Spyware Quake 2.0 ist nicht zu löschen!

#46 Hallo,
ich hab (oder hatte) das gleiche prob. Hab schon alle punkte abgearbeitet und ein paar mal manuell mein system und die registr. durchsucht nach sachen wie NVCTRL und STICKREP, hab auch einiges gefunden. Mein Kaspersky zeigt auch nichts mehr an aber dieses kleine verf***te Symbol ist noch in der Taskleiste. Wie krieg ich das weg??? bin am verzweifeln...helft mir...bitte...

#47 w107

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 944C-17CC

Verzeichnis von C:\WINDOWS\system32

19.04.2006 00:59 31.326 goc.log
19.04.2006 00:57 8.439 OODBS.lor
18.04.2006 18:03 0 asfiles.txt
18.04.2006 17:48 2.550 Uninstall.ico
18.04.2006 17:48 1.406 Help.ico
18.04.2006 17:48 30.590 pavas.ico
18.04.2006 16:22 2.206 wpa.dbl
18.04.2006 15:24 176.128 xenadot.dll
15.04.2006 15:26 87 ssprs.tgz
15.04.2006 15:26 73 ssprs.dll
15.04.2006 15:26 219 lsprst7.tgz
15.04.2006 15:26 205 lsprst7.dll
06.04.2006 12:48 5.143.456 MRT.exe
26.03.2006 04:37 391.000 perfh007.dat
26.03.2006 04:37 380.350 perfh009.dat
26.03.2006 04:37 52.764 perfc009.dat
26.03.2006 04:37 63.580 perfc007.dat
26.03.2006 04:37 897.954 PerfStringBackup.INI
22.03.2006 20:20 3.120 ESG2D7GN.ocx
22.03.2006 20:20 3.120 LTDGHA8K.ocx
22.03.2006 20:20 3.120 SK39DI0F.ocx
22.03.2006 20:20 3.120 ILP6JVU6.ocx
22.03.2006 17:46 2.702.336 MSHTML.DLL
22.03.2006 03:29 612.352 xpsp2res.dll
21.03.2006 15:36 1.339.392 SHDOCVW.DLL
17.03.2006 07:03 8.392.192 shell32.dll
17.03.2006 02:49 25.600 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
03.03.2006 15:46 462.848 URLMON.DLL
03.03.2006 15:46 498.176 MSTIME.DLL
27.02.2006 14:25 44.032 MSIDENT.DLL
27.02.2006 14:25 229.376 MSOEACCT.DLL
27.02.2006 14:25 50.688 INETRES.DLL
27.02.2006 13:31 596.480 INETCOMM.DLL
27.02.2006 13:31 91.136 MSOERT2.DLL
24.02.2006 15:20 236.032 IEPEERS.DLL
24.02.2006 15:20 582.144 WININET.DLL
24.02.2006 14:24 192.512 DXTRANS.DLL
23.02.2006 21:28 7.006 jupdate-1.5.0_06-b05.log
12.02.2006 21:22 176.167 rmoc3260.dll
12.02.2006 21:22 5.632 pndx5032.dll
12.02.2006 21:22 6.656 pndx5016.dll
12.02.2006 21:21 278.528 pncrt.dll
10.02.2006 22:19 1.025 sysprs7.tgz
10.02.2006 22:19 1.025 clauth2.dll
10.02.2006 22:19 1.025 clauth1.dll
10.02.2006 22:19 1.025 sysprs7.dll
08.02.2006 15:41 203.328 FNTCACHE.DAT



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 944C-17CC

Verzeichnis von C:\DOKUME~1\Flow\LOKALE~1\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 944C-17CC

Verzeichnis von C:\WINDOWS

19.04.2006 01:00 1.016.253 WindowsUpdate.log
19.04.2006 00:59 0 0.log
19.04.2006 00:58 50 wiaservc.log
19.04.2006 00:58 159 wiadebug.log
19.04.2006 00:57 2.048 bootstat.dat
19.04.2006 00:56 14.440 SchedLgU.Txt
19.04.2006 00:33 853.820 ntbtlog.txt
18.04.2006 18:27 420 setupact.log
18.04.2006 18:03 827 win.ini
18.04.2006 17:52 48.890 setupapi.log
17.04.2006 07:48 116 NeroDigital.ini
17.04.2006 07:05 1.211 CdPlayer.ini
14.04.2006 23:30 1.274 spupdsvc.log
14.04.2006 23:30 11.765 wmsetup.log
14.04.2006 23:03 106.430 comsetup.log
14.04.2006 23:03 1.374 imsins.log
14.04.2006 23:03 134.446 tsoc.log
14.04.2006 23:03 339.810 iis6.log
14.04.2006 23:03 62.781 ntdtcsetup.log
14.04.2006 23:03 14.999 tabletoc.log
14.04.2006 23:03 26.188 KB908531.log
14.04.2006 23:03 10.393 ocmsn.log
14.04.2006 23:03 50.129 netfxocm.log
14.04.2006 23:03 151.245 ocgen.log
14.04.2006 23:03 14.173 msgsocm.log
14.04.2006 23:03 283.577 FaxSetup.log
14.04.2006 23:03 92.416 msmqinst.log
14.04.2006 23:02 22.911 updspapi.log
14.04.2006 23:02 26.786 KB911927.log
14.04.2006 23:02 23.215 KB911562.log
14.04.2006 23:02 12.981 KB912812-IE6SP1-20060322.182418.log
14.04.2006 23:01 11.677 KB914798.log
14.04.2006 23:01 14.119 KB911564.log
14.04.2006 23:00 11.226 KB911567-OE6SP1-20060316.165634.log
14.04.2006 23:00 8.550 KB911565.log
14.04.2006 22:59 7.697 KB913446.log
14.04.2006 19:04 67 SBWIN.INI
13.04.2006 01:04 54.156 QTFont.qfn
12.04.2006 16:28 227 SYSTEM.I~I
12.04.2006 16:28 227 system.ini
10.04.2006 13:06 0 setuperr.log
03.04.2006 19:38 10.240 Thumbs.db
27.03.2006 23:55 1.409 QTFont.for
22.03.2006 20:20 3.120 SDQNA4HB.ocx
22.03.2006 20:20 3.120 EO63QJ3E.ocx
22.03.2006 20:20 3.120 HN3PPK5G.ocx
22.03.2006 20:20 3.120 CQSHYJ1R.ocx
22.03.2006 20:20 3.120 G9B5D2PH.ocx
25.02.2006 14:15 73.216 cadkasdeinst01.exe
23.02.2006 21:28 4.948 mozver.dat
13.02.2006 11:56 335 GEARInstall.log
08.02.2006 15:03 107.134 UninstallFirefox.exe




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 944C-17CC

Verzeichnis von C:\

19.04.2006 01:02 0 sys.txt
19.04.2006 01:02 7.913 system.txt
19.04.2006 01:01 132 systemtemp.txt
19.04.2006 01:01 94.986 system32.txt
19.04.2006 00:57 1.610.612.736 pagefile.sys
14.04.2006 20:51 790 EXSP24.Key
12.04.2006 16:28 194 boot.ini
24.01.2006 22:50 0 AUTOEXEC.BAT
24.01.2006 22:50 0 MSDOS.SYS
24.01.2006 22:50 0 IO.SYS
24.01.2006 22:50 0 CONFIG.SYS
29.08.2002 02:05 235.296 ntldr
28.08.2002 22:08 47.580 NTDETECT.COM
18.08.2001 14:00 4.952 bootfont.bin
14 Datei(en) 1.611.004.579 Bytes
0 Verzeichnis(se), 91.735.367.680 Bytes frei



Logfile of HijackThis v1.99.1
Scan saved at 01:03:46, on 19.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\OO Software\CleverCache\ooccctrl.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Flow\Desktop\spyware entfernen\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Antispyware 2006] "C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe

#49 w107

das muss gelleoscht werden.

C:\WINDOWS\system32\xenadot.dll
C:\WINDOWS\cadkasdeinst01.exe

------------------------------------------------------------

Vorher:

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

http://sandbox.norman.no/live_4.html

C:\WINDOWS\system32\xenadot.dll
C:\WINDOWS\cadkasdeinst01.exe

--

C:\WINDOWS\system32\ESG2D7GN.ocx
C:\WINDOWS\SDQNA4HB.ocx --> auch ueberpruefen, ich weiss nicht, was es ist...

Ergebnisse hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Ok Sabina,
Clean up hab ich durchlaufen lassen und hier ist die Logfile von Hijack This
So hier ist er

Logfile of HijackThis v1.99.1
Scan saved at 11:45:57, on 19.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Martin Völker\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.hs-wismar.de:8181
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /QS
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: Verknüpfung mit PURGE.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://mailhost.hs-wismar.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124016053762
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123242795490
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: wincgf32 - C:\WINDOWS\SYSTEM32\wincgf32.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

#51 pssst1

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#52 1:

19.04.2006 11:11 902.476 PerfStringBackup.INI
19.04.2006 11:11 392.512 perfh007.dat
19.04.2006 11:11 53.436 perfc009.dat
19.04.2006 11:11 381.692 perfh009.dat
19.04.2006 11:11 64.452 perfc007.dat
19.04.2006 11:08 35.990 vsconfig.xml
17.04.2006 14:14 5.012 ncompat.tlb
17.04.2006 11:19 4.212 zllictbl.dat
16.04.2006 18:26 10.681 ikhcore.log
15.04.2006 12:48 1.158 wpa.dbl
15.04.2006 11:55 30.733 ld74FF.tmp
15.04.2006 11:35 6.656 interf.tlb
15.04.2006 11:35 34.816 hpB5B4.tmp
15.04.2006 11:10 176.128 stickrep.dll
15.04.2006 11:10 4.286 ot.ico
15.04.2006 11:10 4.286 ts.ico
15.04.2006 11:08 15.457 dfrgsrv.exe
15.04.2006 11:08 12.221 wincgf32.dll
26.03.2006 12:02 250.288 FNTCACHE.DAT
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
10.03.2006 01:10 4.799.320 MRT.exe
09.03.2006 11:35 65.536 cibwwpdf.dll
28.02.2006 15:31 73.728 sockspy.dll
28.02.2006 15:31 77.824 xcomm.dll
28.02.2006 15:30 37 getfile.dat
14.02.2006 09:20 550.120 LegitCheckControl.dll
08.02.2006 01:46 18.944 xpsp3res.dll
01.02.2006 03:50 3.033.088 mshtml.dll
31.01.2006 14:35 91.904 S32EVNT1.DLL
09.01.2006 19:01 146.432 msrating.dll
09.01.2006 19:01 530.944 mstime.dll
09.01.2006 19:01 205.312 dxtrans.dll
09.01.2006 19:01 39.424 pngfilt.dll
09.01.2006 19:01 1.056.256 danim.dll
09.01.2006 19:01 55.808 extmgr.dll
09.01.2006 19:01 664.064 wininet.dll
09.01.2006 19:01 614.400 urlmon.dll
09.01.2006 19:01 251.392 iepeers.dll
09.01.2006 19:01 1.022.976 browseui.dll
09.01.2006 19:01 448.512 mshtmled.dll
09.01.2006 19:01 96.768 inseng.dll
09.01.2006 19:01 1.492.480 shdocvw.dll
09.01.2006 19:01 474.624 shlwapi.dll
09.01.2006 19:01 152.064 cdfview.dll
04.01.2006 04:35 68.096 webclnt.dll

2:
Verzeichnis von C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp

19.04.2006 11:10 16.384 ~DFB180.tmp
19.04.2006 11:10 32.768 ~DF7263.tmp
19.04.2006 11:10 32.768 ~DF7C2D.tmp
18.04.2006 17:04 32.768 ~DFE4A7.tmp
18.04.2006 17:04 32.768 ~DF8377.tmp
12.04.2006 20:30 79 D1B5B4F1.TMP
6 Datei(en) 147.535 Bytes
0 Verzeichnis(se), 7.407.271.936 Bytes frei

3.
Verzeichnis von C:\WINDOWS

19.04.2006 11:07 3.734 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
19.04.2006 11:07 159 wiadebug.log
19.04.2006 11:07 0 0.log
19.04.2006 11:07 2.048 bootstat.dat
18.04.2006 17:05 32.622 SchedLgU.Txt
18.04.2006 17:05 1.501.244 WindowsUpdate.log
18.04.2006 17:05 50 wiaservc.log
17.04.2006 13:33 925 win.ini
16.04.2006 15:13 227 system.ini
12.04.2006 18:43 548 lexstat.ini
10.04.2006 16:22 222.874 setupact.log
10.04.2006 16:22 464.348 setupapi.log
09.04.2006 10:09 246.263 wmsetup.log
08.03.2006 11:57 15.928 KB904942.log
08.03.2006 11:57 1.355 imsins.log
08.03.2006 11:57 26.465 msgsocm.log
08.03.2006 11:57 206.712 tsoc.log
08.03.2006 11:57 79.994 iis6.log
08.03.2006 11:57 21.903 ocmsn.log
08.03.2006 11:57 95.771 ntdtcsetup.log
08.03.2006 11:57 158.212 comsetup.log
08.03.2006 11:57 534.685 FaxSetup.log
08.03.2006 11:57 36.917 updspapi.log
08.03.2006 11:57 273.242 ocgen.log
08.03.2006 11:57 1.355 imsins.BAK
08.03.2006 11:57 17.819 KB912945.log
04.03.2006 12:52 9.084 WGA.log
19.02.2006 13:28 32.296 spupdsvc.log
19.02.2006 11:08 7.356 KB913446.log
19.02.2006 11:07 10.398 KB911564.log
19.02.2006 11:06 11.019 KB901190.log
19.02.2006 11:05 11.362 KB911927.log
19.02.2006 11:05 10.698 KB911565.log
01.02.2006 16:30 211 uno.ini
13.01.2006 17:26 10.074 KB908519.log
07.01.2006 16:37 11.044 KB912919.log

4:

Verzeichnis von C:\

19.04.2006 12:19 0 sys.txt
19.04.2006 12:14 9.686 system.txt
19.04.2006 12:13 532 systemtemp.txt
19.04.2006 12:13 108.922 system32.txt
19.04.2006 11:07 518.508.544 hiberfil.sys
19.04.2006 11:07 777.658.368 pagefile.sys
16.04.2006 15:13 211 BOOT.INI
01.02.2006 16:24 428 TO_InstallLog.txt

#53 xenadot.dll geprüft von Virustotal

AntiVir 6.34.0.24 04.19.2006 TR/Drop.Agen.QF.3.C
Avast 4.6.695.0 04.18.2006 no virus found
AVG 386 04.18.2006 no virus found
Avira 6.34.0.56 04.19.2006 TR/Drop.Agen.QF.3.C
BitDefender 7.2 04.19.2006 no virus found
CAT-QuickHeal 8.00 04.18.2006 no virus found
ClamAV devel-20060202 04.18.2006 no virus found
DrWeb 4.33 04.19.2006 Trojan.Fakealert
eTrust-InoculateIT 23.71.133 04.19.2006 no virus found
eTrust-Vet 12.4.2167 04.19.2006 no virus found
Ewido 3.5 04.19.2006 no virus found
Fortinet 2.71.0.0 04.19.2006 no virus found
F-Prot 3.16c 04.19.2006 no virus found
Ikarus 0.2.59.0 04.19.2006 no virus found
Kaspersky 4.0.2.24 04.19.2006 no virus found
McAfee 4743 04.18.2006 FakeAlert-B
NOD32v2 1.1495 04.18.2006 no virus found
Norman 5.90.15 04.18.2006 no virus found
Panda 9.0.0.4 04.18.2006 no virus found
Sophos 4.04.0 04.19.2006 Troj/FakeVir-I
Symantec 8.0 04.19.2006 no virus found
TheHacker 5.9.7.131 04.19.2006 no virus found
UNA 1.83 04.18.2006 no virus found
VBA32 3.10.5 04.19.2006 no virus found

Aditional Information
File size: 176128 bytes
MD5: 777ff9469af21da39630227ae7273cb0
SHA1: 73295816a811ee8753b95db88d26347b681b9ad2


Bei der Cadkasdeinst.exe stand überall "no virus found".
Bei der ESG2D7GN.ocx auch. Und beiSDQNA4HB.ocx auch.


Hier die 4 Ergebnisse des sandbox scans:

xenadot.dll : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 176128 bytes.
* MD5 hash: 777ff9469af21da39630227ae7273cb0.
---------------------------
cadkasdeinst01.exe : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Display message box (Installation abbgebrochen!) : Die Datei Install.log ist defekt! Die Installation muß abgebrochen werden!.
* File length: 73216 bytes.
* MD5 hash: 44d04bf0e463af513d494b95935d951e.
----------------------------
The sandbox only run Windows 32-bit executable code.

We try to decompress most archives and use a list of passwords (norman,infected,virus etc). If you are certain you submitted something containing binary code (Windows executables) try to repack the file with one of the passwords given and resend it.
1849 mail.dat Mail
3120 ESG2D7GN.ocx DOS COM
318 uvleubhzunzbbgvbdwgi44460aff79b36.zip ZIP
----------------------------
The sandbox only run Windows 32-bit executable code.

We try to decompress most archives and use a list of passwords (norman,infected,virus etc). If you are certain you submitted something containing binary code (Windows executables) try to repack the file with one of the passwords given and resend it.
3120 SDQNA4HB.ocx DOS COM
313 hxkovzdbwjoiqwxuqfdb44460b8ca8169.zip ZIP
1845 mail.dat Mail

Das sind alle Ergebnisse. Ich kann damit leider nicht allzuviel anfangen. Aber die ersten beiden Dateien werd ich jetzt löschen.



Edit: Hallo Sabina,

erstmal ein GAAAAAAAAAANZ großes dankle für deine Hilfe. Das Symbol ist endlich weg. Juhu!!!!!!!

Jetzt noch kurz zu den beiden *.ocx dateien. Wenn du die nicht kennst dann gehören se ja nicht zum OS. Dann könnt ich die ja auch löschen oder lieber nicht?
Ich weiß auch nicht was *.ocx dateien sind.

#54 pssst1

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: wincgf32 - C:\WINDOWS\SYSTEM32\wincgf32.dll

PC neustarten

arbeite das ab...Schritt fuer Schritt
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox)

C:\WINDOWS\System32\ncompat.tlb
C:\WINDOWS\System32\ikhcore.log
C:\WINDOWS\System32\ld74FF.tmp
C:\WINDOWS\System32\interf.tlb
C:\WINDOWS\System32\hpB5B4.tmp
C:\WINDOWS\System32\stickrep.dll
C:\WINDOWS\System32\ot.ico
C:\WINDOWS\System32\ts.ico
C:\WINDOWS\System32\dfrgsrv.exe
C:\WINDOWS\System32\wincgf32.dll

wenn es fertig bist, bevor du mit den Onlinescans beginnst, lade ewido und scanne, damit der Purityscan entfernt wird, und kopiere hier den scanreport
http://virus-protect.org/ewido.html

wenn du mit etwas nicht zurechtkommst, oder etwas an meiner Anleitung nicht verstehst, dann frag
__________
MfG Sabina

rund um die PC-Sicherheit

#55 w107

die zwei musst du loeschen

C:\WINDOWS\system32\xenadot.dll
C:\WINDOWS\cadkasdeinst01.exe

scanne und kopiere den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

was hast du am 22.03 geladen ??

Verzeichnis von C:\WINDOWS\system32

22.03.2006 20:20 3.120 ESG2D7GN.ocx
22.03.2006 20:20 3.120 LTDGHA8K.ocx
22.03.2006 20:20 3.120 SK39DI0F.ocx
22.03.2006 20:20 3.120 ILP6JVU6.ocx

Verzeichnis von C:\WINDOWS

22.03.2006 20:20 3.120 SDQNA4HB.ocx
22.03.2006 20:20 3.120 EO63QJ3E.ocx
22.03.2006 20:20 3.120 HN3PPK5G.ocx
22.03.2006 20:20 3.120 CQSHYJ1R.ocx
22.03.2006 20:20 3.120 G9B5D2PH.ocx
__________
MfG Sabina

rund um die PC-Sicherheit

#56 Hi Sabina,

weiß nicht mehr was ich am 22.3. geladen hab. Schon zu lange her. Aber es sieht wieder gut aus auf meinem PC. Hab Superantispyware durchlaufen lassen, hat ein Trojaner (glaub ich) gefunden, wurde gelöscht. Krieg auch keine Meldungen mehr von Kaspersky, Spybot und Steganos Antispyware. Das kleine Symbol ist auch weg aus der Taskleiste. Alles Gut. Großes Dankeschön nochmal. Hier nochmal die Logfile von Superantispyware:


SUPERAntiSpyware Scan Log
Generated 04/19/2006 at 03:18 PM

Core Rules Database Version : 2879
Trace Rules Database Version: 1035

Memory Thread detected : 0
Registry Thread detected : 0
File Thread detected : 7

Trojan.SpyFalcon
C:\System Volume Information\_restore{527450C9-07E4-4343-811A-8A05E64FF43C}\RP1\A0000358.dll
C:\System Volume Information\_restore{527450C9-07E4-4343-811A-8A05E64FF43C}\RP1\A0000590.dll
C:\System Volume Information\_restore{527450C9-07E4-4343-811A-8A05E64FF43C}\RP1\A0000957.dll
C:\System Volume Information\_restore{527450C9-07E4-4343-811A-8A05E64FF43C}\RP1\A0001498.dll
C:\System Volume Information\_restore{527450C9-07E4-4343-811A-8A05E64FF43C}\RP1\A0001995.dll
C:\System Volume Information\_restore{527450C9-07E4-4343-811A-8A05E64FF43C}\RP1\A0002413.dll
C:\System Volume Information\_restore{527450C9-07E4-4343-811A-8A05E64FF43C}\RP1\A0002866.dll

#57 w107

1.
loesche die ocx -Dateien vom 22.03.

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

3.
dann wieder aktivieren.

Alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#58 Hat soweit ales geklapt, allerdings weis ich nicht wie ich die in Quarantäne gezogenen Items gelöscht werden können...

Den SmitRem hatte ich bereits am 18.04. gemacht... Muss ich es jetzt nochmal machen???

Das ist der smitfile:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
C:\Dokumente und Einstellungen\Chris\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

mssearchnet.exe
ncompat.tlb
nvctrl.exe
hp***.tmp
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~


Gruss
Frank
__________
Quelum obscurrum est...
Carpe Noctem

#59 Frankmasta

du kannst die Dateien auch in Quarantaene lassen.
ich habe das Problem--> den scanner gefunden , geladen... und da mein Rechner sauber ist, konnte ich keine umfassende Anleitung erstellen

Wie steht es mit der Startseite?
Oder muessen wir noch weiter "graben" ???
__________
MfG Sabina

rund um die PC-Sicherheit

#60 Ok Sabina, werde das abarbeiten und morgen posten..hab momentan wenig Zeit.

Vielen Dank.

Zitat:

Zitat

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: wincgf32 - C:\WINDOWS\SYSTEM32\wincgf32.dll

PC neustarten

funktioniert nicht! Der Eintrag ist nach dem Neustart wieder an alter stelle.


Ok, habe jetzt alle Schritte abgearbeitet..war gar nicht so schwer :-)

Leider finde ich den ewido-Report nicht, hatte ihn eigentlich auf'm Desktop abgelegt.

Aber das System scheint augenscheinlich sauber zu sein.

Was nun?? :-)