Spyware Quake 2.0 ist nicht zu löschen!

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.04.2006, 14:06
...neu hier

Beiträge: 6
#61 hi habe auch den spyware quake, hier ist meine log, kann mir jemand helfen?
hab die erklärten schritte soweit durchgeführt, aber antivir findet immer noch die winuns32.dll ;)

Logfile of HijackThis v1.99.1
Scan saved at 14:04:40, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe

C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\WLANMO~1\wlconfig.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\ASKS~1\tracert.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WLANMO~1\accwpac.exe
F:\datz\progz\hijackthis\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe

O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\system32\hpEC6B.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [wlconfig] "C:\PROGRA~1\WLANMO~1\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min


O4 - HKCU\..\Run: [Slsd] "C:\WINDOWS\ASKS~1\tracert.exe" -vt mt


O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O20 - Winlogon Notify: winuns32 - C:\WINDOWS\SYSTEM32\winuns32.dll

O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


24.04.2006 14:47 5.012 ncompat.tlb
24.04.2006 14:42 3.284 ANIWZCS{A289C112-80E5-46B3-A620-9021995CCD41}
24.04.2006 14:41 9.728 interf.tlb
24.04.2006 14:41 21.828 nvapps.xml
24.04.2006 14:41 67.072 hp9D23.tmp
24.04.2006 13:15 67.072 hpE405.tmp
24.04.2006 13:09 67.072 hp6D75.tmp
24.04.2006 12:55 67.072 hp5BFC.tmp
24.04.2006 12:55 10.284 mssearchnet.exe
24.04.2006 12:55 4.286 ot.ico
24.04.2006 12:55 4.286 ts.ico
24.04.2006 12:55 16.956 nvctrl.exe
24.04.2006 12:54 156.672 oins.exe
24.04.2006 12:53 12.243 winuns32.dll

22.04.2006 13:50 2.262 wpa.dbl
27.03.2006 20:10 380.486 perfh009.dat
27.03.2006 20:10 52.900 perfc009.dat
27.03.2006 20:10 391.330 perfh007.dat
27.03.2006 20:10 63.778 perfc007.dat
27.03.2006 20:10 897.954 PerfStringBackup.INI
27.02.2006 14:28 7.006 jupdate-1.5.0_06-b05.log
13.02.2006 17:08 5.618 jupdate-1.5.0_05-b05.log
18.01.2006 14:06 57.344 avsda.dll
Dieser Beitrag wurde am 24.04.2006 um 15:21 Uhr von tilli editiert.
Seitenanfang Seitenende
24.04.2006, 18:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#62 tilli

es sind 4 Textdateien ...und da auch ein Purityscan auf dem System ist, brauche ich alle vier und nicht nur eins
http://virus-protect.org/datfindbat.html

Zitat

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\
+

Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\tracert*.*" > c:\find.txt & start notepad c:\find.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 18:34
...neu hier

Beiträge: 6
#63 oki, hier der tempordner:
24.04.2006 18:25 32.768 ~DF1BC7.tmp
24.04.2006 18:25 16.384 ~DFAF09.tmp
24.04.2006 18:25 409.600 ~DF7B16.tmp
24.04.2006 17:24 0 mso10F.tmp
24.04.2006 17:24 0 mso110.tmp
24.04.2006 16:14 412 jusched.log
24.04.2006 16:07 1.212.416 ~DF6FED.tmp
24.04.2006 16:07 32.768 ~DFC262.tmp
24.04.2006 16:07 16.384 ~DF92E1.tmp
24.04.2006 16:05 32.768 ~DF5309.tmp
24.04.2006 16:05 409.600 ~DF82B8.tmp
24.04.2006 16:05 16.384 ~DF606F.tmp
24.04.2006 16:05 49.152 ~DF2B31.tmp
24.04.2006 15:52 512 ~DF6BF8.tmp
24.04.2006 15:41 1.334 mso30F.wmf
24.04.2006 15:41 1.304 mso2BF.wmf
24.04.2006 15:41 1.758 mso2B5.wmf
24.04.2006 15:41 1.464 mso28D.wmf
24.04.2006 15:41 2.018 mso1C1.wmf
24.04.2006 15:41 5.214 ~WRS0000.tmp
24.04.2006 15:41 512 ~DFC2FB.tmp
24.04.2006 15:41 402 mso3D4.wmf
24.04.2006 15:41 512 ~DFBD19.tmp
24.04.2006 15:34 1.212.416 ~DF6D4F.tmp
24.04.2006 15:32 49.152 ~DFC960.tmp
24.04.2006 15:32 32.768 ~DFBE42.tmp
24.04.2006 15:32 16.384 ~DF9040.tmp
24.04.2006 15:16 409.600 ~DFE031.tmp

c:/WINDOWS
24.04.2006 18:29 461.833 WindowsUpdate.log
24.04.2006 18:24 0 0.log
24.04.2006 18:24 159 wiadebug.log
24.04.2006 18:24 50 wiaservc.log
24.04.2006 18:23 2.048 bootstat.dat
24.04.2006 18:21 273.770 ntbtlog.txt
24.04.2006 18:19 32.618 SchedLgU.Txt
24.04.2006 15:12 175.803 setupact.log
24.04.2006 14:47 116 NeroDigital.ini
24.04.2006 12:54 688.535 setupapi.log
24.04.2006 12:43 1.409 QTFont.for
24.04.2006 12:43 54.156 QTFont.qfn
23.04.2006 19:21 192 winamp.ini

C:/
24.04.2006 18:33 0 sys.txt
24.04.2006 18:33 5.128 system.txt
24.04.2006 18:33 1.657 systemtemp.txt
24.04.2006 18:33 99.281 system32.txt
24.04.2006 18:23 603.979.776 pagefile.sys
24.04.2006 15:08 3.314 smitfiles.txt
23.01.2006 15:36 429 datFind.bat

thx!
Seitenanfang Seitenende
24.04.2006, 22:55
...neu hier

Beiträge: 4
#64 MOin...

@Sabina:

Hat soweit alles geklappt... zumindest sind mir keine Fehler mehr aufegallen... Habe zwa noch ein ungutes Gefühl, aber das ist denke ich normal...

Auf jeden Fall nochmal Danke...

Bin begeistert von den Programme...

Gruss Frank
__________
Quelum obscurrum est...
Carpe Noctem
Seitenanfang Seitenende
25.04.2006, 00:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#65 tilli

ich brauche noch etwas...dann beginnt die Reinigung:

Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint


dir /s /a "c:\tracert*.*" > c:\find.txt & start notepad c:\find.txt

-------------------

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> poste diie Textdatei

-------------------

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2006, 20:45
...neu hier

Beiträge: 6
#66 oki..
Cmd:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 903A-59FF

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

18.08.2001 14:00 10.240 tracert.exe
1 Datei(en) 10.240 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 01:58 12.800 tracert.exe
1 Datei(en) 12.800 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 01:58 12.800 tracert.exe
18.08.2001 14:00 32.256 tracert6.exe
2 Datei(en) 45.056 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

18.08.2001 14:00 32.256 tracert6.exe
1 Datei(en) 32.256 Bytes

Verzeichnis von c:\WINDOWS\?asks

24.04.2006 12:54 71.168 tracert.exe
1 Datei(en) 71.168 Bytes

Anzahl der angezeigten Dateien:
6 Datei(en) 171.520 Bytes
0 Verzeichnis(se), 5.308.477.440 Bytes frei



blbeta:
04/26/06 20:39:02 [Info]: BlackLight Engine 1.0.36 initialized
04/26/06 20:39:02 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/26/06 20:39:03 [Note]: 7019 4
04/26/06 20:39:03 [Note]: 7005 0
04/26/06 20:39:07 [Note]: 7006 0
04/26/06 20:39:07 [Note]: 7011 1984
04/26/06 20:39:07 [Note]: 7026 0
04/26/06 20:39:07 [Note]: 7026 0
04/26/06 20:39:16 [Note]: FSRAW library version 1.7.1015
04/26/06 20:41:55 [Note]: 7007 0




echo:
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 903A-59FF


reicht dir das? muss ich irgendwie nochmal alles von vorne machen, also mit dem highjack-this und so?

vielen dank für die hilfe!
Seitenanfang Seitenende
26.04.2006, 23:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#67 tilli

**
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

c:\WINDOWS\system32\ncompat.tlb
c:\WINDOWS\system32\ANIWZCS{A289C112-80E5-46B3-A620-9021995CCD41}
c:\WINDOWS\system32\interf.tlb
c:\WINDOWS\YAXUninst.exe
c:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
c:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\hpEC6B.tmp
c:\WINDOWS\system32\hp9D23.tmp
c:\WINDOWS\system32\hpE405.tmp
c:\WINDOWS\system32\hp6D75.tmp
c:\WINDOWS\system32\hp5BFC.tmp
c:\WINDOWS\system32\mssearchnet.exe
c:\WINDOWS\system32\ot.ico
c:\WINDOWS\system32\ts.ico
c:\WINDOWS\system32\nvctrl.exe
c:\WINDOWS\system32\oins.exe
c:\WINDOWS\system32\winuns32.dll

PC neustarten

**
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

**
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\system32\hpEC6B.tmp
O4 - HKCU\..\Run: [Slsd] "C:\WINDOWS\ASKS~1\tracert.exe" -vt mt
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O20 - Winlogon Notify: winuns32 - C:\WINDOWS\SYSTEM32\winuns32.dll
PC neustarten
--> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)

**
öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

**
mit der Suchfunktion von Windows suche : tasks und tracert.exe
es gibt welche, die sind legal (nicht loeschen ! ) und die andere gehoert zum Purityscan. Man kann das sehr gut am Datum erkennen.
Das beste, du suchst nach Datum und Groesse.
du darfst nur die vom 24.04.2006 loeschen !!!...71.168 kb gross

c:\WINDOWS\?asks\tracert.exe
c:\WINDOWS\?asks\

Zitat

Verzeichnis von c:\WINDOWS\?asks

24.04.2006 12:54 71.168 tracert.exe
1 Datei(en) 71.168 Bytes
**
wende noch mal CleanUp im abgesicherten Modus an

**
boote wieder in den Normalmodus

**
deaktiviere die Systemwiederherstellung (dann wieder aktivieren)

**
dann lade ewido , scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.04.2006, 11:40
...neu hier

Beiträge: 6
#68 ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:40:28, 27.04.2006
+ Report-Checksumme: C063A4DF

+ Scanergebnis:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaTickets -> Adware.PurityScan : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Tille\Anwendungsdaten\Mozilla\Firefox\Profiles\fbfhex32.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Tille\Anwendungsdaten\Mozilla\Firefox\Profiles\fbfhex32.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Tille\Anwendungsdaten\Mozilla\Firefox\Profiles\fbfhex32.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\Tille\Anwendungsdaten\Mozilla\Firefox\Profiles\fbfhex32.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\Tille\Anwendungsdaten\Mozilla\Firefox\Profiles\fbfhex32.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\Tille\Anwendungsdaten\Mozilla\Firefox\Profiles\fbfhex32.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
F:\datz\progz\hijackthis\backups\backup-20060424-140832-826.dll -> Adware.MediaTickets : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
27.04.2006, 13:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#69 poste das neue Log vom HijackThis und berichte auch, ob du alles abgearbeitet hast ...und ob der Rechner deiner Meinung nach sauber ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.04.2006, 16:55
...neu hier

Beiträge: 6
#70 also, hier die highjack:

Logfile of HijackThis v1.99.1
Scan saved at 16:53:34, on 27.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Common Files\?racle\??chost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\datz\progz\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [Ulrrtov] C:\Programme\Common Files\?racle\??chost.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



hab alles abgearbeitet und die winuns.dll ist auch endlich weg aber antivir findet, wenn ich windows start immer noch folgende datei des purityscans, die ich manuell aber ncih finden kann

C:\Dokumente und Einstellungen\Tille\Lokale Einstellungen\Temp\!update.exe
Seitenanfang Seitenende
28.04.2006, 00:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#71 fixe mit dem HijackThis:

O4 - HKCU\..\Run: [Ulrrtov] C:\Programme\Common Files\?racle\??chost.exe

PC neustarten

Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\?racle*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\??chost.exe*.*" > c:\find.txt & start notepad c:\find.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 12:14
...neu hier

Beiträge: 6
#72 racle:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 903A-59FF

Verzeichnis von c:\Programme\Common Files

24.04.2006 17:20 <DIR> ?racle
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
0 Datei(en) 0 Bytes
1 Verzeichnis(se), 5.283.475.456 Bytes frei


chost:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 903A-59FF

Verzeichnis von c:\Programme\Common Files\?racle

18.04.2006 15:41 409.600 ??chost.exe
1 Datei(en) 409.600 Bytes

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

18.08.2001 14:00 12.800 svchost.exe
1 Datei(en) 12.800 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

30.04.2006 11:59 26.828 ??CHOST.EXE-0C924690.pf
1 Datei(en) 26.828 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 01:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 01:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Anzahl der angezeigten Dateien:
5 Datei(en) 477.900 Bytes
0 Verzeichnis(se), 5.283.475.456 Bytes frei
Seitenanfang Seitenende
30.04.2006, 12:45
Member

Beiträge: 21
#73 Spyware Axe, Strike + Quake
Ich hab alle drei auf meinem PC;)
Axe war zuerst und hat dann wohl die anderen installiert.
wie muss ich vorgehen um die zu löschen? spezielle reihenfolge oder sonst etwas?

danke, duophant
Seitenanfang Seitenende
30.04.2006, 14:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#74 tilli

**
loeschen (wieder auf Datum und Groesse achten)

Verzeichnis von c:\Programme\Common Files\?racle\??chost.exe

18.04.2006 15:41 409.600 ??chost.exe
1 Datei(en) 409.600 Bytes

Verzeichnis von c:\WINDOWS\Prefetch\??CHOST.EXE-0C924690.pf

30.04.2006 11:59 26.828 ??CHOST.EXE-0C924690.pf
1 Datei(en) 26.828 Bytes


**
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 14:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#75 Duophant

1.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende