Your Computer is infected!

#1 Hallo bei mir geht auch dauernd ein Fenster auf wie auf dieser Seite beschrieben http://virus-protect.org/artikel/spyware/spywarequake.html. Dazu blinkt bei mir ein gelbes Warndreieck und Popups kommen hin und wieder. Meine Startseite lässt sich auch nicht mehr ändern und steht auf blanc im Moment.
Habe mir Cleanup runtergeladen und nach Anleitung ausgeführt und danach Hijackthis gestartet. Hier ist die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:57:39, on 07.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\CleanUp!\Cleanup.exe
C:\Dokumente und Einstellungen\Timo\Desktop\HijackThis.exe

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp247B.tmp
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .3gp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .tga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin6.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Kann mir jemand weiter helfen?
Mfg Pray[/url]

#2 pray

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

-
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina, danke das du mir helfen willst. Hier die 3 Textdateien...

Verzeichnis von C:\WINDOWS\system32

07.05.2006 17:28 5.116 stdole3.tlb
07.05.2006 17:21 5.632 simpole.tlb
07.05.2006 17:21 25.088 hp8DD8.tmp
07.05.2006 17:21 30.221 ld8C61.tmp
06.05.2006 19:05 16.804 dcomcfg.exe
05.05.2006 17:01 157.952 FNTCACHE.DAT
05.05.2006 10:18 0 asfiles.txt
05.05.2006 10:15 2.550 Uninstall.ico
05.05.2006 10:15 1.406 Help.ico
05.05.2006 10:15 30.590 pavas.ico
05.05.2006 08:45 176.128 reglogs.dll
05.05.2006 08:45 4.286 ts.ico
05.05.2006 08:45 4.286 ot.ico
05.05.2006 08:45 10.036 atmclk.exe
05.05.2006 08:38 38.925 regperf.exe
30.04.2006 18:02 2.206 wpa.dbl
13.04.2006 16:54 827.392 FLASH.OCX
06.04.2006 21:48 5.143.456 MRT.exe
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 10:16 311.604 perfh009.dat
26.03.2006 10:16 39.992 perfc009.dat
26.03.2006 10:16 316.594 perfh007.dat
26.03.2006 10:16 48.156 perfc007.dat
26.03.2006 10:16 723.926 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll

Verzeichnis von C:\DOKUME~1\Timo\LOKALE~1\Temp

07.05.2006 17:29 14.244 oiggnpmd.exe
07.05.2006 17:21 16.384 Perflib_Perfdata_7fc.dat
07.05.2006 17:21 16.384 ~DFDA6C.tmp
07.05.2006 15:22 14.243 dnjdmcmd.exe
07.05.2006 14:57 14.244 aaccfemd.exe
07.05.2006 14:43 0 EPSLog.txt
07.05.2006 14:32 14.244 jmgacfmd.exe
07.05.2006 14:07 14.244 gfpflgmd.exe
07.05.2006 13:42 14.244 eddeaimd.exe
07.05.2006 13:17 14.244 nnclojmd.exe
07.05.2006 12:52 14.244 ieljhlmd.exe
07.05.2006 12:38 4.592 SIntfIcn.ani
07.05.2006 12:38 24.516 SIntfNT.dll
07.05.2006 12:38 19.924 SIntf32.dll
07.05.2006 12:38 12.067 SIntf16.dll
07.05.2006 12:38 36.864 CmdLineExt02.dll
07.05.2006 12:27 14.244 hjfimmmd.exe
07.05.2006 12:11 81.920 ~DFA60D.tmp
07.05.2006 12:02 14.244 iecpfomd.exe
07.05.2006 11:39 135.261 jusched.log
07.05.2006 11:37 14.244 phcncpmd.exe
07.05.2006 11:29 16.384 ~DF67B9.tmp
06.05.2006 19:06 0 1.10.2.5302.deDE
06.05.2006 19:00 81.920 ~DF9FA7.tmp
06.05.2006 18:58 16.384 ~DFE1B5.tmp
06.05.2006 11:25 81.920 ~DF40E9.tmp
06.05.2006 10:54 16.384 ~DF1826.tmp
05.05.2006 17:45 81.920 ~DF898F.tmp
05.05.2006 17:45 81.920 ~DF3399.tmp
05.05.2006 17:45 81.920 ~DF2C63.tmp
05.05.2006 17:12 939 jupdate1.5.0.xml
05.05.2006 17:02 16.384 ~DF363D.tmp
05.05.2006 13:23 14.244 mocjlgmd.exe
05.05.2006 12:12 3.170 Word 2002 Setup(0001).txt
05.05.2006 12:12 6.027.710 Word 2002 Setup(0001)_Task(0001).txt
05.05.2006 12:10 81.920 ~DF93FE.tmp
05.05.2006 11:18 14.244 decbeomd.exe
05.05.2006 11:18 4 PMShared
05.05.2006 10:53 14.244 jpahnpmd.exe
05.05.2006 10:45 16.384 ~DFDB7B.tmp
05.05.2006 10:25 16.384 ~DFBE21.tmp
05.05.2006 10:01 14.244 olileimd.exe
05.05.2006 09:36 14.244 egdlnjmd.exe
05.05.2006 09:11 14.244 gpjkkkmd.exe
05.05.2006 09:06 81.920 ~DF7AC2.tmp
05.05.2006 08:54 81.920 ~DFE47F.tmp
05.05.2006 08:54 482 mcmF1.tmp
05.05.2006 07:45 16.384 ~DF9DC4.tmp
04.05.2006 20:19 81.920 ~DF8CAF.tmp
04.05.2006 20:08 896 TWAIN.LOG
04.05.2006 20:08 3 Twain001.Mtx
04.05.2006 20:08 156 Twunk001.MTX
04.05.2006 19:21 240.526 MSIab348.LOG
04.05.2006 19:21 240.526 MSIab344.LOG
04.05.2006 17:43 16.384 ~DF2915.tmp
04.05.2006 08:43 12.468.224 ~WRF0000.tmp
04.05.2006 08:22 81.920 ~DFE057.tmp
04.05.2006 08:21 81.920 ~DF8BEE.tmp
04.05.2006 08:21 81.920 ~DF7911.tmp
04.05.2006 08:01 16.384 ~DF9C2F.tmp
03.05.2006 18:20 16.384 ~DFB1E2.tmp
03.05.2006 06:01 16.384 ~DFC9CE.tmp
02.05.2006 16:51 0 1.10.1.5230.deDE
02.05.2006 16:48 16.384 ~DFA3A4.tmp


Verzeichnis von C:\WINDOWS

07.05.2006 17:29 675.073 setupapi.log
07.05.2006 17:21 0 0.log
07.05.2006 17:21 1.952.871 WindowsUpdate.log
07.05.2006 17:21 159 wiadebug.log
07.05.2006 17:21 50 wiaservc.log
07.05.2006 17:21 2.048 bootstat.dat
07.05.2006 16:12 32.624 SchedLgU.Txt
05.05.2006 11:17 885 win.ini
05.05.2006 10:35 124.410 ntbtlog.txt
05.05.2006 10:11 5.319 WGA.log
05.05.2006 10:11 26.746 updspapi.log
05.05.2006 09:10 920 IE4 Error Log.txt
05.05.2006 09:04 89.626 iis6.log
05.05.2006 09:04 188.004 comsetup.log
05.05.2006 09:04 116.148 ntdtcsetup.log
05.05.2006 09:04 238.676 tsoc.log
05.05.2006 09:04 1.891 imsins.log
05.05.2006 09:04 28.127 ocmsn.log
05.05.2006 09:04 329.653 ocgen.log
05.05.2006 09:04 31.116 msgsocm.log
05.05.2006 09:04 589.808 FaxSetup.log
28.04.2006 16:05 54.156 QTFont.qfn
26.04.2006 09:07 1.374 imsins.BAK
26.04.2006 09:07 11.184 KB900485.log
25.04.2006 20:15 38.872 War3Unin.dat
21.04.2006 12:16 12.862 EPISMG00.SWB
13.04.2006 12:50 7.680 Thumbs.db
12.04.2006 07:18 30.862 spupdsvc.log
11.04.2006 22:58 15.066 KB908531.log
11.04.2006 22:57 14.243 KB911562.log
11.04.2006 22:57 17.086 KB912812.log
11.04.2006 22:56 10.166 KB911565.log
11.04.2006 22:56 67.347 wmsetup.log
11.04.2006 22:56 10.717 KB911567.log
04.04.2006 19:23 200.401 setupact.log
01.03.2006 16:19 1.409 QTFont.for
22.02.2006 02:07 78.979 DirectX.log
22.02.2006 01:54 984 eReg.dat
16.02.2006 20:16 10.634 KB911927.log
16.02.2006 20:16 4.770 KB911564.log
16.02.2006 20:15 6.705 KB913446.log
09.02.2006 17:40 53 ptmetall.INI

Verzeichnis von C:\

07.05.2006 17:31 0 sys.txt
07.05.2006 17:31 9.663 system.txt
07.05.2006 17:30 4.444 systemtemp.txt
07.05.2006 17:28 109.236 system32.txt
07.05.2006 17:21 1.073.741.824 pagefile.sys
21.04.2006 17:28 26.576 ptcsetup.log


Hoffe du kannst damit was anfangen...

Gruß Pray

#4 pray

1.
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

---------------------------------------------------------------------------------
2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..........

C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\reglogs.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\regperf.exe

PC neustarten

------------------------------------------------------------------------------
3.
wende CleanUp an !
http://virus-protect.org/cleanup.html

Verzeichnis von C:\DOKUME~1\Timo\LOKALE~1\Temp ...muss leer sein !

------------------------------------------------------------------------------
4.
Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)

----
5.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

----------------------
6.
öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

-------------------------
7.
starte den PC neu --> in den Normalmodus

* deaktiviere die Systemwiederherstellung (XP) (nach der Reinigung wieder aktivieren)

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Reinigung wieder aktivieren )

8.
scanne mit superantispyware
http://virus-protect.org/artikel/tools/superantispyware.html
bevor du die Quarantaene loeschst..poste mir den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi, habe alles so gemacht wie du geschrieben hast. Allerdings war vorhin noch nicht dabei gestanden das ich cleanup anwenden soll. Hattest du das nachträglich hinzugefügt gerade eben? Sag mir bitte ob ich die schritte nochmal wiederholen soll.

Der Bericht vom Superantispyware ist im Anhang. Gibts da ne möglichkeit den in eine Textdatei zu speichern? Wenn ja hab ichs übersehen...

PS: SmitRem ist noch auf dem PC weil kein Uninstall button vorhanden ist. Manuell löschen?

Gruß Pray[/img]

#6 pray

wende die CleanUp noch mal an, PC neustarten, und die Quarantaene vom superantispyware loeschen.
smitrem kannst du lassen...man weiss ja nie...

dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Heyho, alles wieder super, danke Sabina
Glaub der Superantispyware hat auch noch alte Restbestände gefunden. Echt supi Anleitung und sehr gute Hilfe von dir! Thx a lot.

Gruß Pray