Home » Spyware & Browser Hijacker Support Forum » Hallo, ich habe Fragen zu SPYQUAKE "Deinstallation".. » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Hallo, ich habe Fragen zu SPYQUAKE "Deinstallation"..

Thema ist geschlossen!

29.03.2006, 20:44

kreuzberger

...neu hier

Beiträge: 3

#1 ..ich sitze seit heute nachmittag an diesem wunderbaren problem.. nachdem die mir bekannten programme wie spybot und norton versagt haben, habe ich gottseidank dieses forum hier "ergoogelt".. nun habe ich aber die frage, wie bzw. wohin ich die daten aus datfind kopieren soll.. was ist mit "mein thread im sicherheitsforum" gemeint???? wer kann mir helfen?

29.03.2006, 20:46

Sabina

Ehrenmitglied

Beiträge: 29434

#2 kreuzberger

spywarequake
http://virus-protect.org/artikel/spyware/spywarequake.html

--------------------------------------------------------------

ich helfe dir

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.03.2006, 20:52

kreuzberger

...neu hier

Themenstarter

Beiträge: 3

#3 vielen, vielen dank!!! ich versuchs jetzt mal..

also, hier der log

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
c:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\privat\Desktop\HijackThis.exe

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp1507.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [UpdateManager] "c:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104264122656
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: 1019-02AD

Verzeichnis von C:\WINDOWS\system32

29.03.2006 20:58 4.968 ncompat.tlb
29.03.2006 20:07 6.656 interf.tlb
29.03.2006 20:07 36.864 hp1507.tmp
29.03.2006 18:46 36.864 hp9B04.tmp
29.03.2006 18:35 36.864 hpE74A.tmp
29.03.2006 18:28 36.864 hp2A4F.tmp
29.03.2006 18:01 36.864 hpB65F.tmp
29.03.2006 18:01 33.805 ldB4D8.tmp
29.03.2006 15:23 35.870 vsconfig.xml
29.03.2006 14:42 380.684 perfh009.dat
29.03.2006 14:42 53.098 perfc009.dat
29.03.2006 14:42 63.976 perfc007.dat
29.03.2006 14:42 391.574 perfh007.dat
29.03.2006 14:42 897.778 PerfStringBackup.INI
29.03.2006 14:21 176.128 stickrep.dll
29.03.2006 14:20 36.864 hpCE58.tmp
29.03.2006 14:20 17.424 nvctrl.exe
29.03.2006 14:20 4.286 ot.ico
29.03.2006 14:18 16.097 dfrgsrv.exe
10.03.2006 02:10 4.799.320 MRT.exe
08.02.2006 20:17 176.167 rmoc3260.dll
08.02.2006 20:16 278.528 pncrt.dll
31.01.2006 15:35 91.904 S32EVNT1.DLL
19.01.2006 21:11 2.278 wpa.dbl
15.01.2006 16:59 4.212 zllictbl.dat
04.01.2006 05:35 68.096 webclnt.dll

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: 1019-02AD

Verzeichnis von C:\DOKUME~1\privat\LOKALE~1\Temp

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: 1019-02AD

Verzeichnis von C:\WINDOWS

29.03.2006 18:01 159 wiadebug.log
29.03.2006 18:01 1.958.399 WindowsUpdate.log
29.03.2006 18:01 50 wiaservc.log
29.03.2006 18:01 0 0.log
29.03.2006 18:01 2.048 bootstat.dat
29.03.2006 18:00 32.594 SchedLgU.Txt
27.03.2006 17:11 171.948 wmsetup.log
09.03.2006 20:45 595.004 setupapi.log
21.02.2006 10:27 35.346 ModemLog_IBM Integrated 56K Modem.txt
15.02.2006 21:03 30.023 spupdsvc.log
15.02.2006 20:52 175.828 comsetup.log
15.02.2006 20:52 623.642 iis6.log
15.02.2006 20:52 245.936 tsoc.log
15.02.2006 20:52 106.048 ntdtcsetup.log
15.02.2006 20:52 24.952 ocmsn.log
15.02.2006 20:52 1.374 imsins.log
15.02.2006 20:52 26.704 tabletoc.log
15.02.2006 20:52 10.724 KB911927.log
15.02.2006 20:52 90.508 netfxocm.log
15.02.2006 20:52 264.094 ocgen.log
15.02.2006 20:52 26.513 medctroc.Log
15.02.2006 20:52 26.108 msgsocm.log
15.02.2006 20:52 514.254 FaxSetup.log
15.02.2006 20:52 169.832 msmqinst.log
15.02.2006 20:52 23.744 updspapi.log
15.02.2006 20:52 1.374 imsins.BAK
15.02.2006 20:52 8.706 KB911564.log
15.02.2006 20:51 9.242 KB911565.log
15.02.2006 20:50 10.513 KB913446.log
11.01.2006 21:21 10.046 KB908519.log
06.01.2006 23:00 11.017 KB912919.log

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: 1019-02AD

Verzeichnis von C:\

29.03.2006 21:02 0 sys.txt
29.03.2006 21:01 11.768 system.txt
29.03.2006 21:01 132 systemtemp.txt
29.03.2006 21:01 111.406 system32.txt
29.03.2006 18:01 535.810.048 hiberfil.sys
29.03.2006 18:01 803.610.624 pagefile.sys
01.03.2006 21:43 8.182 acrocrashlog.html
27.02.2006 23:56 104 Sony Ericsson Datei-Manager.lnk
14.01.2006 19:38 1.120 INSTALL.LOG

so.. das wären jetzt die sachen aus datfindbat..

Dieser Beitrag wurde am 29.03.2006 um 21:03 Uhr von kreuzberger editiert.

29.03.2006, 21:42

Sabina

Ehrenmitglied

Beiträge: 29434

#4 kreuzberger

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hp1507.tmp
C:\WINDOWS\system32\hp9B04.tmp
C:\WINDOWS\system32\hpE74A.tmp
C:\WINDOWS\system32\hp2A4F.tmp
C:\WINDOWS\system32\hpB65F.tmp
C:\WINDOWS\system32\ldB4D8.tmp
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\hpCE58.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\dfrgsrv.exe

PC neustarten

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp1507.tmp

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite alles von Beginn an ab (nur die Killbox nicht mehr...ist ja schon erledigt )

Dann berichte von den Onlinescans
http://virus-protect.org/artikel/spyware/spywarequake.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.03.2006, 23:01

kreuzberger

...neu hier

Themenstarter

Beiträge: 3

#5 hat alles geklappt..!! selbst als laie war es zu verstehen. vielen herzlichen dank für die mühe und die hilfe.
gruss, florian

22.06.2006, 13:02

Jonnie 88

...neu hier

Beiträge: 1

#6 hier mein LOG hab den virus auch was soll ich damit macvhen?? mfg yannick

Logfile of HijackThis v1.99.1
Scan saved at 13:05:04, on 22.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\dcomcfg.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINNT\system32\hp100.tmp
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AS00_Gear511] C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe -hide
O4 - HKLM\..\Run: [Windows Configuration System] IExplore.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunServices: [Windows Configuration System] IExplore.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Windows Configuration System] IExplore.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144664702583
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B40F962-6970-4CFA-953C-A0005B4824BD}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Windows Update Service (UpdateSvc) - Unknown owner - C:\xbie.exe (file missing)

22.06.2006, 14:04

Sabina

Ehrenmitglied

Beiträge: 29434

#7 Jonnie 88

1.
Folgen den Anweisungen unter http://virus-protect.org/cleanup.html ##
und stelle den CleanUp genauso ein, wie dort angegeben.

2.
Logfiles mittels datfind.bat erstellen und posten ##
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 4 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Update Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

05.08.2006, 11:16

KielerAdler

...neu hier

Beiträge: 5

#8 Vielleicht könnt ihr mir auch helfen?

Logfile of HijackThis v1.99.1
Scan saved at 11:10:55, on 05.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Programme\Media-Codec\isaddon.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: hubbsi - {7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885} - C:\WINDOWS\system32\vwlummc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - D:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Programme\Norton Internet Security\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

05.08.2006, 11:57

Sabina

Ehrenmitglied

Beiträge: 29434

#9 KielerAdler

0.
http://virus-protect.org/artikel/tools/agentransack.html
gib ein in Suche: Media-Codec

«
poste das log

dann suche: vwlummc.dll [ unter: C:\WINDOWS\system32]

«
poste das log

--------------------------------------------------------------------------

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

05.08.2006, 12:24

KielerAdler

...neu hier

Beiträge: 5

#10 Also ich versuche mal zu erklären!

http://virus-protect.org/artikel/tools/agentransack.html
gib ein in Suche: Media-Codec

Die Suche ergab kein Ergebnis!

dann suche: vwlummc.dll [ unter: C:\WINDOWS\system32]

Die Datei habe ich gefunden!

Was meinst du mit "poste das log"?

(Sorry bin Anfänger *g*)

1. Den CleanUp habe ich genauso eingestellt!

2. Die 4 Textdateien:

05.08.2006 11:37 18.624 OODBS.lor
05.08.2006 11:32 75 LuResult.txt
04.08.2006 15:13 13.692 wpa.dbl
04.08.2006 15:04 176.128 vwlummc.dll
07.07.2006 03:21 6.757.792 MRT.exe
10.06.2006 10:51 57.384 avsda.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 12:29 311.604 perfh009.dat
14.05.2006 12:29 39.992 perfc009.dat
14.05.2006 12:29 48.156 perfc007.dat
14.05.2006 12:29 316.594 perfh007.dat
14.05.2006 12:29 723.744 PerfStringBackup.INI
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
29.04.2006 06:07 5.533.696 wmp.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
11.03.2006 19:59 127.704 FNTCACHE.DAT
01.03.2006 21:43 426.496 msdtcprx.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC33-7CB5

Verzeichnis von C:\DOKUME~1\Sobo\LOKALE~1\Temp

05.08.2006 12:02 512 ~DF1067.tmp
05.08.2006 11:51 512 ~DF4C64.tmp
05.08.2006 11:51 512 ~DF4875.tmp
05.08.2006 11:48 412 jusched.log
05.08.2006 11:38 32.768 ~DFE747.tmp
05.08.2006 11:38 0 vga2.tmp
05.08.2006 11:38 0 vga1.tmp
05.08.2006 11:36 8.008.360 Norton Internet Security 2006 8-5-2006 11h30m40s.log
05.08.2006 11:36 5.777 SYMEVENT.LOG
05.08.2006 11:36 4.114 SNDunin.log
05.08.2006 11:36 2.884 IDSinst.LOG
05.08.2006 11:33 1.685 CLTDIST.log
05.08.2006 11:31 124 AVRES_OPTRF_LiveUpdate.dat
13 Datei(en) 8.057.660 Bytes
0 Verzeichnis(se), 3.959.791.616 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC33-7CB5

Verzeichnis von C:\WINDOWS

05.08.2006 11:45 1.627.872 WindowsUpdate.log
05.08.2006 11:38 0 0.log
05.08.2006 11:38 2.048 bootstat.dat
05.08.2006 11:37 32.560 SchedLgU.Txt
04.08.2006 16:06 50 wiaservc.log
04.08.2006 16:06 216 wiadebug.log
04.08.2006 14:54 501.680 setupapi.log
04.08.2006 14:47 59.617 wmsetup.log
14.07.2006 17:24 54.156 QTFont.qfn
14.07.2006 10:51 55.490 iis6.log
14.07.2006 10:51 19.695 ocmsn.log
14.07.2006 10:51 1.374 imsins.log
14.07.2006 10:51 138.071 tsoc.log
14.07.2006 10:51 128.339 comsetup.log
14.07.2006 10:51 76.082 ntdtcsetup.log
14.07.2006 10:51 11.841 KB917159.log
14.07.2006 10:51 175.065 ocgen.log
14.07.2006 10:51 17.866 msgsocm.log
14.07.2006 10:51 351.585 FaxSetup.log
14.07.2006 10:51 1.374 imsins.BAK
14.07.2006 10:51 12.352 KB914388.log
14.07.2006 10:51 21.048 updspapi.log
14.07.2006 10:51 10.468 KB916595.log
04.07.2006 12:59 1.409 QTFont.for
29.06.2006 17:38 335 GEARInstall.log
16.06.2006 14:07 2.627 spupdsvc.log
16.06.2006 13:01 20.599 KB917734.log
16.06.2006 13:01 22.983 KB918439.log
16.06.2006 13:00 23.390 KB917344.log
16.06.2006 13:00 23.120 KB917953.log
16.06.2006 13:00 22.795 KB911280.log
16.06.2006 13:00 27.166 KB916281.log
16.06.2006 13:00 21.229 KB914389.log
10.06.2006 12:55 13.394 KB913580.log
10.06.2006 10:38 227 system.ini
10.06.2006 10:38 573 win.ini
10.06.2006 08:49 138 accessdll.log
10.06.2006 08:49 1.508 avmadd32.log
10.06.2006 08:48 105 avmsysnet.log
28.05.2006 17:44 5.132 avmsetup.log
28.05.2006 17:44 2.019 avmD2.log
28.05.2006 17:14 74.818 _detmp.3
28.04.2006 13:26 11.306 KB900485.log
16.04.2006 18:10 15.611 KB908531.log
16.04.2006 18:10 14.846 KB911562.log
16.04.2006 18:09 17.846 KB912812.log
16.04.2006 18:09 12.601 KB911565.log
16.04.2006 18:09 10.871 KB911567.log
18.03.2006 11:30 1.080 gramit32.cfg
17.02.2006 15:43 34 cdplayer.ini
17.02.2006 14:59 22 kodakpcd.Sobo.ini
16.02.2006 20:10 10.684 KB911927.log
16.02.2006 20:10 6.214 KB911564.log
16.02.2006 20:10 6.664 KB913446.log
07.02.2006 20:25 3.022 mozver.dat
28.01.2006 11:20 379 wmsetup10.log
28.01.2006 11:18 316.640 WMSysPr9.prx
20.01.2006 20:55 32.005 KB899587.log
20.01.2006 20:55 31.123 KB896422.log
20.01.2006 20:54 30.981 KB885835.log
20.01.2006 20:54 29.855 KB885836.log
20.01.2006 20:54 30.675 KB885250.log
20.01.2006 20:54 30.820 KB901017.log
20.01.2006 20:54 31.135 KB899591.log
20.01.2006 20:54 31.323 KB896424.log
20.01.2006 20:54 31.011 KB893756.log
20.01.2006 20:54 29.135 KB896423.log
20.01.2006 20:53 29.428 KB873339.log
20.01.2006 20:53 29.499 KB888113.log
20.01.2006 20:53 30.039 KB887742.log
20.01.2006 20:53 29.638 KB887472.log
20.01.2006 20:53 30.479 KB896358.log
20.01.2006 20:53 23.492 KB910437.log
20.01.2006 20:53 32.360 KB905915.log
20.01.2006 20:53 24.890 KB891781.log
20.01.2006 20:52 31.286 KB902400.log
20.01.2006 20:52 21.968 KB890046.log
20.01.2006 20:52 20.886 KB893066.log
20.01.2006 20:52 21.230 KB905414.log
20.01.2006 20:52 20.539 KB901214.log
20.01.2006 20:52 19.043 KB888302.log
20.01.2006 20:52 20.855 KB900725.log
20.01.2006 20:52 17.984 KB912919.log
20.01.2006 20:52 12.366 KB886185.log
20.01.2006 20:51 17.172 KB904706.log
20.01.2006 20:51 17.790 KB905749.log
20.01.2006 20:51 16.578 KB896428.log
20.01.2006 20:51 17.265 KB894391.log
20.01.2006 20:51 14.979 KB908519.log
20.01.2006 20:51 20.383 KB890859.log
20.01.2006 20:17 7.008 KB898461.log
20.01.2006 17:39 403 ODBC.INI
20.01.2006 17:35 1.174 OEWABLog.txt
20.01.2006 17:34 784.358 setuplog.txt
20.01.2006 17:32 1.057 DirectX.log
20.01.2006 17:26 0 nsreg.dat
20.01.2006 17:26 107.132 UninstallFirefox.exe
20.01.2006 17:19 59 vbaddin.ini
20.01.2006 17:08 724 avm7.log
20.01.2006 16:59 74.907 _detmp.1
20.01.2006 16:29 7.778 KB893803v2.log
20.01.2006 16:15 92 CMISETUP.INI
20.01.2006 16:15 26 CMCDPLAY.INI
20.01.2006 16:15 0 Wininit.ini
20.01.2006 16:13 2.562 Ascd_tmp.ini
20.01.2006 15:45 8.192 REGLOCS.OLD
20.01.2006 15:45 177.762 setupact.log
20.01.2006 15:42 0 control.ini
20.01.2006 15:42 4.161 ODBCINST.INI
20.01.2006 15:41 749 WindowsShell.Manifest
20.01.2006 15:39 36 vb.ini
20.01.2006 15:39 133 DtcInstall.log
20.01.2006 15:39 1.023 sessmgr.setup.log
20.01.2006 15:37 200 cmsetacl.log
20.01.2006 15:35 1.920 regopt.log
20.01.2006 15:34 0 Sti_Trace.log
20.01.2006 15:31 0 setuperr.log
27.05.2005 01:22 10.752 hh.exe
08.03.2005 14:27 131.072 _detmp.2
08.03.2005 13:27 131.072 _detmp.4
04.08.2004 14:00 65.978 Seifenblase.bmp
04.08.2004 14:00 17.336 Angler.bmp
04.08.2004 14:00 17.062 Kaffeetasse.bmp
04.08.2004 14:00 707 _default.pif
04.08.2004 14:00 9.522 Zapotek.bmp
04.08.2004 14:00 65.832 Santa Fe-Stuck.bmp
04.08.2004 14:00 17.362 Rhododendron.bmp
04.08.2004 14:00 15.872 TASKMAN.EXE
04.08.2004 14:00 26.582 Granit.bmp
04.08.2004 14:00 94.800 twain.dll
04.08.2004 14:00 50.688 twain_32.dll
04.08.2004 14:00 49.680 twunk_16.exe
04.08.2004 14:00 25.600 twunk_32.exe
04.08.2004 14:00 26.680 F„cher.bmp
04.08.2004 14:00 153.600 regedit.exe
04.08.2004 14:00 34.818 wmprfDEU.prx
04.08.2004 14:00 2 desktop.ini
04.08.2004 14:00 1.035.264 explorer.exe
04.08.2004 14:00 48.680 winnt256.bmp
04.08.2004 14:00 18.944 vmmreg32.dll
04.08.2004 14:00 80 explorer.scf
04.08.2004 14:00 82.944 clock.avi
04.08.2004 14:00 1.272 Blaue Spitzen 16.bmp
04.08.2004 14:00 70.144 NOTEPAD.EXE
04.08.2004 14:00 16.730 Feder.bmp
04.08.2004 14:00 257.568 winhelp.exe
04.08.2004 14:00 288.768 winhlp32.exe
04.08.2004 14:00 1.405 msdfmap.ini
04.08.2004 14:00 48.680 winnt.bmp
04.08.2004 14:00 65.954 Pr„riewind.bmp
07.11.2003 11:39 127.681 VGAsetup.ini
05.08.2003 15:23 266.240 CMIUninstall.exe
22.07.2003 12:15 225.280 CmiRmRedundDir.exe
18.10.2002 16:56 28.672 CMIRmDriver.dll
12.07.2002 12:15 106.496 SiSUSBrg.exe
02.01.2002 09:40 32.768 SIS_LIB.DLL
07.12.2001 04:11 3.583 SiSport.sys
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 15:45 306.688 IsUninst.exe
09.12.1996 23:33 304.128 unin0407.exe
160 Datei(en) 10.611.594 Bytes
0 Verzeichnis(se), 3.959.783.424 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC33-7CB5

Verzeichnis von C:\

05.08.2006 12:22 0 sys.txt
05.08.2006 12:22 8.190 system.txt
05.08.2006 12:22 930 systemtemp.txt
05.08.2006 12:22 92.681 system32.txt
05.08.2006 11:38 503.316.480 pagefile.sys
10.06.2006 10:38 211 boot.ini
20.01.2006 15:42 0 AUTOEXEC.BAT
20.01.2006 15:42 0 IO.SYS
20.01.2006 15:42 0 MSDOS.SYS
20.01.2006 15:42 0 CONFIG.SYS
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
13 Datei(en) 503.722.192 Bytes
0 Verzeichnis(se), 3.959.779.328 Bytes frei

Start Time= 05.08.2006 12:23:14,17
Running from: C:\Programme\Mozilla Firefox

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-08-04 15:13:46 ( .D... ) "C:\Programme\Windows Defender"
2006-08-04 15:04:08 176128 ( A.... ) "C:\WINDOWS\system32\vwlummc.dll"
2006-06-29 17:41:04 ( .D... ) "C:\Dokumente und Einstellungen\Sobo\Anwendungsdaten\Apple Computer"
2006-06-29 17:39:18 ( .D... ) "C:\Programme\QuickTime"
2006-06-29 17:38:20 ( .D... ) "C:\Programme\iPod"
2006-06-10 10:51:04 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"

(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))

2006-08-04 15:04 176.128 C:\WINDOWS\system32\vwlummc.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SiS Tray"="C:\\WINDOWS\\system32\\sistray.EXE"
"SiS Windows KeyHook"="C:\\WINDOWS\\system32\\keyhook.exe"
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"iTunesHelper"="\"D:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Konni Symbol Autostart"=""
"SpybotSD TeaTimer"="D:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"homepage.monitor.exe"="C:\\Programme\\Media-Codec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Media-Codec\\pmsngr.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,de,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"hubbsi"="{7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"D:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"D:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WinDefend

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job

Completion time: 05.08.2006 12:23:25,98
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

Ich hoffe du kommst damit klar! :-)
Danke!

05.08.2006, 12:46

Sabina

Ehrenmitglied

Beiträge: 29434

#11 KielerAdler

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
gehe in die Registry
Start -Ausfuehren - regedit
bearbeiten - suchen -

hubbsi
vwlummc.dll

loeschen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"hubbsi"="{7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885}"

--------------------------------------------------------------------------------------------------------------

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1da7dbe8-c51b-4ae4-bc6e-21863349b0b4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1da7dbe8-c51b-4ae4-bc6e-21863349b0b4}

Files to delete:
C:\WINDOWS\system32\vwlummc.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
loeschen, falls es noch vorhanden ist:
C:\Programme\Media-Codec

5.
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
berichte

__________
MfG Sabina

rund um die PC-Sicherheit

05.08.2006, 13:05

KielerAdler

...neu hier

Beiträge: 5

#12 Also grundsätzlich ist alles weg. Das mit smitfraudfix hat nicht geklappt weil da irgendwelche Administratorrechte fehlen oder so. Das kann nicht ausgeführt werden. Ist dieser Schritt so dringend notwendig? Oder ist das Programm jetzt weg?

Muss ich noch irgendwas beachten?

DANKE aber schonaml für alles!

Dieser Beitrag wurde am 05.08.2006 um 13:16 Uhr von KielerAdler editiert.

05.08.2006, 13:52

Sabina

Ehrenmitglied

Beiträge: 29434

#13 wende smitfraud.fix im abgesicherten Modus an (dort hast du Admin-Rechte)
poste dann die reporte von Option 1 und 2
__________
MfG Sabina

rund um die PC-Sicherheit

03.09.2006, 11:13

jonwag

...neu hier

Beiträge: 1

#14 Hi könnt ihr mir auch helfen?

Hab auch dieses Spyquake.

Wäre echt nett.

03.09.2006, 13:28

Sabina

Ehrenmitglied

Beiträge: 29434

#15 jonwag

kopiere hier diese logs, dann helfe ich dir, das zu reinigen
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2