Ich kann Spywarequake nicht entfernen

#0
12.08.2006, 11:01
...neu hier

Beiträge: 2
#106 Guten Tag zusammen,
ich hätte da auch ein Problem mit meinem Rechner, wobei ich leider nicht genau weis was es ist.
Könnten sie evtl mal über den Hijack scan schauen?

Mit Freundlichen Grüßen
Lars

Logfile of HijackThis v1.99.1
Scan saved at 10:46:45, on 12.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVK\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\windows\System32\svchost.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\Firewall\GDFwSvc.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\windows\system32\wscntfy.exe
C:\windows\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
C:\windows\Mixer.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVKTray\AVKTray.exe
C:\WINDOWS\VM_STI.EXE
C:\windows\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\Firewall\GDFirewallTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\windows\system32\lxcecoms.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\windows\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe
C:\Dokumente und Einstellungen\chriss\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity praesentiert von AOL\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity praesentiert von AOL\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE WEBSHOT II USB CAM 300K
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [PicMeUp Scheduler] C:\Programme\PicMeUp\scheduler.exe -tray
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Event Reminder.lnk = C:\Programme\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: Mah Jong Garden by pogo - http://game1.pogo.com/applet-6.4.2.30/mahjong/mahjong-ob-assets.cab
O16 - DPF: Phlinx by pogo - http://game1.pogo.com/applet-6.4.2.30/flinger/flinger-ob-assets.cab
O16 - DPF: Pop Fu by pogo - http://game1.pogo.com/applet-6.4.2.30/popfu/popfu-ob-assets.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4A3CF76B-EC7A-405d-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) -
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: G DATA Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity praesentiert von AOL\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\windows\system32\lxcecoms.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (file missing)



Vielen dank im vorraus
Seitenanfang Seitenende
12.08.2006, 12:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#107 dasich87

Zitat

ich hätte da auch ein Problem mit meinem Rechner, wobei ich leider nicht genau weis was es ist.
Wenn du das Problem nicht definieren kannst, und du sitzt vor dem Rechner, wie soll ich es ???????

1.
poste bitte dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.08.2006, 13:17
...neu hier

Beiträge: 9
#108 Hallo Sabina,
jetzt hab ich doch noch ein Problem:
Ich habe nebst Deinen Tipps

Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner


gleich noch alle anderen Optimierungen dieses Anbieters angewendet. Jetzt springt bei der kleinsten Aktivität meiner CPU der Lüfter auf volle Leistung an - ziemlich laut. Erst nachdem die CPU wieder weniger ausgelastet ist, wird der Lüfter leiser!
Wie kann das sein? Irgendwie hat sich da bei der CPU-Lüfter-Steuerung etwas geändert!
Hast Du einen Tipp für mich?
Danke,
Stefan
Seitenanfang Seitenende
12.08.2006, 13:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#109 ueberflieger

beide Funktionen vom Tuneup haben nichts mit der CPU zu tun.
Schraube bitte mal den Tower auf und pinsel vorsichtig den Staub raus, der sich dort bestimmt angesammelt hat.
Berichte, ob der Rechner innen verdreckt war oder sauber, dann sehen wir weiter ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.08.2006, 18:37
...neu hier

Beiträge: 2
#110 hier die combofix log



Start Time= 12.08.2006 18:28:52,57
Running from: C:\Dokumente und Einstellungen\chriss\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-12 11:35:26 ( .D... ) "C:\Programme\Spyware Doctor"
2006-08-12 11:35:26 ( .D... ) "C:\Dokumente und Einstellungen\chriss\Anwendungsdaten\PC Tools"
2006-08-11 23:13:48 ( .D... ) "C:\Programme\Mozilla Firefox 2 Beta 1"
2006-08-10 22:27:34 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-08-10 22:24:12 ( .D... ) "C:\Programme\Gemeinsame Dateien\SWF Studio"
2006-08-05 22:18:34 ( .D... ) "C:\Programme\GameWiz32"
2006-08-05 15:00:00 ( .D... ) "C:\Programme\DeepSilver"
2006-08-04 20:19:08 ( .D... ) "C:\Programme\Monte Cristo"
2006-07-30 19:31:58 ( .D... ) "C:\Programme\AvantGo Connect"
2006-07-30 19:31:56 ( .D... ) "C:\Programme\Common Files"
2006-07-30 19:31:30 ( .D... ) "C:\Programme\Microsoft ActiveSync"
2006-07-28 16:45:18 21840 ( A.... ) "C:\WINDOWS\system32\SIntfNT.dll"
2006-07-28 16:45:18 17212 ( A.... ) "C:\WINDOWS\system32\SIntf32.dll"
2006-07-28 16:45:18 12067 ( A.... ) "C:\WINDOWS\system32\SIntf16.dll"
2006-07-26 14:49:02 ( .D... ) "C:\Programme\Pure Pinball"
2006-07-22 10:57:56 ( .D... ) "C:\Programme\Quiz"
2006-07-19 10:28:10 43520 ( A.... ) "C:\WINDOWS\system32\CmdLineExt03.dll"
2006-07-14 16:22:12 ( .D... ) "C:\Programme\directx"
2006-05-16 20:17:06 52858 ( A.... ) "C:\WINDOWS\system32\interceptor.sys"
2006-05-16 20:16:42 45056 ( A.... ) "C:\WINDOWS\system32\WNASPI32.DLL"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-04 19:55 53.248 C:\gendel32.exe
2006-07-30 19:31 77.903 C:\windows\system32\rapi.dll
2006-07-30 19:31 65.619 C:\windows\system32\pmailext.dll
2006-07-30 19:31 65.617 C:\windows\system32\ppvexp.dll
2006-07-30 19:31 61.523 C:\windows\system32\MsgStRPC.dll
2006-07-30 19:31 36.946 C:\windows\system32\ppcload.dll
2006-07-30 19:31 24.657 C:\windows\system32\ceutil.dll
2006-07-30 19:31 24.656 C:\windows\system32\uicom.dll
2006-07-30 19:31 114.688 C:\windows\system32\malslib.dll
2006-07-26 14:52 86.016 C:\windows\unvise32.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"SunJavaUpdateSched"="C:\\PROGRA~1\\Java\\J2RE14~1.2\\bin\\jusched.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"C-Media Mixer"="Mixer.exe /startup"
"C-Media Echo Control"="C:\\Programme\\PCI Audio Applications\\Bin\\EchoCtrl.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"FaxCenterServer"="\"C:\\Programme\\Lexmark Fax Solutions\\fm3032.exe\" /s"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"LXCECATS"="rundll32 C:\\windows\\System32\\spool\\DRIVERS\\W32X86\\3\\LXCEtime.dll,_RunDLLEntry@16"
"AVKTray"="\"C:\\Programme\\G DATA InternetSecurity praesentiert von AOL\\AVKTray\\AVKTray.exe\""
"BigDogPath"="C:\\WINDOWS\\VM_STI.EXE WEBSHOT II USB CAM 300K"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\windows\\system32\\ctfmon.exe"
@=""
"PicMeUp Scheduler"="C:\\Programme\\PicMeUp\\scheduler.exe -tray"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000003

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
Hier nochmal die Combofix Log Datei...



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""




Contents of the 'Scheduled Tasks' folder
C:\windows\tasks\1-Klick-Wartung.job

Completion time: 12.08.2006 18:29:23,26
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt

ComboFix.2006-08-12.182852.txt


Wenn du das Problem nicht definieren kannst, und du sitzt vor dem Rechner, wie soll ich es ???????


Hier die DatFindBat


sys.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 840E-D9D3

Verzeichnis von C:\

12.08.2006 18:46 0 sys.txt
12.08.2006 18:46 10.799 system.txt
12.08.2006 18:45 356 systemtemp.txt
12.08.2006 18:44 119.783 system32.txt
12.08.2006 18:29 7.071 ComboFix.txt
12.08.2006 18:14 7.030 ComboFix.2006-08-12.182852.txt
12.08.2006 18:00 804.569.088 pagefile.sys
18.07.2006 23:33 371 lxce.log
07.05.2006 00:00 1.024 $@sdntvt_optimize.tmp
28.03.2006 14:49 176 lxcescan.log
28.03.2006 14:43 670 LXCEINST.csv
28.03.2006 14:42 240 CDFE.log
16.03.2006 09:38 149 LxDasi.Log
13.03.2005 20:30 47.564 NTDETECT.COM
13.03.2005 20:30 251.184 ntldr
26.04.2004 10:31 0 IO.SYS
26.04.2004 10:31 0 MSDOS.SYS
18.08.2001 21:00 4.952 bootfont.bin
27.03.2001 00:00 53.248 gendel32.exe
19 Datei(en) 805.073.705 Bytes
0 Verzeichnis(se), 109.720.887.296 Bytes frei

system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 840E-D9D3

Verzeichnis von C:\WINDOWS\system32

12.08.2006 18:00 3.576 ikhcore.log
11.08.2006 23:32 312.946 perfh009.dat
11.08.2006 23:32 318.106 perfh007.dat
11.08.2006 23:32 40.664 perfc009.dat
11.08.2006 23:32 49.028 perfc007.dat
11.08.2006 23:32 726.088 PerfStringBackup.INI
03.08.2006 21:35 2.206 wpa.dbl
28.07.2006 16:45 21.840 SIntfNT.dll
28.07.2006 16:45 17.212 SIntf32.dll
28.07.2006 16:45 12.067 SIntf16.dll
19.07.2006 10:28 43.520 CmdLineExt03.dll
14.07.2006 15:20 4.096 crash
16.05.2006 20:17 52.858 interceptor.sys
16.05.2006 20:16 45.056 WNASPI32.DLL
29.04.2006 21:23 230.392 FNTCACHE.DAT


Sytem.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 840E-D9D3

Verzeichnis von C:\WINDOWS

12.08.2006 18:29 188.764 setupact.log
12.08.2006 18:00 0 0.log
12.08.2006 18:00 159 wiadebug.log
12.08.2006 18:00 313 wiaservc.log
12.08.2006 18:00 2.048 bootstat.dat
12.08.2006 14:13 32.558 SchedLgU.Txt
12.08.2006 14:13 429.574 WindowsUpdate.log
11.08.2006 23:32 521.480 iis6.log
11.08.2006 23:32 75.911 tsoc.log
11.08.2006 23:32 5.670 tabletoc.log
11.08.2006 23:32 52.851 comsetup.log
11.08.2006 23:32 4.566 imsins.log
11.08.2006 23:32 37.108 ntdtcsetup.log
11.08.2006 23:32 9.037 ocmsn.log
11.08.2006 23:32 13.557 medctroc.Log
11.08.2006 23:32 121.055 ocgen.log
11.08.2006 23:32 7.658 msgsocm.log
11.08.2006 23:32 136.103 FaxSetup.log
11.08.2006 23:32 21.680 netfxocm.log
11.08.2006 23:32 91.660 msmqinst.log
11.08.2006 21:44 926 win.tmp
11.08.2006 21:44 926 win.ini
10.08.2006 10:16 54.156 QTFont.qfn
05.08.2006 20:23 740.914 setupapi.log
04.08.2006 19:55 1.246 wininit.ini
04.08.2006 19:52 81 disney.ini
03.08.2006 22:43 385.586 wmsetup.log
30.07.2006 19:31 2.510 Microsoft.MIF
30.07.2006 19:31 2.464 $_hpcst$.hpc
22.07.2006 11:34 49.813 DirectX.log
29.06.2006 16:53 386 hegames.ini
19.06.2006 18:21 116 NeroDigital.ini
16.05.2006 20:17 666 KB829558.log
16.05.2006 20:15 506 LUINSTALL.LOG

systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 840E-D9D3

Verzeichnis von C:\DOKUME~1\chriss\LOKALE~1\Temp

12.08.2006 18:42 240 datFind.zip
12.08.2006 18:03 16.384 Perflib_Perfdata_954.dat
2 Datei(en) 16.624 Bytes
0 Verzeichnis(se), 109.720.903.680 Bytes frei

Aha jetzt hab ichs...!

Ich hoffe da ist mehr zu erkennen...

Nochmals Danke
MfG
Lars
Dieser Beitrag wurde am 12.08.2006 um 19:41 Uhr von dasich87 editiert.
Seitenanfang Seitenende
12.08.2006, 23:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#111 dasich87

du hast mir immer noch nicht erklaert, was genau mit deinem Rechner nicht "stimmt" ? kannst du es erklaeren ?
Hat dein Virenscanner etwas gefunden oder gibt es PopUps oder oder ....?

**
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\gendel32.exe
C:\windows\unvise32.exe


poste den report hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 00:44
...neu hier

Beiträge: 10
#112 Hallo Sabina,
ich habe mir vor einigen Tagen spywarequake eingefangen. Dauernd kommen PopUps zum Vorschein.
Ich habe schon mal einige Anweisungen befolgt und hier die 4 Logs und das Logfile of HijackThis.

Da ich leider nicht viel Ahnung habe, bedanke ich mich schon mal im Voraus für Deine Hilfe

MfG
aschulo

Datentr„ger in Laufwerk C: ist Root
Volumeseriennummer: A4D9-8B0C

Verzeichnis von C:\

14.08.2006 23:49 0 sys.txt
14.08.2006 23:49 9.057 system.txt
14.08.2006 23:49 360 systemtemp.txt
14.08.2006 23:48 101.928 system32.txt
14.08.2006 23:36 2.145.386.496 pagefile.sys
14.08.2006 01:40 156 dlcc.log
01.08.2006 22:25 10.124 dlccscan.log
22.05.2006 22:05 0 CONFIG.SYS
22.05.2006 22:05 0 MSDOS.SYS
22.05.2006 22:05 0 IO.SYS
22.05.2006 22:05 0 AUTOEXEC.BAT
22.05.2006 21:56 317 boot.ini
10.08.2004 14:00 4.952 bootfont.bin
10.08.2004 14:00 47.564 NTDETECT.COM
10.08.2004 14:00 251.184 ntldr
15 Datei(en) 2.145.812.138 Bytes
0 Verzeichnis(se), 20.577.566.720 Bytes frei

Datentr„ger in Laufwerk C: ist Root
Volumeseriennummer: A4D9-8B0C

Verzeichnis von C:\WINDOWS\system32

13.08.2006 22:07 176.128 viruxz.dll
08.08.2006 21:44 2.206 wpa.dbl
03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:30 3.079.168 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:42 617.472 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
15.07.2006 01:03 504.262 perfh007.dat
15.07.2006 01:03 87.994 perfc009.dat
15.07.2006 01:03 475.304 perfh009.dat
15.07.2006 01:03 103.390 perfc007.dat
15.07.2006 01:03 1.186.680 PerfStringBackup.INI
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
29.06.2006 17:29 808 preinst.log
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll


Datentr„ger in Laufwerk C: ist Root
Volumeseriennummer: A4D9-8B0C

Verzeichnis von C:\WINDOWS

14.08.2006 23:44 1.075.893 WindowsUpdate.log
14.08.2006 23:39 4.144 ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
14.08.2006 23:39 5.184.054 BGInfo.bmp
14.08.2006 23:38 0 0.log
14.08.2006 23:37 159 wiadebug.log
14.08.2006 23:37 50 wiaservc.log
14.08.2006 23:36 2.048 bootstat.dat
14.08.2006 23:35 32.636 SchedLgU.Txt
13.08.2006 21:48 116 NeroDigital.ini
09.08.2006 03:02 30.694 ehOCGen.log
09.08.2006 03:02 81.814 MedCtrOC.log
09.08.2006 03:02 981.474 iis6.log
09.08.2006 03:02 183.557 comsetup.log
09.08.2006 03:02 111.435 ntdtcsetup.log
09.08.2006 03:02 28.915 ocmsn.log
09.08.2006 03:02 26.174 tabletoc.log
09.08.2006 03:02 245.459 tsoc.log
09.08.2006 03:02 1.355 imsins.log
09.08.2006 03:02 17.353 KB920214.log
09.08.2006 03:02 105.265 netfxocm.log
09.08.2006 03:02 262.294 ocgen.log
09.08.2006 03:02 63.438 plusoc.log
09.08.2006 03:02 26.329 msgsocm.log
09.08.2006 03:02 530.627 FaxSetup.log
09.08.2006 03:02 159.566 msmqinst.log
09.08.2006 03:02 1.355 imsins.BAK


Datentr„ger in Laufwerk C: ist Root
Volumeseriennummer: A4D9-8B0C

Verzeichnis von C:\DOKUME~1\SCHULO\LOKALE~1\Temp

14.08.2006 23:39 16.384 Perflib_Perfdata_1300.dat
14.08.2006 23:39 16.384 Perflib_Perfdata_ab4.dat
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 20.577.583.104 Bytes frei


Logfile of HijackThis v1.99.1
Scan saved at 23:57:54, on 14.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\IntCodec\isamonitor.exe
C:\Programme\IntCodec\isamini.exe
C:\Programme\IntCodec\pmsngr.exe

C:\WINDOWS\ehome\ehtray.exe
C:\Programme\IntCodec\pmmon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dlcccoms.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\tmp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Programme\IntCodec\isaddon.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\IntCodec\iesplugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [dlccmon.exe] "C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe"
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [SpyQuake2.com] C:\Programme\SpyQuake2.com\Spy-Quake2.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Verknüpfung mit Bginfo.exe.lnk = C:\WINDOWS\Bginfo.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
Seitenanfang Seitenende
15.08.2006, 00:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#113 aschulo

0.
Gehe in die Registry
Start - Ausfuehren - regedit
oben links findest du bearbeiten - suchen - kopiere rein und klicke auf "suchen"

viruxz.dll
bestreak

loesche das rot markierte in der Registry

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll

-----------------------------------------------------------------------

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\Programme\IntCodec\isaddon.dll
C:\Programme\IntCodec\isamini.exe
C:\Programme\IntCodec\isamonitor.exe
C:\Programme\IntCodec\iesplugin.dll
C:\Programme\IntCodec\iesuninst.exe
C:\Programme\IntCodec\isauninst.exe
C:\Programme\IntCodec\pmmon.exe
C:\Programme\IntCodec\pmsngr.exe
C:\Programme\IntCodec\pmuninst.exe
C:\Programme\IntCodec\ts.ico
C:\Programme\IntCodec\ot.ico
C:\WINDOWS\system32\viruxz.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
scanne mit Smitfraudfix nach Anleitung , so wird geloescht: C:\Programme\SpyQuake2.com
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
loesche:
C:\Programme\IntCodec

**
scanne mit ewido (Online) und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 01:29
...neu hier

Beiträge: 10
#114 Hallo Sabina,
das ging ja sehr schnell.
Im dritten Anlauf hat es geklappt.

Mfg aschulo
Dieser Beitrag wurde am 15.08.2006 um 01:42 Uhr von aschulo editiert.
Seitenanfang Seitenende
15.08.2006, 01:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#115 o.k.
arbeite dann alles weitere genau ab und poste die reporte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 04:19
...neu hier

Beiträge: 10
#116 Hallo Sabina,

nachfolgend das Log vom ewido-scan.

C:\Programme\IntCodec habe ich nicht gefunden.

Es scheint jetzt alles ok zu sein, die Symbole von skywarequake sind verschwunden.

Muß ich jetzt noch was löschen oder tun?

Vielen, vielen Dank für die Hilfe
aschulo

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 15. August 2006 04:06:43
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 15/08/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 202286
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
G:\
Z:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 97310
Viren gefunden: 4
Infizierte Objekte gefunden: 34 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:59:51

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\avenger\backup.zip/avenger/isaddon.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\avenger\backup.zip/avenger/isamini.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\avenger\backup.zip/avenger/isamonitor.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\avenger\backup.zip/avenger/isauninst.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\avenger\backup.zip/avenger/pmmon.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\avenger\backup.zip/avenger/pmsngr.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\avenger\backup.zip/avenger/viruxz.dll Infizierte Objekte: not-virus:Hoax.Win32.Renos.dp übersprungen
C:\avenger\backup.zip ZIP: infiziert - 7 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware\vmnetdhcp.leases Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\MSDVRMM_2765720332_3014656_44641 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE1.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\{0361BC2B-4BCD-4C33-8353-F32D10502311}.TmpSBE Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\DRM\drmstore.hds Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\udlog.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Anwendungsdaten\winantispyware2006freeinstall[1].exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.alr übersprungen
C:\Dokumente und Einstellungen\SCHULO\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Temp\Perflib_Perfdata_13d8.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Temp\Perflib_Perfdata_c80.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006081520060816\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\SCHULO\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\00000002.ps1 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\00000002.ps2 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\00010004.ci Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\cicat.fid Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\cicat.hsh Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\CiCL0001.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\CiP10000.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\CiP20000.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\CiPT0000.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\CiSL0001.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\CiSP0000.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\CiST0000.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\CiVP0000.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\INDEX.000 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\propstor.bk1 Das Objekt ist gesperrt übersprungen
C:\Inetpub\catalog.wci\propstor.bk2 Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\00000002.ps1 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\00000002.ps2 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\00010006.ci Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\cicat.fid Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\cicat.hsh Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiCL0001.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiP10000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiP20000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiPT0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiSL0001.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiSP0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiST0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiVP0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\INDEX.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\propstor.bk1 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\propstor.bk2 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP62\A0007568.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP62\A0007569.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP62\A0007570.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007631.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007632.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007633.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007659.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007660.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007661.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007839.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007840.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007841.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007857.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007858.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007859.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007883.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007884.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007885.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007899.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007900.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007901.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007902.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ael übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007904.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007905.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.yt übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\A0007908.dll Infizierte Objekte: not-virus:Hoax.Win32.Renos.dp übersprungen
C:\System Volume Information\_restore{45CC350B-2B13-4786-9A46-C37421AA9441}\RP64\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{462980F1-DDB5-409C-A93C-952437E7BBE7}.crmlog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\MsDtc\MSDTC.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\msmq\storage\QMLog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_a50.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_be4.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Seitenanfang Seitenende
15.08.2006, 13:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#117 aschulo

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
1.
Avenger:

Zitat

Files to delete:

C:\Dokumente und Einstellungen\SCHULO\Anwendungsdaten\winantispyware2006freeinstall[1].exe
3.
C:\avenger\backup.zip - loeschen

4.
scanne mit panda und poste den sanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 14:59
...neu hier

Beiträge: 10
#118 Hatte Pkt 1 vergessen, fange nochmal an


Ergebnis von listen.bat:
Datentr„ger in Laufwerk C: ist Root
Volumeseriennummer: A4D9-8B0C

Verzeichnis von C:\Windows\System32\Com

23.05.2006 14:10 <DIR> .
23.05.2006 14:10 <DIR> ..
26.07.2005 06:39 195.072 comadmin.dll
10.08.2004 14:00 61.440 comempty.dat
10.08.2004 14:00 77.348 comexp.msc
10.08.2004 14:00 9.728 comrepl.exe
10.08.2004 14:00 5.120 comrereg.exe
10.08.2004 14:00 19.456 mtsadmin.tlb
6 Datei(en) 368.164 Bytes
2 Verzeichnis(se), 23.197.925.376 Bytes frei
Datentr„ger in Laufwerk C: ist Root
Volumeseriennummer: A4D9-8B0C

Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist Root
Volumeseriennummer: A4D9-8B0C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
16.06.2004 06:02 323.584 isusweb.dll
08.08.2006 11:45 576 kavwebscan.inf
29.06.2005 17:17 227 opuc.inf
27.03.2006 13:00 5.019 swflash.inf
6 Datei(en) 550.590 Bytes
0 Verzeichnis(se), 23.197.921.280 Bytes frei
Datentr„ger in Laufwerk C: ist Root
Volumeseriennummer: A4D9-8B0C

edit (Sabina)



pandascan-log:

Incident Status Location

Adware:Adware/SpywareQuake Not disinfected C:\avenger\backup-15.08.2006-13.45.35,57.zip[avenger/viruxz.dll]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\SCHULO\Cookies\schulo@2o7[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\SCHULO\Cookies\schulo@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\SCHULO\Cookies\schulo@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\SCHULO\Cookies\schulo@doubleclick[2].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\SCHULO\Cookies\schulo@mediaplex[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\SCHULO\Cookies\schulo@tradedoubler[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\SCHULO\Desktop\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/ErrorSafe Not disinfected C:\RECYCLER\S-1-5-21-776561741-861567501-1801674531-1003\Dc3.zip[avenger/winantispyware2006freeinstall[1].exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\tmp\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Dieser Beitrag wurde am 15.08.2006 um 16:03 Uhr von aschulo editiert.
Seitenanfang Seitenende
15.08.2006, 16:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#119 aschulo

1.
leere den Papierkorb

2.
zu loeschen waere:
C:\RECYCLER\S-1-5-21-776561741-861567501-1801674531-1003\Dc3.zip
C:\avenger\backup-15.08.2006-13.45.35,57.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 17:04
...neu hier

Beiträge: 10
#120 Hallo Sabina,
ich nehme an, Dein Beitrag von 16:26 war für mich.

Das Directory C:\RECYCLER finde ich nicht.
Bei der Suche nach Dc3.zip wurde nichts gefunden
Das Directory S-1-5-21-776561741-861567501-1801674531-1003 gibt es 5mal in
1. C:\WINDOWS\system32\appmgmt
2. C:\Dokumente und Einstellungen\SCHULO\Anwendungsdaten\Microsoft\Credentials
3. C:\Dokumente und Einstellungen\SCHULO\Anwendungsdaten\Microsoft\Protect
4. C:\Dokumente und Einstellungen\SCHULO\Anwendungsdaten\Microsoft\Crypto\RSA
5. C:\Dokumente und Einstellungen\SCHULO\Lokale Einstellungen\Anwendungsdaten\Microsoft\Credentials

nur im 4. gibt es eine Datei, alle anderen sind leer

Sind wir jetzt fertig? Oder gehts noch weiter

MfG aschulo
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: