 8.0 03.31.2006 no virus found
TheHacker 5.9.7.122 03.30.2006 no virus found
UNA 1.83 03.30.2006 no virus found
VBA32 3.10.5 03.31.2006 no virus found

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
-----------------------------------------------------------------------


So weit habe ich alles abgearbeitet , dank Deiner schnellen und kompetenten Hilfe. Nun hoffe ich das alles OK ist.
Wenn Du nicht dagegen hast würde ich Dich gerne in unserem Forum ( NeoN - Clan ) lobend erwähnen.
Danke und Gruß
Henner
Seitenanfang Seitenende
01.04.2006, 10:49
...neu hier

Beiträge: 5
#24 Hallo Sabrina, ich hoffe, es nervt nicht allzusehr, aber ich brauche auch Hilfe wegen diesem Spyware Schei....
Ich hab deine Anweisungen auf der ersten Seite befolgt und poste hier mal mein Zeugs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00F-E77D

Verzeichnis von C:\WINDOWS\SYSTEM32

01.04.2006 10:40 5.012 ncompat.tlb
01.04.2006 10:39 6.656 interf.tlb
01.04.2006 10:39 36.864 hpC95A.tmp
01.04.2006 10:38 29.709 ldC459.tmp
31.03.2006 11:25 36.864 hp7B98.tmp
31.03.2006 10:58 176.128 stickrep.dll
31.03.2006 10:58 4.286 ot.ico
31.03.2006 10:58 4.286 ts.ico
31.03.2006 10:58 10.184 mssearchnet.exe
31.03.2006 10:58 17.444 nvctrl.exe
31.03.2006 10:56 15.521 dfrgsrv.exe
30.03.2006 14:02 43.520 CmdLineExt03.dll
30.03.2006 11:05 1.170 WPA.DBL
30.03.2006 11:02 156.160 oins.exe
30.03.2006 11:02 17.408 winwim32.dll
26.03.2006 11:15 318.106 PERFH007.DAT
26.03.2006 11:15 312.946 PERFH009.DAT
26.03.2006 11:15 40.664 PERFC009.DAT
26.03.2006 11:15 49.028 PERFC007.DAT
26.03.2006 11:15 728.266 PerfStringBackup.INI
24.03.2006 11:38 194.568 FNTCACHE.DAT
09.03.2006 16:21 4.799.320 MRT.exe
07.03.2006 18:10 2.264 qtplugin.log
07.03.2006 15:16 21.840 SIntfNT.dll
07.03.2006 15:16 17.212 SIntf32.dll
07.03.2006 15:16 12.067 SIntf16.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
19.12.2005 20:30 4.730.880 wmp.dll
01.12.2005 05:31 1.492.480 shdocvw.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00F-E77D

Verzeichnis von C:\DOKUME~1\MAXIMI~1\LOKALE~1\Temp

01.04.2006 10:39 222 jusched.log
1 Datei(en) 222 Bytes

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00F-E77D

Verzeichnis von C:\WINDOWS

01.04.2006 10:38 0 0.LOG
01.04.2006 10:38 1.396.170 WindowsUpdate.log
01.04.2006 10:38 159 WIADEBUG.LOG
01.04.2006 10:38 50 WIASERVC.LOG
01.04.2006 10:38 2.048 BOOTSTAT.DAT
01.04.2006 10:37 32.626 SchedLgU.Txt
31.03.2006 23:23 13.693 KB913446.log
31.03.2006 18:16 604 Thps3.INI
30.03.2006 11:02 39.424 YAXUninst.exe
30.03.2006 11:02 432.750 setupapi.log
08.03.2006 15:40 26 ms_games.ini
24.02.2006 13:59 41.776 wmsetup.log
23.02.2006 15:21 2.891 mozver.dat
21.02.2006 21:34 400 ODBC.INI
17.02.2006 15:38 0 nsreg.dat
17.02.2006 15:38 107.132 UninstallFirefox.exe
16.02.2006 15:13 29.786 spupdsvc.log
16.02.2006 10:44 197.342 TSOC.LOG
16.02.2006 10:44 94.539 ntdtcsetup.log
16.02.2006 10:44 21.993 OCMSN.LOG
16.02.2006 10:44 1.374 imsins.log
16.02.2006 10:44 155.299 COMSETUP.LOG
16.02.2006 10:44 77.170 IIS6.LOG
16.02.2006 10:44 10.624 KB911927.log
16.02.2006 10:44 263.940 OCGEN.LOG
16.02.2006 10:44 25.448 MSGSOCM.LOG
16.02.2006 10:44 511.408 FaxSetup.log
16.02.2006 10:44 24.543 updspapi.log
16.02.2006 10:44 1.374 imsins.BAK
16.02.2006 10:44 6.442 KB911564.log
16.02.2006 10:44 6.686 KB911565.log
13.01.2006 13:58 10.033 KB908519.log
06.01.2006 21:01 11.024 KB912919.log
16.12.2005 21:26 9.374 KB910437.log
16.12.2005 21:26 15.431 KB905915.log
16.12.2005 20:41 24.165 KB896727.log
16.12.2005 20:14 908 Active Setup Log.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00F-E77D

