Ich kann Spywarequake nicht entfernen

#0
25.03.2006, 01:51
Member

Beiträge: 13
#1 Ich habe, dank diesem Forum und den Vorgaben von Sabina, den Spyfalcon erfolgreich entfernen können. Leider war das noch nicht alles, weil eben noch ein weiteres Programm (Spywarequake) sich mit eingenistet hat und sich nicht vollständig entfernen läßt.

Software-Deinstallation bringt nichts. Habe dann hart aus dem Explorer gelöscht. Alleine der ständige POPUP in der Taskleiste nervt. Und ich rechne auch damit das bei Internetconnect sich das Programm nachlädt.

Recherche über alle Foren bei euch oder Google hat keine Ergebnisse gebracht. Anscheinend ist das Programm völlig neu.

Ich habe auch mein hijack-Log auswerten lassen. Es gibt zwar einge böse Einträge, aber nichts was jetzt auf diesen Quake hindeutet.

Nun bitte ich Euch um Rat. Könnt Ihr mir bitte helfen?

Danke für Eure Unterstützung.

Ahh ja - Eben poppt ein "frisches" (obwohl doch gelöschtes) Spyware Quake v.2.0 hoch. Das hat dann doch nur 30 Minuten gedauert bis das Teil wieder aktiv wurde. Löschen bringt also nichts.

Die Gestaltung der GUI ist so ähnlich wie bei Spyfalcon. Ich hab mal einen Screenshot angehängt.


PS: Was bedeutet es, wenn hijackthis sagt ich soll einen Eintrag fixen?

Seitenanfang Seitenende
25.03.2006, 14:01
...neu hier

Beiträge: 1
#2 Habe genau denselben shit auf meinem PC und weiß ebenso nicht, was ich tun soll...?? Kann irgendwer helfen?

Danke.

mfg

Honi
Seitenanfang Seitenende
25.03.2006, 19:28
...neu hier

Beiträge: 1
Seitenanfang Seitenende
26.03.2006, 22:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


---------------------------------------------------------------
Spyware Quake v.2.0
http://virus-protect.org/artikel/spyware/spywarequake.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2006, 21:56
Member

Themenstarter

Beiträge: 13
#5 OK, here we go.

Verzeichnis von C:\

27.03.2006 21:45 0 sys.txt
27.03.2006 21:44 8.124 system.txt
27.03.2006 21:44 717 systemtemp.txt
27.03.2006 21:43 102.928 system32.txt
26.03.2006 09:36 1.073.172.480 hiberfil.sys
26.03.2006 09:36 1.610.612.736 pagefile.sys
25.03.2006 00:12 412 rapport.txt
25.03.2006 00:11 548 rapportspyfalcon2.txt
25.03.2006 00:08 3.775 smitfiles.txt
24.03.2006 13:16 3.186 rapport_SPYFALCON.txt
23.03.2006 22:01 16.824 SDSSetup.log
23.03.2006 20:59 3 TCPCheckResult.txt
17.03.2006 21:43 203 boot.ini
16.02.2006 18:25 4.128 INFCACHE.1
08.02.2006 21:54 4.381 dell.sdr
13.08.2004 14:54 0 IO.SYS
13.08.2004 14:54 0 MSDOS.SYS
13.08.2004 14:54 0 CONFIG.SYS
13.08.2004 14:54 0 AUTOEXEC.BAT
04.08.2004 16:00 4.952 bootfont.bin
04.08.2004 16:00 47.564 NTDETECT.COM
04.08.2004 16:00 251.184 ntldr
11.05.2004 15:43 1 photopnt.exe
11.05.2004 15:43 1 coreldrw.exe
11.05.2004 15:43 1 rave.exe
25 Datei(en) 2.684.234.148 Bytes
0 Verzeichnis(se), 38.530.920.448 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 147E-2636

Verzeichnis von C:\WINDOWS

27.03.2006 09:05 73 MINDMA~1.INI
26.03.2006 21:51 1.100.973 WindowsUpdate.log
26.03.2006 09:37 0 0.log
26.03.2006 09:36 4.148 ModemLog_Conexant D110 MDC V.9x Modem.txt
26.03.2006 09:36 2.048 bootstat.dat
25.03.2006 23:03 18.168 SchedLgU.Txt
25.03.2006 20:37 231 system.ini
25.03.2006 20:37 1.081.540 setupapi.log
25.03.2006 10:25 630.784 fpuninst.exe
25.03.2006 00:16 431.552 ntbtlog.txt
25.03.2006 00:12 1.970 setupact.log
24.03.2006 09:59 99 WirelessFTP.INI
24.03.2006 08:58 7.336 ModemLog_Standard 33600 bps Modem.txt
24.03.2006 08:51 98 telephon.ini
24.03.2006 08:34 376 SchedulerSettings.INI
24.03.2006 08:17 0 tosOBEX.INI
23.03.2006 21:59 453 wiadebug.log
23.03.2006 18:42 63 vbaddin.ini
23.03.2006 18:40 50 wiaservc.log
23.03.2006 18:40 573 win.ini
17.03.2006 16:54 8.730 wmsetup.log
15.03.2006 10:44 7.578 WGA.log
13.03.2006 10:02 2.181 spupdsvc.log
13.03.2006 09:24 19.478 KB911565.log
13.03.2006 09:24 15.799 updspapi.log
13.03.2006 09:23 459 wmsetup10.log
13.03.2006 09:19 316.640 WMSysPr9.prx
10.03.2006 23:17 73 MindManager.INI
26.02.2006 23:56 256 BUHL.INI
26.02.2006 23:34 2.908 COM+.log
26.02.2006 23:33 207 WISO.INI
21.02.2006 18:54 380 OemOut.ini
21.02.2006 08:52 79.852 comsetup.log
21.02.2006 08:52 47.653 ntdtcsetup.log
21.02.2006 08:52 282.061 iis6.log
21.02.2006 08:52 1.374 imsins.log
21.02.2006 08:52 102.026 tsoc.log
21.02.2006 08:52 11.688 ocmsn.log
21.02.2006 08:52 10.624 tabletoc.log
21.02.2006 08:52 28.624 KB899587.log
21.02.2006 08:52 113.634 ocgen.log
21.02.2006 08:52 10.709 msgsocm.log
21.02.2006 08:52 36.358 netfxocm.log
21.02.2006 08:52 15.030 MedCtrOC.log
21.02.2006 08:52 223.252 FaxSetup.log
21.02.2006 08:52 74.314 msmqinst.log
21.02.2006 08:52 1.374 imsins.BAK
21.02.2006 08:52 26.912 KB885836.log
21.02.2006 08:52 27.786 KB911927.log
21.02.2006 08:52 27.279 KB901017.log
21.02.2006 08:51 27.787 KB896424.log
21.02.2006 08:51 27.717 KB893756.log
21.02.2006 08:51 26.476 KB887742.log
21.02.2006 08:51 26.883 KB896358.log
21.02.2006 08:51 21.695 KB910437.log
21.02.2006 08:51 18.130 KB898458.log
21.02.2006 08:51 21.258 KB911564.log
21.02.2006 08:51 28.587 KB905915.log
21.02.2006 08:51 27.261 KB902400.log
21.02.2006 08:50 19.415 KB890046.log
21.02.2006 08:50 18.831 KB899589.log
21.02.2006 08:50 19.147 KB905414.log
21.02.2006 08:50 17.471 KB888302.log
21.02.2006 08:50 19.113 KB900725.log
21.02.2006 08:50 16.925 KB912919.log
21.02.2006 08:50 11.412 KB886185.log
21.02.2006 08:49 16.731 KB905749.log
21.02.2006 08:49 15.523 KB896428.log
21.02.2006 08:49 16.008 KB894391.log
21.02.2006 08:49 13.847 KB908519.log
21.02.2006 08:48 10.187 KB913446.log
21.02.2006 08:48 16.028 KB890859.log
20.02.2006 19:20 8.141 KB893803v2.log
20.02.2006 19:20 6.843 KB898461.log
17.02.2006 14:14 400 ODBC.INI
14.02.2006 20:06 1.174 OEWABLog.txt
14.02.2006 20:05 132.681 setuplog.txt
14.02.2006 19:55 2.741 sessmgr.setup.log
14.02.2006 19:55 641 DtcInstall.log
14.02.2006 19:53 2.734 regopt.log
14.02.2006 19:52 8.192 REGLOCS.OLD
08.02.2006 22:19 61 smscfg.ini
08.02.2006 22:17 32 setup.log
08.02.2006 22:16 138 wininit.ini
08.02.2006 22:16 349 xpsp1hfm.log
08.02.2006 22:13 9.817 KB904706.log
08.02.2006 22:13 7.944 KB896256.log
08.02.2006 22:12 10.090 KB896423.log

158 Datei(en) 12.527.466 Bytes
0 Verzeichnis(se), 38.530.920.448 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 147E-2636

Verzeichnis von C:\DOKUME~1\fac\LOKALE~1\Temp

27.03.2006 21:36 512 ~DF61F6.tmp
27.03.2006 21:36 12.122 ~WRS0001.tmp
27.03.2006 21:35 32.768 ~DF9BD2.tmp
27.03.2006 21:35 32.768 ~DF7C79.tmp
27.03.2006 18:10 28 ExchangePerflog_8484fa3191c5ecdfcfcccd43.dat
27.03.2006 15:18 524.288 ~WRF0000.tmp
27.03.2006 15:18 98.304 ~DFE56E.tmp
26.03.2006 09:56 32.768 ~DFD385.tmp
26.03.2006 09:56 32.768 ~DFA2CA.tmp
9 Datei(en) 766.326 Bytes
0 Verzeichnis(se), 38.530.932.736 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 147E-2636

Verzeichnis von C:\WINDOWS\system32

26.03.2006 09:57 384.930 perfh009.dat
26.03.2006 09:57 396.586 perfh007.dat
26.03.2006 09:57 54.614 perfc009.dat
26.03.2006 09:57 65.866 perfc007.dat
26.03.2006 09:57 911.074 PerfStringBackup.INI
26.03.2006 09:36 303.624 FNTCACHE.DAT
24.03.2006 22:17 176.128 __delete_on_reboot__stickrep.dll
23.03.2006 22:06 7.006 jupdate-1.5.0_06-b05.log
23.03.2006 16:44 2.206 wpa.dbl
13.03.2006 09:21 23.392 nscompat.tlb
13.03.2006 09:21 16.832 amcompat.tlb
10.03.2006 02:10 4.799.320 MRT.exe
14.02.2006 20:05 330 $winnt$.inf
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 20:03 8.632 spmsg.dll
08.02.2006 22:19 333 $ncsp$.inf
08.02.2006 22:14 308 results.txt
08.02.2006 22:11 3.099 jupdate-1.4.2_03-b02.log
08.02.2006 21:53 411 OEMINFO.INI
04.01.2006 05:35 68.096 webclnt.dll


Logfile of HijackThis v1.99.1
Scan saved at 21:53:18, on 27.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\basfipm.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
E:\SOFTWARE\_____1_A-K\1_ANTISPYWARE_ANTITROJANER_TOOLS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll
O1 - Hosts: 172.16.148.41 smp-srv-021
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1126.cab
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
Seitenanfang Seitenende
28.03.2006, 00:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 FAC

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"
reinkopieren: ...

C:\WINDOWS\system32\__delete_on_reboot__stickrep.dll

PC neustarten

öffne das HijackThis -- Button "scan" -- vor Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll

PC neustarten


deinstallieren/loeschen --> MyWebSearch/MySearch --> ist Spyware und nicht koscher........
C:\Programme\MyWaySA

Zitat

Related Projects
180solutions & Affiliate Commissions
Advertisers Using WhenU
WhenU Violates Own Privacy Policy
Documentation of Gator Advertisements and Targeting
"Spyware": Research, Testing, Legislation, Suits
Other Research by Ben Edelman
dann arbeite alles ab (ausser Punkt 4..die killbox, denn ist ja schon erledigt ) ;)
http://virus-protect.org/artikel/spyware/spywarequake.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2006, 00:10
...neu hier

Beiträge: 2
#7 bräuchte auch bitte hilfe:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4A9-606F

Verzeichnis von C:\WINDOWS\system32

29.03.2006 23:59 4.972 ncompat.tlb
29.03.2006 23:53 38.469 vsconfig.xml
29.03.2006 23:52 7.883 nvapps.xml
29.03.2006 23:52 6.656 interf.tlb
29.03.2006 23:52 36.864 hp9402.tmp
29.03.2006 23:52 33.805 ld90C6.tmp
29.03.2006 23:36 36.864 hp66A9.tmp
29.03.2006 23:14 36.864 hp6699.tmp
29.03.2006 22:01 4.286 ts.ico
29.03.2006 22:01 5.384 dxole32.exe
29.03.2006 22:01 4.286 ot.ico
29.03.2006 21:11 17.444 nvctrl.exe
29.03.2006 17:49 36.864 hp1B9.tmp
29.03.2006 17:26 36.864 hp8878.tmp
29.03.2006 17:26 176.128 stickrep.dll
29.03.2006 17:19 16.101 dfrgsrv.exe
28.03.2006 21:52 4.212 zllictbl.dat
27.03.2006 14:28 40.836 perfc009.dat
27.03.2006 14:28 314.508 perfh009.dat
27.03.2006 14:28 320.094 perfh007.dat
27.03.2006 14:28 49.174 perfc007.dat
27.03.2006 14:28 732.342 PerfStringBackup.INI
27.03.2006 14:27 2.206 wpa.dbl
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:13 2.811.672 imslsp.dll
16.03.2006 11:13 657.184 imsinstall.dll
10.03.2006 02:10 4.799.320 MRT.exe
06.03.2006 14:36 1.152.160 FNTCACHE.DAT
04.01.2006 05:35 68.096 webclnt.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4A9-606F

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

30.03.2006 00:01 512 ~DF52F9.tmp
29.03.2006 23:53 16.384 ~DF3AE2.tmp
29.03.2006 23:53 114.688 ~DF3FDC.tmp
3 Datei(en) 131.584 Bytes
0 Verzeichnis(se), 2.668.851.200 Bytes frei


26.03.2006 19:30 23 BlendSettings.ini
23.03.2006 13:29 27.880 DirectX.log
19.03.2006 23:56 106.505 wmsetup.log
19.03.2006 23:56 316.640 WMSysPr9.prx
17.03.2006 00:11 2.560 _MSRSTRT.EXE
16.03.2006 11:34 59.168 zllsputility.exe
17.02.2006 08:56 923 spupdsvc.log
15.02.2006 13:30 23.115 ocmsn.log
15.02.2006 13:30 149.981 comsetup.log
15.02.2006 13:30 89.080 ntdtcsetup.log
15.02.2006 13:30 21.778 tabletoc.log
15.02.2006 13:30 1.374 imsins.log
15.02.2006 13:30 486.331 iis6.log
15.02.2006 13:30 196.373 tsoc.log
15.02.2006 13:30 10.982 KB911927.log
15.02.2006 13:30 74.268 netfxocm.log
15.02.2006 13:30 207.188 ocgen.log
15.02.2006 13:30 29.537 MedCtrOC.log
15.02.2006 13:30 21.217 msgsocm.log
15.02.2006 13:30 419.599 FaxSetup.log
15.02.2006 13:30 134.158 msmqinst.log
15.02.2006 13:30 19.943 updspapi.log
15.02.2006 13:30 1.374 imsins.BAK
15.02.2006 13:30 7.590 KB911564.log
15.02.2006 13:30 7.811 KB911565.log
15.02.2006 13:29 5.596 KB913446.log
15.02.2006 13:14 1.370.448 setupapi.log.0.old
08.02.2006 14:25 12.862 EPISMG00.SWB
01.02.2006 22:06 59.799 War3Unin.dat
01.02.2006 22:05 2.829 War3Unin.pif
01.02.2006 22:05 139.264 War3Unin.exe
20.01.2006 23:26 180.720 setupact.log
15.01.2006 21:08 624 win.ini
12.01.2006 08:21 10.332 KB908519.log
06.01.2006 12:23 11.214 KB912919.log
04.01.2006 22:13 261 game.ini


Logfile of HijackThis v1.99.1
Scan saved at 00:07:53, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Christian\Desktop\Neuer Ordner\HijackThis.exe

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp9402.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: FreshDownload - {63BF94F9-FC10-4ACD-8B32-0EFB86037591} - C:\Programme\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
30.03.2006, 12:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 hetali

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpywareQuake

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

"Enter search strings" (reinschreiben oder reinkopieren)

{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

------------------------------------------------------------------------

KILLBOX - Pocket KillBox

http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hp9402.tmp
C:\WINDOWS\system32\hp9402.tmp
C:\WINDOWS\system32\ld90C6.tmp
C:\WINDOWS\system32\hp66A9.tmp
C:\WINDOWS\system32\hp6699.tmp
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dxole32.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\hp1B9.tmp
C:\WINDOWS\system32\hp8878.tmp
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\dfrgsrv.exe

PC neustarten


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp9402.tmp
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite alles genau ab,
http://virus-protect.org/artikel/spyware/spywarequake.html
ausser der Killbox (ist ja schon erledigt) und berichte auch vom Onlinescan mit kaspersky ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2006, 14:21
...neu hier

Beiträge: 2
#9 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 30.03.2006 14:19:35 for strings:
; 'spywarequake'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA}\1.0\0\win32]
@="C:\\Programme\\SpywareQuake\\SpywareQuake.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA}\1.0\HELPDIR]
@="C:\\Programme\\SpywareQuake\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareQuake.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareQuake.exe]
@="C:\\Programme\\SpywareQuake\\SpywareQuake.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareQuake]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareQuake]
"DisplayName"="SpywareQuake 2.0"
"UninstallString"="C:\\Programme\\SpywareQuake\\uninst.exe"
"DisplayIcon"="C:\\Programme\\SpywareQuake\\SpywareQuake.exe"
"NSIS:StartMenuDir"="SpywareQuake"
"URLInfoAbout"="http://www.spywarequake.com"
"Publisher"="SpywareQuake.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\SpywareQuake]

[HKEY_USERS\S-1-5-21-602162358-117609710-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpywareQuake]

[HKEY_USERS\S-1-5-21-602162358-117609710-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\TEMP\\sa2E.exe"="SpywareQuake Installer"
"C:\\Programme\\SpywareQuake\\SpywareQuake.exe"="Anti- spyware and adware"
"C:\\Programme\\SpywareQuake\\uninst.exe"="SpywareQuake Installer"
"C:\\DOKUME~1\\CHRIST~1\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpywareQuake Installer"
"C:\\WINDOWS\\TEMP\\sa3B.exe"="SpywareQuake Installer"
"C:\\WINDOWS\\TEMP\\sa3D.exe"="SpywareQuake Installer"
"C:\\WINDOWS\\TEMP\\sa40.exe"="SpywareQuake Installer"
"C:\\WINDOWS\\TEMP\\sa42.exe"="SpywareQuake Installer"
"C:\\WINDOWS\\TEMP\\sa44.exe"="SpywareQuake Installer"
"C:\\DOKUME~1\\CHRIST~1\\LOKALE~1\\Temp\\sa1.exe"="SpywareQuake Installer"

[HKEY_USERS\S-1-5-21-602162358-117609710-839522115-1003\Software\NVIDIA Corporation\Global\nView\WindowManagement\spywarequake]

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 30.03.2006 14:20:33 for strings:
; '{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-602162358-117609710-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}]

[HKEY_USERS\S-1-5-21-602162358-117609710-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}\iexplore]

; End Of The Log...
Seitenanfang Seitenende
30.03.2006, 15:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 gut, arbeite also alles ab, wie ich es auf meiner seite erklaert habe...ausser der Killbox, was ja schon erledigt ist.
http://virus-protect.org/artikel/spyware/spywarequake.html

loesche auch manuell:

C:\WINDOWS\TEMP\sa3B.exe
C:\WINDOWS\TEMP\sa3D.exe
C:\WINDOWS\TEMP\sa40.exe
C:\WINDOWS\TEMP\sa42.exe
C:\WINDOWS\TEMP\sa44.exe

aber die Datentraegerbereinigung wird das auch erledigen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2006, 19:44
...neu hier

Beiträge: 5
#11 hi sabina,
kannst mal einen diagnostischen blick auf mein log werfen -
folgende routine hab ich schon durchgeführt


http://www.bleepingcomputer.com/forums/topic47826.html

Logfile of HijackThis v1.99.1
Scan saved at 19:23:03, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DTV\RemoteControl.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\EDITH\Eigene Dateien\Diverse Software\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
Seitenanfang Seitenende
30.03.2006, 20:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 defendermax

http://virus-protect.org/artikel/spyware/spywarequake.html

---------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2006, 20:35
...neu hier

Beiträge: 5
#13 30.03.2006 19:12 0 asfiles.txt
30.03.2006 19:09 2.550 Uninstall.ico
30.03.2006 19:09 1.406 Help.ico
30.03.2006 19:09 30.590 pavas.ico
30.03.2006 18:48 6.656 interf.tlb
27.03.2006 22:55 1.158 wpa.dbl
26.03.2006 10:33 40.326 perfc009.dat
26.03.2006 10:33 311.938 perfh009.dat
26.03.2006 10:33 317.168 perfh007.dat
26.03.2006 10:33 48.552 perfc007.dat
26.03.2006 10:33 723.568 PerfStringBackup.INI
12.03.2006 12:52 154.768 FNTCACHE.DAT
10.03.2006 02:10 4.799.320 MRT.exe
04.01.2006 05:35 68.096 webclnt.dll
03.01.2006 16:31 91.904 S32EVNT1.DLL

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5460-0F87

Verzeichnis von C:\DOKUME~1\EDITH\LOKALE~1\Temp

30.03.2006 20:26 16.384 ~DF7E36.tmp
30.03.2006 20:26 216 jusched.log
2 Datei(en) 16.600 Bytes
0 Verzeichnis(se), 45.196.431.360 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5460-0F87

Verzeichnis von C:\WINDOWS

30.03.2006 20:26 0 0.log
30.03.2006 20:26 1.520.800 WindowsUpdate.log
30.03.2006 20:26 159 wiadebug.log
30.03.2006 20:26 50 wiaservc.log
30.03.2006 20:25 2.048 bootstat.dat
30.03.2006 20:25 32.618 SchedLgU.Txt
30.03.2006 19:11 632 win.ini
30.03.2006 19:10 887.277 setupapi.log
30.03.2006 18:55 176.190 setupact.log
30.03.2006 18:50 105.778 ntbtlog.txt
24.03.2006 22:56 0 VPC32.INI
21.03.2006 20:47 72 pex.INI
19.03.2006 23:58 18.150 wmsetup.log
11.03.2006 23:13 7.284 LVEventLog.log
154 Datei(en) 13.347.608 Bytes
0 Verzeichnis(se), 45.196.484.608 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5460-0F87

Verzeichnis von C:\

30.03.2006 20:34 0 sys.txt
30.03.2006 20:33 7.868 system.txt
30.03.2006 20:33 341 systemtemp.txt
30.03.2006 20:31 96.506 system32.txt
30.03.2006 20:25 938.921.984 hiberfil.sys
30.03.2006 20:25 1.409.286.144 pagefile.sys
30.03.2006 18:55 3.184 smitfiles.txt
24.03.2006 22:53 26.786 _NavCClt.Log
24.03.2006 22:51 17.032 PkgClnup.log
12.09.2005 17:43 211 boot.ini
20.08.2005 05:46 0 IO.SYS
20.08.2005 05:46 0 AUTOEXEC.BAT
20.08.2005 05:46 0 CONFIG.SYS
20.08.2005 05:46 0 MSDOS.SYS
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
17 Datei(en) 2.348.663.756 Bytes
0 Verzeichnis(se), 45.196.480.512 Bytes frei
Seitenanfang Seitenende
30.03.2006, 21:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 defendermax

arbeite nur noch die reg-Datei ab (Punkt 3)
http://virus-protect.org/artikel/spyware/spywarequake.html

dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2006, 21:38
...neu hier

Beiträge: 5
#15 thanx - bitte schön:

Logfile of HijackThis v1.99.1
Scan saved at 21:36:58, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DTV\RemoteControl.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\EDITH\Eigene Dateien\Diverse Software\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: