Ich kann Spywarequake nicht entfernen

#0
04.04.2006, 00:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 1.
alles loeschen, was in dieser Datei ist:
C:\!KillBox\

2.
loeschen !!! Suche nach Datum und Groesse

Verzeichnis von c:\Programme\s?stem32
30.03.2006 11:02 71.168 wucrtupd.exe
1 Datei(en) 71.168 Bytes

C:\Programme\sуstem32\wucrtupd.exe

so sieht die System32 in Wahrheit aus:


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2006, 05:23
...neu hier

Beiträge: 7
#32 Ich auch haben will.... bitte bitte bitte....


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS\system32

04.04.2006 05:12 4.940 ncompat.tlb
04.04.2006 04:47 6.144 interf.tlb
04.04.2006 04:47 30.720 hpBA0C.tmp
04.04.2006 03:45 30.720 hp6DD5.tmp
04.04.2006 03:45 16.596 nvctrl.exe
04.04.2006 03:45 176.128 stickrep.dll
04.04.2006 03:45 4.286 ot.ico
04.04.2006 03:45 4.286 ts.ico
04.04.2006 03:45 10.184 mssearchnet.exe
04.04.2006 03:38 29.197 ld14C6.tmp
04.04.2006 03:38 15.525 dfrgsrv.exe
04.04.2006 02:39 16.832 amcompat.tlb
04.04.2006 02:39 23.392 nscompat.tlb
03.04.2006 19:03 2.206 wpa.dbl
26.03.2006 03:57 376.016 perfh009.dat
26.03.2006 03:57 386.338 perfh007.dat
26.03.2006 03:57 51.814 perfc009.dat
26.03.2006 03:57 62.578 perfc007.dat
26.03.2006 03:57 886.928 PerfStringBackup.INI
07.03.2006 03:09 30 brss01a.ini
07.03.2006 03:09 184 brsvc01a.bsi
07.03.2006 03:08 50 BRIDF04A.dat
07.03.2006 03:02 1.202 $winnt$.inf
26.05.2005 05:16 18.200 wups2.dll
26.05.2005 05:16 173.536 wuweb.dll
26.05.2005 05:16 1.343.768 wuaueng.dll

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\

04.04.2006 05:20 0 systemtemp.txt
04.04.2006 05:19 96.057 system32.txt
04.04.2006 05:10 969 sys.txt
04.04.2006 05:09 10.140 system.txt
04.04.2006 04:47 70 find.txt
04.04.2006 02:35 536.399.872 hiberfil.sys
04.04.2006 02:35 805.306.368 pagefile.sys
07.03.2006 03:02 194 boot.ini
20.09.2003 19:12 499 IPH.PH
20.09.2003 16:50 0 CONFIG.SYS
20.09.2003 16:50 0 IO.SYS
20.09.2003 16:50 0 MSDOS.SYS
20.09.2003 16:50 0 AUTOEXEC.BAT
29.08.2002 14:00 4.952 bootfont.bin
29.08.2002 14:00 47.580 NTDETECT.COM
29.08.2002 14:00 235.296 ntldr
16 Datei(en) 1.342.101.997 Bytes
0 Verzeichnis(se), 54.335.750.144 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS

04.04.2006 04:48 3.634.851 setupapi.log
04.04.2006 04:47 363 wiadebug.log
04.04.2006 04:47 1.367.177 WindowsUpdate.log
04.04.2006 03:32 116 NeroDigital.ini
04.04.2006 02:39 466.776 wmsetup.log
04.04.2006 02:39 241 wmsetup10.log
04.04.2006 02:38 316.640 WMSysPr9.prx
04.04.2006 02:35 0 0.log
04.04.2006 02:35 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
04.04.2006 02:35 50 wiaservc.log
04.04.2006 02:35 2.048 bootstat.dat
04.04.2006 02:00 32.540 SchedLgU.Txt
02.04.2006 04:32 30 worktool.ini
02.04.2006 03:33 517 win.ini
19.03.2006 03:11 547 IEPatchUninstall.log
19.03.2006 00:38 283.685 DirectX.log
10.03.2006 12:16 612 KB825116Uninst.log
10.03.2006 11:59 6.596 KB825116.log
09.03.2006 17:05 73.216 cadkasdeinst01.exe
09.03.2006 14:35 0 graphedit.INI
07.03.2006 09:49 85.056 Windows Update.log
07.03.2006 03:20 250 accessdll.log
07.03.2006 03:17 107 avmsysnet.log
07.03.2006 03:16 1.482 avmadd32.log
07.03.2006 03:11 0 Brownie.ini
07.03.2006 03:09 425 brwmark.ini
07.03.2006 03:09 79 BRPP2KA.INI
07.03.2006 03:08 92 brpcfx.ini
07.03.2006 03:08 230 Brpfx04a.ini
07.03.2006 03:06 2 msoffice.ini
07.03.2006 03:03 1.174 OEWABLog.txt
07.03.2006 03:02 224.778 setupact.log
07.03.2006 03:02 196.793 tsoc.log
07.03.2006 03:02 8.815 sessmgr.setup.log
07.03.2006 03:01 54.016 iis6.log
07.03.2006 03:01 616 DtcInstall.log
07.03.2006 03:01 2.750 regopt.log
07.03.2006 02:45 1.738 setuperr.log
15.09.2005 14:35 50 UNNeroMediaHome.cfg
12.09.2005 16:13 233.472 UNRecode.exe

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\

04.04.2006 05:21 0 sys.txt
04.04.2006 05:21 10.140 system.txt
04.04.2006 05:20 969 systemtemp.txt
04.04.2006 05:19 96.057 system32.txt
04.04.2006 04:47 70 find.txt
04.04.2006 02:35 536.399.872 hiberfil.sys
04.04.2006 02:35 805.306.368 pagefile.sys
07.03.2006 03:02 194 boot.ini
20.09.2003 19:12 499 IPH.PH
20.09.2003 16:50 0 CONFIG.SYS
20.09.2003 16:50 0 IO.SYS
20.09.2003 16:50 0 MSDOS.SYS
20.09.2003 16:50 0 AUTOEXEC.BAT
29.08.2002 14:00 4.952 bootfont.bin
29.08.2002 14:00 47.580 NTDETECT.COM
29.08.2002 14:00 235.296 ntldr
16 Datei(en) 1.342.101.997 Bytes
0 Verzeichnis(se), 54.335.750.144 Bytes frei


Logfile of HijackThis v1.99.1
Scan saved at 05:22:05, on 04.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SpywareQuake\SpywareQuake.exe
C:\Programme\SpywareQuake\SpywareQuake.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\HASI&S~1\LOKALE~1\Temp\Rar$EX22.656\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telta.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von TELTA
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpBA0C.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.telta.de/
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
04.04.2006, 11:09
...neu hier

Beiträge: 5
#33 also ich habe es auch mit deinem angegeben dateipfad versucht, aber auch da scheint die datei nicht zu existieren. tut mir leid, wenn ich vielleicht etwas schwer von begriff bin. also ich soll doch die datei mit der killbox löschen. richtig?
in meinem programme-ordner gibt es einen ordner namens "system32", der allerdings als leer angezeigt wird. sonst gibt es nichts vergleichbares und die killbox findet die datei auch nicht. wenn ich cmd.exe ausführe, wird sie allerdings in der textdatei immer noch angezeigt.
??
Seitenanfang Seitenende
04.04.2006, 14:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 Antispyware

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpBA0C.tmp
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h

PC neustarten


bitte abarbeiten:
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox )

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hpBA0C.tmp
C:\WINDOWS\system32\hp6DD5.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\ld14C6.tmp
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2006, 15:11
...neu hier

Beiträge: 3
#35 hi,
blick irgenwie nimmer durch... hab spywareQuake zwar nun unter "kontrolle" nachdem ich einiges befolgt hab was ich hier so gelesen hab...
allerdings bin ich nich davon überzeugt das es auch weg ist... ;) bzw. es ist wohl auch nich der einzige Trojaner der sich auf meinem system tummelt!?!

Wär dankbar wenn mir das mal jemand noobverständlich erklärn würde, was genau ich jetzt "noch" auf system hab bzw wie es zu beseitigen ist...

die removal anleitung auf die immer wieder verwiesen wird mag ja gut sein... aber wenn man so gar kein schimmer von der sache hat... is sie doch recht unverständlich in manchen punkten ...;)

Verzeichnis von C:\WINDOWS\system32

04.04.2006 14:26 29.204 nvapps.xml
04.04.2006 13:56 5.032 ncompat.tlb
04.04.2006 13:49 30.720 hpA527.tmp
04.04.2006 13:47 30.720 hp6014.tmp
04.04.2006 13:47 30.720 hp2CDF.tmp
04.04.2006 13:47 30.720 hp1494.tmp
04.04.2006 13:47 30.720 hpFEE9.tmp
04.04.2006 08:33 30.720 hp8444.tmp
03.04.2006 23:42 30.720 hp4A5D.tmp
03.04.2006 23:42 29.197 ld1F26.tmp
03.04.2006 23:15 4.286 ot.ico
03.04.2006 23:15 4.286 ts.ico
03.04.2006 20:24 1.158 wpa.dbl
31.03.2006 18:34 381.692 perfh009.dat
31.03.2006 18:34 53.436 perfc009.dat
31.03.2006 18:34 392.512 perfh007.dat
31.03.2006 18:34 64.452 perfc007.dat
31.03.2006 18:33 902.476 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe
24.01.2006 19:34 118.784 sirenacm.dll
04.01.2006 05:35 68.096 webclnt.dll

Verzeichnis von C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp

04.04.2006 14:44 40.960 rtdrvmon.exe
04.04.2006 14:41 16.384 Perflib_Perfdata_888.dat
04.04.2006 14:30 16.384 Perflib_Perfdata_984.dat
04.04.2006 14:29 284 MSI6061f.LOG
04.04.2006 14:29 284 MSI6061e.LOG
04.04.2006 14:29 284 MSI6061d.LOG
04.04.2006 14:26 816 jusched.log
04.04.2006 14:14 284 MSI52b7d.LOG
04.04.2006 14:14 284 MSI52b7c.LOG
04.04.2006 14:05 6.340 instopts.dat
04.04.2006 14:04 284 MSI6a24f.LOG
04.04.2006 14:04 284 MSI6a24e.LOG
04.04.2006 14:04 284 MSI6a24d.LOG
04.04.2006 12:15 284 MSI69848.LOG
04.04.2006 08:30 32.723 SQLanguage.ini
04.04.2006 08:30 2.983.247 sa150.exe
04.04.2006 08:21 1.935 java_install_reg.log
04.04.2006 07:10 2.983.247 sa14.exe
04.04.2006 07:08 0 sa12.exe
03.04.2006 23:59 0 aax7.tmp
03.04.2006 23:45 284 MSI4bed8.LOG
28.03.2006 17:50 118 0CF6E057.TMP

Verzeichnis von C:\WINDOWS

04.04.2006 14:24 0 0.log
04.04.2006 14:24 1.962.605 WindowsUpdate.log
04.04.2006 14:24 159 wiadebug.log
04.04.2006 14:24 50 wiaservc.log
04.04.2006 14:22 2.048 bootstat.dat
04.04.2006 14:22 32.430 SchedLgU.Txt
04.04.2006 14:04 477 win.ini
04.04.2006 14:04 227 system.ini
04.04.2006 12:17 575.672 setupapi.log
04.04.2006 08:24 74.897 iis6.log
04.04.2006 08:24 165.346 comsetup.log
04.04.2006 08:24 99.487 ntdtcsetup.log
04.04.2006 08:24 188.350 tsoc.log
04.04.2006 08:24 26.254 ocmsn.log
04.04.2006 08:24 3.690 imsins.log
04.04.2006 08:24 238.778 ocgen.log
04.04.2006 08:24 24.171 msgsocm.log
04.04.2006 08:24 492.642 FaxSetup.log
04.04.2006 08:12 213.185 setupact.log
04.04.2006 01:13 116 NeroDigital.ini
03.04.2006 22:55 155 winamp.ini
27.02.2006 15:18 49.664 wmsetup.log
18.02.2006 04:15 1.274 spupdsvc.log
18.02.2006 04:06 1.374 imsins.BAK
18.02.2006 04:06 13.018 KB911927.log
18.02.2006 04:06 31.443 updspapi.log
18.02.2006 04:06 6.230 KB911564.log
18.02.2006 04:05 6.739 KB911565.log
18.02.2006 04:04 7.092 KB913446.log
08.02.2006 21:40 246 lexstat.ini

Verzeichnis von C:\

04.04.2006 16:09 0 sys.txt
04.04.2006 16:08 8.975 system.txt
04.04.2006 16:08 1.233 systemtemp.txt
04.04.2006 16:08 97.182 system32.txt
04.04.2006 15:54 334.356.480 pagefile.sys
04.04.2006 14:04 211 boot.ini
02.04.2006 16:52 27.880 hpfr3740.log
22.08.2005 19:36 27 expand.txt
22.06.2005 17:07 251.712 ntldr
22.06.2005 16:43 0 MSDOS.SYS
22.06.2005 16:43 0 AUTOEXEC.BAT
22.06.2005 16:43 0 CONFIG.SYS
22.06.2005 16:43 0 IO.SYS
25.05.2005 17:01 15.822 Prodlog.txt
25.05.2005 17:01 994 868000425480.dat
11.10.2004 07:18 19 LANG.TXT
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 2 oem.tag


Logfile of HijackThis v1.99.1
Scan saved at 15:00:14, on 04.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ewido anti-malware\SecuritySuite.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\SD\Desktop\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gangwars.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll (file missing)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar5.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar5.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar5.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar5.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar5.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53360260-B930-49E2-A101-0DC07DE90EDF}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

mfg _pRiMe_
Dieser Beitrag wurde am 04.04.2006 um 16:05 Uhr von _pRiMe_ editiert.
Seitenanfang Seitenende
04.04.2006, 16:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 _pRiMe_

du hast gewiss nicht alles abgearbeit...sonst waeren die hp- und ld-Eintraege weg (siehe smitrem)

bitte abarbeiten:
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox )

C:\WINDOWS\system32\nvapps.xml
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\SQLanguage.ini
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\sa150.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\sa14.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\sa12.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\aax7.tmp
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\hpA527.tmp
C:\WINDOWS\system32\hp6014.tmp
C:\WINDOWS\system32\hp2CDF.tmp
C:\WINDOWS\system32\hp1494.tmp
C:\WINDOWS\system32\hpFEE9.tmp
C:\WINDOWS\system32\hp8444.tmp
C:\WINDOWS\system32\hp4A5D.tmp
C:\WINDOWS\system32\ld1F26.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico


das ist hier nicht koscher TROJ_AGENT.EL ?????
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe


Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/de/
http://sandbox.norman.no/live_4.html
http://siri.urz.free.fr/upload/
http://www.kaspersky.com/de/remoteviruschk.html


C:\WINDOWS\system32\mspd.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\rtdrvmon.exe



**

und auch den Onlinescan mit kaspersky machen, wie auf meiner Seite erklaert
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2006, 20:25
...neu hier

Beiträge: 3
#37 So...
Ich hoff ich hab jetzt soweit alles richtig gemacht ;)

This is a report processed by VirusTotal on 04/04/2006 at 18:01:18 (CET) after scanning the file "mspd.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 04.04.2006 no virus found
Avast 4.6.695.0 04.03.2006 no virus found
AVG 386 04.03.2006 no virus found
Avira 6.34.0.54 04.04.2006 no virus found
BitDefender 7.2 04.04.2006 no virus found
CAT-QuickHeal 8.00 04.04.2006 no virus found
ClamAV devel-20060202 04.04.2006 no virus found
DrWeb 4.33 04.04.2006 no virus found
eTrust-InoculateIT 23.71.119 04.04.2006 no virus found
eTrust-Vet 12.4.2148 04.04.2006 no virus found
Ewido 3.5 04.04.2006 no virus found
Fortinet 2.71.0.0 04.04.2006 no virus found
F-Prot 3.16c 04.04.2006 no virus found
Ikarus 0.2.59.0 04.04.2006 no virus found
Kaspersky 4.0.2.24 04.04.2006 no virus found
McAfee 4733 04.04.2006 no virus found
NOD32v2 1.1470 04.04.2006 no virus found
Norman 5.90.15 04.04.2006 no virus found
Panda 9.0.0.4 04.04.2006 no virus found
Sophos 4.04.0 04.04.2006 no virus found
Symantec 8.0 04.04.2006 no virus found
TheHacker 5.9.7.124 04.03.2006 no virus found
UNA 1.83 04.03.2006 no virus found
VBA32 3.10.5 04.04.2006 no virus found


This is a report processed by VirusTotal on 04/04/2006 at 18:14:37 (CET) after scanning the file "rtdrvmon.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 04.04.2006 no virus found
Avast 4.6.695.0 04.03.2006 no virus found
AVG 386 04.04.2006 no virus found
Avira 6.34.0.54 04.04.2006 no virus found
BitDefender 7.2 04.04.2006 no virus found
CAT-QuickHeal 8.00 04.04.2006 no virus found
ClamAV devel-20060202 04.04.2006 no virus found
DrWeb 4.33 04.04.2006 no virus found
eTrust-InoculateIT 23.71.119 04.04.2006 no virus found
eTrust-Vet 12.4.2148 04.04.2006 no virus found
Ewido 3.5 04.04.2006 no virus found
Fortinet 2.71.0.0 04.04.2006 no virus found
F-Prot 3.16c 04.04.2006 no virus found
Ikarus 0.2.59.0 04.04.2006 no virus found
Kaspersky 4.0.2.24 04.04.2006 no virus found
McAfee 4733 04.04.2006 no virus found
NOD32v2 1.1470 04.04.2006 no virus found
Norman 5.90.15 04.04.2006 no virus found
Panda 9.0.0.4 04.04.2006 no virus found
Sophos 4.04.0 04.04.2006 no virus found
Symantec 8.0 04.04.2006 no virus found
TheHacker 5.9.7.124 04.03.2006 no virus found
UNA 1.83 04.03.2006 no virus found
VBA32 3.10.5 04.04.2006 no virus found


Datentr„ger in Laufwerk C: ist 425480
Volumeseriennummer: C020-F2F6


Logfile of HijackThis v1.99.1
Scan saved at 19:58:10, on 04.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\SD\Desktop\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gangwars.de/
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll (file missing)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar5.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar5.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar5.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar5.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar5.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53360260-B930-49E2-A101-0DC07DE90EDF}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

und abschließend noch der kaspersky onlinescan...

KASPERSKY ON-LINE SCANNER REPORT
Tuesday, April 04, 2006 8:22:01 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 4/04/2006
Kaspersky Anti-Virus database records: 174951


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\
F:\
G:\

Scan Statistics
Total number of scanned objects 39027
Number of viruses found 4
Number of infected objects 6
Number of suspicious objects 0
Duration of the scan process 00:43:29

Infected Object Name Virus Name Last Action
C:\System Volume Information\_restore{58D1579F-F1BE-428E-960B-DE6DB768DF16}\RP231\A0009241.tlb Infected: Trojan-Downloader.Win32.Zlob.ke skipped

C:\System Volume Information\_restore{58D1579F-F1BE-428E-960B-DE6DB768DF16}\RP231\A0009245.exe Infected: Trojan-Downloader.Win32.Zlob.is skipped

C:\System Volume Information\_restore{58D1579F-F1BE-428E-960B-DE6DB768DF16}\RP231\A0009246.exe Infected: Trojan-Downloader.Win32.Zlob.ke skipped

C:\System Volume Information\_restore{58D1579F-F1BE-428E-960B-DE6DB768DF16}\RP231\A0009247.dll Infected: Trojan-Downloader.Win32.Zlob.jx skipped

C:\System Volume Information\_restore{58D1579F-F1BE-428E-960B-DE6DB768DF16}\RP231\A0009248.exe Infected: Trojan-Downloader.Win32.Zlob.kc skipped

C:\System Volume Information\_restore{58D1579F-F1BE-428E-960B-DE6DB768DF16}\RP231\A0009268.tlb Infected: Trojan-Downloader.Win32.Zlob.ke skipped

Scan process completed.

wie soll ich nun weiter verfahren?

mfg _pRiMe_
Seitenanfang Seitenende
04.04.2006, 20:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 _pRiMe
wenn du nicht alles abarbeitest, was auf meiner Seite erklaert ist..........
http://virus-protect.org/artikel/spyware/spywarequake.html
Mehr als alle Punkte aufzaehlen, kann ich nicht machen.

da stand auch was von Systemwiederherstellung deaktivieren...schau mal nach und mache es.
Dann aktiviere sie wieder. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2006, 22:27
...neu hier

Beiträge: 3
#39 hehe ;)
ok, das hatte ich irgentwie total überlesen...

nun is alles wieder sauber ;)

dickes merci für die schnelle hilfe
...eigentlich ist die anleitung doch verständlicher als gedacht...
so im nachhinein betrachtet lag es doch nur an meiner unfähigkeit das es immer wieder geharkt hat.. ;)

also nochma vielen dank
;)

mfg _pRiMe_
Seitenanfang Seitenende
18.04.2006, 10:39
...neu hier

Beiträge: 9
#40 Hallo Sabina!
Ihc habe ebenfalls das Problem mit dem spywarequake. Habe mir alles dazu auf Deiner Seite durchgelesen und den Scan gemacht. Kannst Du mir bitte helfen, die betroffeneen Dateien herauszufiltern? HIer sind die logs:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

14/04/2006 04:35p 32,723 SQLanguage.ini
14/04/2006 04:35p 16,384 ~DFEF74.tmp
09/04/2006 11:14p 118 0CF6E057.TMP
3 Datei(en) 49,225 Bytes
0 Verzeichnis(se), 3,979,005,952 Bytes frei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\WINNT

14/04/2006 04:02p 1,702 ModemLog_TOSHIBA Internal V.90 Modem.txt
14/04/2006 04:01p 501,695 WindowsUpdate.log
14/04/2006 04:01p 512,384 Sti_Trace.log
14/04/2006 03:59p 32,632 SchedLgU.Txt
14/04/2006 03:59p 643,326 ShellIconCache
14/04/2006 03:47p 2,980 spupdsvc.log
14/04/2006 03:15p 275,095 iis5.log
14/04/2006 03:15p 128,710 comsetup.log
14/04/2006 03:15p 1,429 imsins.log
14/04/2006 03:15p 87,844 MDAC25SP3-KB911562-x86-DEU.log
14/04/2006 03:15p 100,995 ocgen.log

211 Datei(en) 19,322,894 Bytes
0 Verzeichnis(se), 3,978,932,224 Bytes frei


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\

14/04/2006 05:12p 0 sys.txt
14/04/2006 05:12p 11,441 system.txt
14/04/2006 05:11p 411 systemtemp.txt
14/04/2006 05:11p 94,054 system32.txt
14/04/2006 04:00p 334,938,112 hiberfil.sys
14/04/2006 04:00p 201,326,592 pagefile.sys
22/02/2006 09:27a 1,415 temp1.sav
21/12/2005 11:44a 1,907 DeIsL1.isu

editiert (Sabina)


--------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 4:53:07 PM, on 14/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\faxsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\nvctrl.exe

C:\WINNT\system32\S3tray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\tppaldr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SpywareQuake\SpywareQuake.exe
C:\WINNT\system32\internat.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\SpywareQuake\SpywareQuake.exe
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE

O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINNT\system32\hp1B5E.tmp
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3TRAY] S3tray.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [HDAudio] C:\WINNT\hda.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: PC Card Settings.lnk = C:\WINNT\system32\control.exe
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129130447885
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Ich hoffe, dass ist ausreichend und Du kannst was damit anfangen... würde mich total freuen,w enn Du mir helfen könntest :-)
Danke!
W
Seitenanfang Seitenende
18.04.2006, 13:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41
Music_Finder


ohne das 1. Log von datfindbat (System32)..kann ich dir nicht helfen, denn dort sind die Viren

Zitat

1.Log Verzeichnis von C:\WINDOWS\system32
http://virus-protect.org/datfindbat.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2006, 13:28
...neu hier

Beiträge: 9
#42 sorry, habe ich falsch gemacht... hier nochmal die logs (hoffe, jetzt klappts..)

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\WINNT\system32

14/04/2006 04:35p 5,004 ncompat.tlb
14/04/2006 04:35p 31,757 ld1E68.tmp
14/04/2006 04:35p 34,816 hp1497.tmp
14/04/2006 04:02p 41,296 vsconfig.xml
14/04/2006 04:02p 34,816 hp1B5E.tmp
14/04/2006 04:02p 31,757 ld13C7.tmp
14/04/2006 03:47p 313,968 FNTCACHE.DAT
14/04/2006 11:24a 4,286 ot.ico
14/04/2006 11:24a 4,286 ts.ico
14/04/2006 11:24a 10,176 mssearchnet.exe
14/04/2006 11:24a 16,836 nvctrl.exe
14/04/2006 11:22a 15,497 dfrgsrv.exe

06/04/2006 12:48p 5,143,456 MRT.exe
04/04/2006 08:23p 16,384 Perflib_Perfdata_140.dat
02/04/2006 04:43p 1,864 qtplugin.log
30/03/2006 12:56p 212,992 odbc32.dll
29/03/2006 08:07p 4,212 zllictbl.dat
28/03/2006 07:37p 7,329 PQ_DEBUG.TXT
28/03/2006 01:17p 920 PQ_BATCH.PQB
23/03/2006 08:53a 2,386,192 SHELL32.DLL
18/03/2006 11:51a 21,264 verclsid.exe
17/03/2006 03:48p 565,008 INETCOMM.DLL
16/03/2006 11:34a 71,448 zlcommdb.dll
16/03/2006 11:34a 79,640 zlcomm.dll
16/03/2006 11:33a 100,120 vsxml.dll
16/03/2006 11:33a 382,744 vsutil.dll
16/03/2006 11:33a 71,448 vsregexp.dll
16/03/2006 11:33a 227,096 vspubapi.dll
16/03/2006 11:33a 104,216 vsmonapi.dll
16/03/2006 11:33a 141,080 vsinit.dll
16/03/2006 11:33a 372,824 vsdatant.sys
16/03/2006 11:32a 83,736 vsdata.dll
16/03/2006 11:16a 54,960 vsutil_loc0407.dll
21/02/2006 11:11a 57,616 odbcji32.dll
21/02/2006 11:11a 532,752 sqlsrv32.dll
21/02/2006 09:58a 20,752 odfox32.dll
21/02/2006 09:58a 20,752 odpdx32.dll
21/02/2006 09:58a 20,752 odtext32.dll
21/02/2006 09:58a 278,800 odbcjt32.dll
21/02/2006 09:58a 20,752 oddbse32.dll
21/02/2006 09:58a 20,752 odexl32.dll
21/02/2006 09:58a 102,672 ODBCCP32.dll
17/02/2006 03:05p 22,752 spupdsvc.exe
17/02/2006 03:05p 15,072 spmsg.dll
30/12/2005 06:15p 233,744 GDI32.DLL
14/12/2005 05:22p 492 spssprod.inf
24/11/2005 04:54p 163,600 t2embed.dll
24/11/2005 04:54p 79,632 fontsub.dll
17/10/2005 11:01a 1,693,248 NTOSKRNL.EXE

1813 Datei(en) 287,329,364 Bytes
0 Verzeichnis(se), 3,976,781,824 Bytes frei


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

14/04/2006 04:35p 32,723 SQLanguage.ini
14/04/2006 04:35p 16,384 ~DFEF74.tmp
09/04/2006 11:14p 118 0CF6E057.TMP
3 Datei(en) 49,225 Bytes
0 Verzeichnis(se), 3,976,720,384 Bytes frei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\

14/04/2006 05:36p 0 sys.txt
14/04/2006 05:35p 11,441 system.txt
14/04/2006 05:35p 411 systemtemp.txt
14/04/2006 05:35p 94,054 system32.txt
14/04/2006 04:00p 334,938,112 hiberfil.sys
14/04/2006 04:00p 201,326,592 pagefile.sys
22/02/2006 09:27a 1,415 temp1.sav
21/12/2005 11:44a 1,907 DeIsL1.isu
24/01/2005 04:41p 0 AUTOEXEC.DUP
24/01/2005 04:41p 0 AUTOEXEC.BAT

0 Verzeichnis(se), 3,976,966,144 Bytes frei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\WINNT

14/04/2006 04:02p 1,702 ModemLog_TOSHIBA Internal V.90 Modem.txt
14/04/2006 04:01p 501,695 WindowsUpdate.log
14/04/2006 04:01p 512,384 Sti_Trace.log
14/04/2006 03:59p 32,632 SchedLgU.Txt
14/04/2006 03:59p 643,326 ShellIconCache
14/04/2006 03:47p 2,980 spupdsvc.log
14/04/2006 03:15p 275,095 iis5.log
14/04/2006 03:15p 128,710 comsetup.log
14/04/2006 03:15p 1,429 imsins.log
14/04/2006 03:15p 87,844 MDAC25SP3-KB911562-x86-DEU.log
14/04/2006 03:15p 100,995 ocgen.log
14/04/2006 03:15p 7,645 ockodak.log
14/04/2006 03:15p 1,411 imsins.BAK
14/04/2006 03:15p 63,290 KB908531.log
14/04/2006 03:15p 41,491 updspapi.log
14/04/2006 03:14p 54,097 KB911567-OE55SP2-20060317.162653.log
14/04/2006 03:14p 54,331 KB911564.log
14/04/2006 03:14p 55,229 KB908519.log
14/04/2006 03:14p 63,577 KB912919.log
14/04/2006 03:14p 63,374 KB908523.log
14/04/2006 03:14p 59,844 KB896424.log
14/04/2006 03:13p 67,292 KB902400.log
14/04/2006 03:13p 57,365 KB905749.log
14/04/2006 03:13p 59,987 KB900725.log
14/04/2006 03:12p 56,753 KB896358.log
14/04/2006 03:12p 57,449 KB890046.log
14/04/2006 03:12p 55,592 KB896422.log
14/04/2006 03:12p 47,713 KB904706.log
14/04/2006 03:12p 55,265 KB901017.log
14/04/2006 03:11p 55,576 KB899589.log
14/04/2006 03:11p 55,579 KB905414.log
14/04/2006 03:11p 84,970 UpdateRollupPack.log
14/04/2006 03:09p 3,642 updcustom.dll.log
14/04/2006 03:08p 18,340 KB896423.log
14/04/2006 03:08p 15,882 KB899587.log
14/04/2006 03:08p 14,287 KB893756.log
14/04/2006 03:08p 13,291 KB901214.log
14/04/2006 03:08p 15,498 dahotfix.log
14/04/2006 03:08p 3,600 KB839643-DirectX9.log
14/04/2006 03:07p 2,092 vminst.log
14/04/2006 03:07p 744,676 setupapi.log
14/04/2006 03:07p 3,260 Q828026.log
14/04/2006 02:04p 54,156 QTFont.qfn
12/04/2006 03:20p 626 oleco.ini
01/04/2006 01:54p 771 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
28/03/2006 01:20p 1,595 PSTUDIO.INI
28/03/2006 10:37a 231 system.ini
19/03/2006 01:59p 1,409 QTFont.for
15/02/2006 04:02p 372 GEARInstall.log
02/01/2006 03:13p 102 oleco.ple
14/12/2005 05:22p 195 SpssLM.ini
23/11/2005 01:57p 531 ModemDet.txt
23/11/2005 01:57p 226 mmdet.log
23/11/2005 01:57p 108,719 setupact.log
13/10/2005 01:49p 6,040 KB893803v2.log
13/10/2005 01:46p 5,527 KB842773.log
05/09/2005 02:18p 202 NeroDigital.ini
23/08/2005 09:04p 720,896 iun6002.exe
23/08/2005 08:54p 35 album.ini
27/07/2005 08:55p 81,262 SGTBox.INI
27/07/2005 08:24a 87 wwwbatch.ini

211 Datei(en) 19,322,894 Bytes
0 Verzeichnis(se), 3,976,663,040 Bytes frei

Schöne Grüße!
Seitenanfang Seitenende
18.04.2006, 14:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 Music_Finder

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINNT\system32\hp1B5E.tmp
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h

PC neustarten

arbeite alles ab...
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox)

C:\WINNT\system32\twink64.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SQLanguage.ini
C:\WINNT\system32\ncompat.tlb
C:\WINNT\system32\ld1E68.tmp
C:\WINNT\system32\hp1497.tmp
C:\WINNT\system32\vsconfig.xml
C:\WINNT\system32\hp1B5E.tmp
C:\WINNT\system32\ld13C7.tmp
C:\WINNT\system32\ot.ico
C:\WINNT\system32\ts.ico
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\system32\dfrgsrv.exe

dann berichte... ;)

----------

Zitat

http://www.sophos.de/virusinfo/analyses/trojdloaderbw.html
Troj/Dloader-BW versucht, EXE-Dateien von remoten Websites als intron.exe, ir.exe, lpt.exe und usb.exe in den Windows-Systemordner herunterzuladen und auszuführen.

Der Trojaner kopiert sich als twink64.exe in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass er bei der Systemanmeldung gestartet wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
ControlPanel = <Windows system>\twink64.exe
internat.dll,LoadKeyboardProfile

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2006, 20:47
...neu hier

Beiträge: 9
#44 Hallo Sabina!
Der Scan mit Kaspersky hat nichts mehr gefunden. Yes!!
Allerdings habe ich noch die SUPERAntispayware drüberlaufen lassen und er hat 18 Einträge gefunden und ein weiterer Scan mit dem Hijackthis hat auch nochmal eine hp77F.tmp gefunden, aber mit "missing file"-Angabe (?) Soll ich die alle von Superantispyware löschen lassen? Es wurde folgendes gemeldet:

11 items in NavHelper BHO:
C:\Programme\NavExcel\NavHelper\V2.0.4b\Nhelper.dll und 10 registry keys

7 items in Trojan.Homepage:
C:\WINNT\systems32\hpE77F.temp und 6 registry keys

...leider schaffe ich es nicht, den report zu kopieren, aber wenn Du mehr Informationen bruachst, schreib ich ihn ab...

hier der aktuelle Hijackthis -Report:
Logfile of HijackThis v1.99.1
Scan saved at 8:38:05 PM, on 18/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\faxsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\S3tray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\tppaldr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX81.741\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINNT\system32\hpE77F.tmp (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3TRAY] S3tray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [HDAudio] C:\WINNT\hda.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: PC Card Settings.lnk = C:\WINNT\system32\control.exe
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129130447885
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Danke und bis dann!
Seitenanfang Seitenende
19.04.2006, 00:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Music_Finder

fixe mit dem HijackThis:

O2 - BHO: (no name) - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINNT\system32\hpE77F.tmp (file missing)

PC neustarten

mit SUPERAntispayware alles loeschen lassen ... (man kann doch den scanreport abkopieren ??? Er wuerde mich interessieren )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: