Ich kann Spywarequake nicht entfernen |
||
---|---|---|
#0
| ||
08.08.2006, 22:59
Ehrenmitglied
Beiträge: 29434 |
||
|
||
09.08.2006, 03:16
...neu hier
Beiträge: 6 |
#92
Hab das gleiche Problem mit Spyware Quake. Hab schon probiert viele Datein von diesem Prog. zu löschen, aber leider ohne erfolg-
Logfile of HijackThis v1.99.1 Scan saved at 03:15:10, on 09.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\mcafee.com\agent\mcdetect.exe C:\WINDOWS\Explorer.EXE c:\PROGRA~1\mcafee.com\agent\mctskshd.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\b97b3329.exe C:\Programme\Gemeinsame Dateien\{70C595DB-05BA-1031-0207-020429020031}\Update.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Magic Keyboard\MagicKey.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\ZyXEL Technology Corporation\ZyAIR G-220 Utility\ZDWlan.exe C:\Programme\Magic Keyboard\OSD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe c:\progra~1\mcafee.com\vso\mcvsftsn.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Sigurd\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.acer.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [b97b3329.exe] C:\WINDOWS\system32\b97b3329.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [b97b3329.exe] C:\Dokumente und Einstellungen\Sigurd\Lokale Einstellungen\Anwendungsdaten\b97b3329.exe O4 - Global Startup: Magic Keyboard.lnk = C:\Programme\Magic Keyboard\MagicKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: ZDWlan.lnk = ? O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Games\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Games\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127141886203 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe Dieser Beitrag wurde am 09.08.2006 um 03:49 Uhr von D-X editiert.
|
|
|
||
09.08.2006, 11:38
Ehrenmitglied
Beiträge: 29434 |
#93
D-X
poste das log von combofix http://virus-protect.org/artikel/tools/combofix.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2006, 13:52
...neu hier
Beiträge: 6 |
#94
Okay datfind:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70C5-95DB Verzeichnis von C:\ 09.08.2006 13:49 0 sys.txt 09.08.2006 13:49 9.617 system.txt 09.08.2006 13:49 637 systemtemp.txt 09.08.2006 13:49 97.792 system32.txt 09.08.2006 13:42 536.399.872 hiberfil.sys 09.08.2006 13:42 1.048.576.000 pagefile.sys 09.08.2006 04:00 396 VundoFix.txt 09.08.2006 03:25 1.173 rapport.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70C5-95DB Verzeichnis von C:\WINDOWS 09.08.2006 13:49 3.343 KB921883.log 09.08.2006 13:43 0 0.log 09.08.2006 13:43 157 wiadebug.log 09.08.2006 13:42 2.048 bootstat.dat 09.08.2006 04:04 32.622 SchedLgU.Txt 09.08.2006 04:04 50 wiaservc.log 09.08.2006 04:03 1.255.714 WindowsUpdate.log 09.08.2006 03:25 211.652 setupact.log 09.08.2006 03:24 150.602 ntbtlog.txt 09.08.2006 01:32 677.290 setupapi.log 08.08.2006 01:20 49 NeroDigital.ini 07.08.2006 14:43 238 mafosav.INI 30.07.2006 15:49 295 system.ini 30.07.2006 12:53 30.104 KB896358.log 29.07.2006 23:02 249.856 Setup1.exe 29.07.2006 23:01 73.216 ST6UNST.EXE 29.07.2006 22:04 609 win.ini 13.07.2006 19:17 390 wincmd.ini 13.07.2006 19:13 381 wcx_ftp.ini 12.07.2006 22:12 1.374 imsins.log 12.07.2006 22:12 28.525 ocmsn.log 12.07.2006 22:12 11.841 KB917159.log 12.07.2006 22:12 27.318 msgsocm.log 12.07.2006 22:12 289.043 ocgen.log 12.07.2006 22:12 212.806 tsoc.log 12.07.2006 22:12 78.548 iis6.log 12.07.2006 22:12 180.759 comsetup.log 12.07.2006 22:12 112.467 ntdtcsetup.log 12.07.2006 22:12 517.626 FaxSetup.log 12.07.2006 22:12 12.356 KB914388.log 12.07.2006 22:12 1.374 imsins.BAK 12.07.2006 22:12 32.365 updspapi.log 12.07.2006 22:11 10.356 KB916595.log 28.06.2006 13:45 14.522 WgaNotify.log 23.06.2006 14:19 4.456 DirectX.log 21.06.2006 15:17 627 avmcoins.log 15.06.2006 08:26 31.884 spupdsvc.log 14.06.2006 14:49 14.935 KB917734.log 14.06.2006 14:49 167.781 wmsetup.log 14.06.2006 14:47 16.787 KB918439.log 14.06.2006 14:47 17.473 KB917344.log 14.06.2006 14:46 16.434 KB917953.log 14.06.2006 14:46 16.412 KB911280.log 14.06.2006 14:46 19.421 KB916281.log 14.06.2006 14:45 11.583 KB914389.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70C5-95DB Verzeichnis von C:\WINDOWS\system32 09.08.2006 13:49 270.987 gjkmp.ini 09.08.2006 13:45 1.158 wpa.dbl 09.08.2006 13:43 50.239 nvapps.xml 09.08.2006 02:28 268.759 gjkmp.bak1 09.08.2006 02:28 573.492 pmkjg.dll 09.08.2006 01:31 13.312 b97b3329.exe 09.08.2006 01:31 40.973 pmnmmli.dll 20.07.2006 20:46 209.608 TABCTL32.OCX 13.07.2006 18:38 14.047 vgl.log 13.07.2006 12:02 380.486 perfh009.dat 13.07.2006 12:02 52.900 perfc009.dat 13.07.2006 12:02 391.330 perfh007.dat 13.07.2006 12:02 63.778 perfc007.dat 13.07.2006 12:02 897.960 PerfStringBackup.INI 07.07.2006 03:21 6.757.792 MRT.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70C5-95DB Verzeichnis von C:\DOKUME~1\Sigurd\LOKALE~1\Temp 09.08.2006 13:48 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}28513.html 09.08.2006 13:46 16.384 ~DF25C4.tmp 09.08.2006 13:46 512 ~DF1113.tmp 09.08.2006 13:46 16.384 ~DF1101.tmp 09.08.2006 04:03 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31089.html 03.08.2006 21:45 148 FEE5E75C.TMP 6 Datei(en) 35.389 Bytes 0 Verzeichnis(se), 14.499.512.320 Bytes frei Combofix: Start Time= 09.08.2006 13:53:47,29 Running from: C:\Dokumente und Einstellungen\Sigurd\Desktop QuickScan did not find any signs of infected files (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-08-09 02:28:10 573492 ( ..SH. ) "C:\WINDOWS\system32\pmkjg.dll" 2006-08-09 02:12:10 ( .D... ) "C:\Programme\CleanUp!" 2006-08-09 01:31:20 ( .D... ) "C:\Programme\Gemeinsame Dateien\{70C595DB-05BA-1031-0207-020429020031}" 2006-08-09 01:31:16 13312 ( A.... ) "C:\WINDOWS\system32\b97b3329.exe" 2006-08-09 01:31:10 40973 ( ..SH. ) "C:\WINDOWS\system32\pmnmmli.dll" 2006-07-29 23:02:02 249856 ( ..... ) "C:\WINDOWS\Setup1.exe" 2006-07-29 23:01:58 73216 ( A.... ) "C:\WINDOWS\ST6UNST.EXE" 2006-07-23 23:38:26 ( .D... ) "C:\Programme\Cyanide" 2006-07-14 12:21:02 ( .D... ) "C:\Programme\MIKSOFT" 2006-06-18 02:46:34 ( .D... ) "C:\Programme\TuneUp Utilities 2006" 2006-06-18 02:46:34 ( .D... ) "C:\Dokumente und Einstellungen\Sigurd\Anwendungsdaten\TuneUp Software" 2006-06-18 02:45:38 ( .D... ) "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard" 2006-06-02 13:39:46 402736 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll" 2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll" 2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll" 2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll" 2004-03-11 13:27:22 40960 ( A.... ) "C:\Programme\Uninstall_CDS.exe" (((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))))))))))))))))))))))))))))) 2006-08-09 03:27 536.399.872 C:\hiberfil.sys 2006-08-09 03:20 53.248 C:\WINDOWS\system32\Process.exe 2006-08-09 03:20 42.496 C:\WINDOWS\system32\swreg.exe 2006-08-09 03:20 40.960 C:\WINDOWS\system32\swsc.exe 2006-08-09 03:20 288.417 C:\WINDOWS\system32\SrchSTS.exe 2006-08-09 02:28 573.492 C:\WINDOWS\system32\pmkjg.dll 2006-08-09 02:07 13.312 C:\WINDOWS\system32\b97b3329.exe 2006-08-09 01:31 40.973 C:\WINDOWS\system32\pmnmmli.dll 2006-07-29 23:01 249.856 C:\WINDOWS\Setup1.exe 2006-07-25 15:05 86.016 C:\WINDOWS\unvise32.exe 2006-07-13 18:18 192.512 C:\WINDOWS\system32\vgl.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "ThrustTSR"="C:\\Programme\\Thrustmaster\\Thrustmapper\\TMTMTSR.exe" "VSOCheckTask"="\"c:\\PROGRA~1\\mcafee.com\\vso\\mcmnhdlr.exe\" /checktask" "VirusScan Online"="\"c:\\PROGRA~1\\mcafee.com\\vso\\mcvsshld.exe\"" "MCAgentExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe" "MCUpdateExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe" "RemoteControl"="\"C:\\Programme\\CyberLink DVD Solution\\PowerDVD\\PDVDServ.exe\"" "AccG160"="C:\\PROGRA~1\\WLANQU~1\\AccG160.exe" "WLAN Quick-Starter"="\"C:\\Programme\\WLAN Quick-Starter\\WLAN Quick-Starter.exe\" -update" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "b97b3329.exe"="C:\\WINDOWS\\system32\\b97b3329.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "b97b3329.exe"="C:\\Dokumente und Einstellungen\\Sigurd\\Lokale Einstellungen\\Anwendungsdaten\\b97b3329.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run] "{70C595DB-05BA-1031-0207-020429020031}"="\"C:\\Programme\\Gemeinsame Dateien\\{70C595DB-05BA-1031-0207-020429020031}\\Update.exe\" mc-110-12-0000272" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,d0,01,00,00,00,00,00,00,30,03,00,00,e2,03,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,d0,01,00,00,00,00,00,00,30,03,00,00,e2,03,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" Contents of the 'Scheduled Tasks' folder Completion time: 09.08.2006 13:54:27,71 ComboFix ver 06.07.15/29 - This logfile is located at C:\ComboFix.txt Dieser Beitrag wurde am 09.08.2006 um 13:56 Uhr von D-X editiert.
|
|
|
||
09.08.2006, 14:34
Ehrenmitglied
Beiträge: 29434 |
#95
D-X
1. gehe in die Registry Start - Ausfuehren - regedit ** bearbeiten - suchen - {70C595DB-05BA-1031-0207-020429020031} [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run] "{70C595DB-05BA-1031-0207-020429020031}" <--loeschen ** bearbeiten - suchen - incestuously incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} <---loeschen ------------------------------------------------------------------------------------------------- 2- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT42. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten loesche: C:\Programme\Gemeinsame Dateien\{70C595DB-05BA-1031-0207-020429020031} ** scanne mit smitfraud.fix http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2006, 14:51
...neu hier
Beiträge: 6 |
#96
So danke schonmal.
incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} <---loeschen hat er nicht gefunden, also kont ichs net löschen. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\xlwtiktu ******************* Script file located at: \??\C:\WINDOWS\qrvjvojf.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\gjkmp.ini deleted successfully. File C:\WINDOWS\system32\gjkmp.bak1 deleted successfully. File C:\WINDOWS\system32\pmkjg.dll deleted successfully. File C:\WINDOWS\system32\b97b3329.exe deleted successfully. Could not open file C:\Dokumente und Einstellungen\Sigurd\\Lokale Einstellungen\Anwendungsdaten\b97b3329.exe for deletion Deletion of file C:\Dokumente und Einstellungen\Sigurd\\Lokale Einstellungen\Anwendungsdaten\b97b3329.exe failed! Could not process line: C:\Dokumente und Einstellungen\Sigurd\\Lokale Einstellungen\Anwendungsdaten\b97b3329.exe Status: 0xc0000033 File C:\WINDOWS\system32\pmnmmli.dll deleted successfully. File C:\WINDOWS\system32\urroxtl.dll not found! Deletion of file C:\WINDOWS\system32\urroxtl.dll failed! Could not process line: C:\WINDOWS\system32\urroxtl.dll Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Smitfraudfix: SmitFraudFix v2.81 Scan done at 14:56:06,39, 09.08.2006 Run from C:\Dokumente und Einstellungen\Sigurd\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Sigurd\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\SIGURD\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Dieser Beitrag wurde am 09.08.2006 um 14:56 Uhr von D-X editiert.
|
|
|
||
09.08.2006, 15:22
Ehrenmitglied
Beiträge: 29434 |
#97
D-X
scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html + das neue Log vom HijacktHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2006, 15:27
...neu hier
Beiträge: 6 |
#98
Logfile of HijackThis v1.99.1
Scan saved at 15:26:02, on 09.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ICQLite\ICQLite.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Magic Keyboard\MagicKey.exe C:\Programme\GetRight\getright.exe C:\Programme\Magic Keyboard\OSD.EXE C:\Programme\GetRight\getright.exe C:\Programme\ZyXEL Technology Corporation\ZyAIR G-220 Utility\ZDWlan.exe c:\progra~1\mcafee.com\vso\mcvsftsn.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Sigurd\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {23D742C0-06F0-4B97-A73A-4B0DFD121763} - C:\WINDOWS\system32\pmkjg.dll (file missing) O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Magic Keyboard.lnk = C:\Programme\Magic Keyboard\MagicKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: ZDWlan.lnk = ? O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Games\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Games\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127141886203 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: pmkjg - C:\WINDOWS\system32\pmkjg.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: winrvc32 - winrvc32.dll (file missing) O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe Aber wo is der DL Link zu Panda hab nix gefunden ?? |
|
|
||
09.08.2006, 15:43
Ehrenmitglied
Beiträge: 29434 |
#99
1.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)PC neustarten scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2006, 16:32
...neu hier
Beiträge: 6 |
#100
Incident Status Location
Adware:Adware/SystemDoctor Not disinfected C:\Dokumente und Einstellungen\Sigurd\Lokale Einstellungen\Anwendungsdaten\b97b3329.exe Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@atwola[1].txt Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@atdmt[1].txt Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@weborama[2].txt Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@stats1.reliablestats[1].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@doubleclick[1].txt Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@server.iad.liveperson[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@as1.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@as-eu.falkag[1].txt Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@mediaplex[1].txt Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Sigurd\Cookies\sigurd@2o7[1].txt Hab Cookies nun gelöscht und diese Adware Datei per Hand gelöscht. Ist nun alles weg ? Dieser Beitrag wurde am 09.08.2006 um 16:42 Uhr von D-X editiert.
|
|
|
||
09.08.2006, 17:46
Ehrenmitglied
Beiträge: 29434 |
#101
wenn das geloescht ist, ist alles wieder o.k.
C:\Dokumente und Einstellungen\Sigurd\Lokale Einstellungen\Anwendungsdaten\b97b3329.exe (ich hatte im Avenger einen Fehler gemacht, deshalb wurde sie nicht gleich dort geloescht)..... Alles Gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2006, 17:48
...neu hier
Beiträge: 6 |
||
|
||
10.08.2006, 23:23
...neu hier
Beiträge: 9 |
#103
Zitat Sabina posteteHallo Sabina, ich habe die angegebenen Verzeichnisse und Ordner gelöscht, den Papierkorb geleert, alle von Counterspy entdeckten und infizierten Daten gelöscht. Hier der Report: Spyware Scan Details Start Date: 10.08.2006 22:48:53 End Date: 10.08.2006 23:18:47 Total Time: 29 mins 54 secs Detected spyware No spyware were found during this scan. Äusserlich scheint jetzt alles sauber. Was meinst Du? Danke, Stefan |
|
|
||
10.08.2006, 23:38
Ehrenmitglied
Beiträge: 29434 |
#104
ueberflieger
TuneUp 2006 (30 Tage free) Shareware http://virus-protect.org/reinigungstoolsregistry.html wende an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner Verzeichnis von C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp - muss leer sein ! ------------- Ich denke, du kannst nun beruhigt sein, wenn es wieder mal Probleme geben sollte, weisst du ja, wo du mich findest Sei vorsichtiger, ehe du einen Download oder anderes im Net akzeptierst..... Mit P2P- musst du auch aufpassen, dass du nicht das Falsche klickst...usw... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.08.2006, 22:28
...neu hier
Beiträge: 9 |
#105
Hi Sabina,
ich habe alle Anweisungen strikt befolgt! WAHNSINN, mein PC ist um 20kg leichter und mindestens genausoviel jünger und gesünder geworden! Ich werde ihn in Zukunft nur noch mit kontrollierten Mitteln füttern! DANKE nochmals ganz herzlich! Eine kleine Frage sei mir gestattet: wer oder was treibt Dich zu soviel uneigennütziger Hilfe? Gruß, Stefan |
|
|
||
1.
Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen- bestreak
loesche:
bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d}
**
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein
Zitat
Klicke die gruene Ampeldas Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
3.
poste das log von combofix
http://virus-protect.org/artikel/tools/combofix.html
4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina
rund um die PC-Sicherheit