Verzeichnis von C:\

01.04.2006 10:46 0 sys.txt
01.04.2006 10:46 10.937 system.txt
01.04.2006 10:45 295 systemtemp.txt
01.04.2006 10:42 102.735 system32.txt
01.04.2006 10:38 535.875.584 hiberfil.sys
01.04.2006 10:38 805.306.368 pagefile.sys
30.03.2006 14:59 0 AILog.txt

Und hier das LogFile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10:48:57, on 01.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVWIN\AVGUARD.EXE
C:\PROGRAMME\AVWIN\AVESVC.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRAMME\AVWIN\AVMAILC.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVWin\AVSched32.EXE
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SSTEM3~1\wucrtupd.exe
C:\Programme\F?nts\l?gonui.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Maximilian Schmidt\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpC95A.tmp
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVWin\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Iwaa] "C:\PROGRA~1\SSTEM3~1\wucrtupd.exe" -vt yax
O4 - HKCU\..\Run: [Rgs] C:\Programme\F?nts\l?gonui.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O12 - Plugin for .PDF: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2686f884b9be3bd60619/netzip/RdxIE601_de.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{339EEF15-E638-4E40-AA4C-1C6C3CF97CA7}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{339EEF15-E638-4E40-AA4C-1C6C3CF97CA7}: NameServer = 212.6.108.140 212.6.108.141
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVWIN\AVMAILC.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVWIN\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVWIN\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWin\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Vielen Dank schonmal.
Seitenanfang Seitenende
01.04.2006, 15:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Libertine

das ist der SpywareQuaker + der Purityscan
um beides reinigen zu koennen, brauch ich noch mehr Angaben

1.
Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint


dir /s /a "c:\wucrtupd*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\l?gonui*.*" > c:\find.txt & start notepad c:\find.txt

2.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop

(sehen wir, ob das Tool den Haxdoor erkennt....)
poste die Textdatei vom scan


-----------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpC95A.tmp
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKCU\..\Run: [Iwaa] "C:\PROGRA~1\SSTEM3~1\wucrtupd.exe" -vt yax
O4 - HKCU\..\Run: [Rgs] C:\Programme\F?nts\l?gonui.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll

PC neustarten

arbeite das ab
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox)

C:\WINDOWS\SYSTEM32\ncompat.tlb
C:\WINDOWS\SYSTEM32\interf.tlb
C:\WINDOWS\SYSTEM32\hpC95A.tmp
C:\WINDOWS\SYSTEM32\ldC459.tmp
C:\WINDOWS\SYSTEM32\hp7B98.tmp
C:\WINDOWS\system32\hpC95A.tmp
C:\WINDOWS\SYSTEM32\stickrep.dll
C:\WINDOWS\SYSTEM32\ot.ico
C:\WINDOWS\SYSTEM32\ts.ico
C:\WINDOWS\SYSTEM32\mssearchnet.exe
C:\WINDOWS\SYSTEM32\nvctrl.exe
C:\WINDOWS\SYSTEM32\dfrgsrv.exe
C:\WINDOWS\SYSTEM32\oins.exe
C:\WINDOWS\YAXUninst.exe
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\SYSTEM32\winwim32.dll

arbeite alles ab. auch den Scan mit Kaspersky.
Je nach den Ergebnissen (siehe oben)...zeige ich dir dann noch, wie du den PurityScan loeschen kannst
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2006, 17:35
...neu hier

Beiträge: 5
#26 Okay also, ich war leider etwas ungeduldig und habe schon vor deiner Antwort die ganzen Punkte auf http://virus-protect.org/artikel/spyware/spywarequake.html abgearbeitet. (bis auf den Scan mit etrust). Das kleine Fenster in der Taskleiste ist zumindest schonmal verschwunden. :-)
Danach hab ich dann deine Anweisungen befolgt:

1. Dies sind die Inhalte der beiden Textdateien:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00F-E77D

Verzeichnis von c:\I386

29.08.2002 06:00 504.832 LOGONUI.EXE
11.09.2002 14:46 488 logonui.exe.manifest
2 Datei(en) 505.320 Bytes



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00F-E77D

Verzeichnis von c:\I386

29.08.2002 06:00 504.832 LOGONUI.EXE
11.09.2002 14:46 488 logonui.exe.manifest
2 Datei(en) 505.320 Bytes

Verzeichnis von c:\Programme\F?nts

27.03.2006 18:47 409.600 l?gonui.exe
1 Datei(en) 409.600 Bytes

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

29.08.2002 06:00 504.832 logonui.exe
1 Datei(en) 504.832 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

01.04.2006 17:07 58.612 LOGONUI.EXE-312BE1BF.pf
1 Datei(en) 58.612 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 09:57 515.072 logonui.exe
1 Datei(en) 515.072 Bytes

Verzeichnis von c:\WINDOWS\SYSTEM32

04.08.2004 09:57 515.072 logonui.exe
11.09.2002 14:46 488 logonui.exe.manifest
2 Datei(en) 515.560 Bytes

Anzahl der angezeigten Dateien:
8 Datei(en) 2.508.996 Bytes
0 Verzeichnis(se), 27.681.083.392 Bytes frei


2.
04/01/06 17:25:49 [Info]: BlackLight Engine 1.0.33 initialized
04/01/06 17:25:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/01/06 17:25:49 [Note]: 7019 4
04/01/06 17:25:49 [Note]: 7005 0
04/01/06 17:25:55 [Note]: 7006 0
04/01/06 17:25:55 [Note]: 7011 384
04/01/06 17:25:56 [Note]: FSRAW library version 1.7.1015
04/01/06 17:26:59 [Note]: 7007 0
Seitenanfang Seitenende
01.04.2006, 18:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 achte auf Datum und Groesse, damit du nicht das falsche loeschst....

27.03.2006 18:47 409.600 l?gonui.exe
1 Datei(en) 409.600 Bytes

c:\Programme\F?nts\l?gonui.exe
c:\Programme\F?nts

---------------------------------------

das fehlt....

Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\wucrtupd*.*" > c:\find.txt & start notepad c:\find.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.04.2006, 12:08
...neu hier

Beiträge: 5
#28 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E00F-E77D

Verzeichnis von c:\Programme\s?stem32

30.03.2006 11:02 71.168 wucrtupd.exe
1 Datei(en) 71.168 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 71.168 Bytes
0 Verzeichnis(se), 27.673.985.024 Bytes frei


wie meinst du das, dass ich auf datum und größe achten soll? was soll ich jetzt genau noch löschen?
Seitenanfang Seitenende
02.04.2006, 13:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 Libertine

spywarequake_purityscan
http://virus-protect.org/artikel/spyware/spywarequake_purityscan.html

-----------------------------------------------------

wieder aufs Datum und auf die Groesse achten, bevor du loeschst: (damit du nicht die falsche Datei loeschst.....)

Verzeichnis von c:\Programme\s?stem32

30.03.2006 11:02 71.168 wucrtupd.exe
1 Datei(en) 71.168 Bytes

Zitat

c:\Programme\s?stem32\wucrtupd.exe
c:\Programme\s?stem32\
dann mache einen Onlinescan mit Kaspersky und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2006, 19:24
...neu hier

Beiträge: 5
#30 Also ich habe versucht, die Files mit der Killbox zu löschen. Es wurde jedoch gemeldet, dass die Dateien scheinbar nicht mehr existieren. Ich meine jetzt die wucrtupd.exe und l?gonui.exe.

Der Kaspersky-Scan hat folgendes ergeben:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, April 03, 2006 7:22:24 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 3/04/2006
Kaspersky Anti-Virus database records: 174586
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
J:\

Scan Statistics:
Total number of scanned objects: 133254
Number of viruses found: 3
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 01:33:43

Infected Object Name / Virus Name / Last Action
C:\!KillBox\oins.exe Infected: Trojan-Downloader.Win32.PurityScan.bt skipped
C:\!KillBox\winwim32.dll Infected: Trojan-Downloader.Win32.Small.cml skipped
C:\Programme\sуstem32\wucrtupd.exe Infected: Trojan-Downloader.Win32.PurityScan.w skipped

Scan process completed.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: