Home » Spyware & Browser Hijacker Support Forum » Habe Probleme mit Spywarequake und Co! » Themenansicht

Habe Probleme mit Spywarequake und Co!
#0
01.06.2006, 21:36
FresH
Member

Beiträge: 23
#1 Also ich bekomme immer die Warnung das ich angeblich einen Virus auf meinem PC hätte ... und mir Spywarequake saugen sollte usw ... hin und wieder öffnen sihc pop ups... und ich habe 2 blinkende symbole in der Trayleiste ... einmal UrgendSystem Message!Virus! und halt Virus Alert!


OK hier schonmal ein anfang :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atmclk.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\WinAce\WinAce.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\WinAce\WinAce.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\WinAce\WinAce.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAVNet] "C:\ms32.exe" /m
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.EXE (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} - http://activex.microgaming.com/dlhelper/version7/dlhelper.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Verzeichnis von C:\WINDOWS\system32

01.06.2006 22:10 5.044 stdole3.tlb
01.06.2006 22:09 7.168 simpole.tlb
01.06.2006 22:08 36.864 hp100.tmp
01.06.2006 22:08 48.653 ld101.tmp
01.06.2006 22:05 10.022 KGyGaAvL.sys
01.06.2006 22:01 11.268 atmclk.exe
01.06.2006 21:33 58.880 dcomcfg.exe
01.06.2006 19:28 176.128 imfdfcj.dll
01.06.2006 19:28 4.286 ot.ico
01.06.2006 19:28 4.286 ts.ico
01.06.2006 19:21 58.893 regperf.exe
31.05.2006 22:53 6.948 jupdate-1.5.0_06-b05.log
31.05.2006 22:07 1.158 wpa.dbl
31.05.2006 22:07 395.208 perfh009.dat
31.05.2006 22:07 408.796 perfh007.dat
31.05.2006 22:07 60.244 perfc009.dat
31.05.2006 22:07 72.544 perfc007.dat
31.05.2006 22:07 947.860 PerfStringBackup.INI
31.05.2006 22:04 313.176 FNTCACHE.DAT
31.05.2006 22:03 263 $winnt$.inf
31.05.2006 21:57 25.065 wmpscheme.xml
31.05.2006 21:57 23.392 nscompat.tlb
31.05.2006 21:57 16.832 amcompat.tlb
31.05.2006 21:56 488 WindowsLogon.manifest
31.05.2006 21:56 488 logonui.exe.manifest
31.05.2006 21:56 749 cdplayer.exe.manifest
31.05.2006 21:56 749 sapi.cpl.manifest
31.05.2006 21:56 749 wuaucpl.cpl.manifest
31.05.2006 21:56 749 nwc.cpl.manifest
31.05.2006 21:56 749 ncpa.cpl.manifest
31.05.2006 21:53 22.992 emptyregdb.dat
03.05.2006 18:54 307.200 atiiiexx.dll
03.05.2006 18:51 258.048 ati2dvag.dll
03.05.2006 18:45 114.688 atipdlxx.dll
03.05.2006 18:45 77.824 Oemdspif.dll
03.05.2006 18:45 26.112 Ati2mdxx.exe
03.05.2006 18:45 41.984 ati2edxx.dll
03.05.2006 18:44 61.440 ati2evxx.dll
03.05.2006 18:43 413.696 ati2evxx.exe
03.05.2006 18:43 53.248 ATIDDC.DLL
03.05.2006 18:35 2.693.280 ati3duag.dll
03.05.2006 18:29 1.408.000 ativvaxx.dll

Verzeichnis von C:\WINDOWS

01.06.2006 22:11 2.636 win.ini
01.06.2006 22:09 0 0.log
01.06.2006 22:09 159 wiadebug.log
01.06.2006 22:09 0 wiaservc.log
01.06.2006 22:09 459.595 ESCAN.LOG
01.06.2006 22:09 9.255 frights.log
01.06.2006 22:07 2.048 bootstat.dat
01.06.2006 22:06 32.548 SchedLgU.Txt
01.06.2006 20:53 82.608 wmsetup.log
01.06.2006 20:53 1.451 KB898458Uninst.log
01.06.2006 20:53 1.355 imsins.log
01.06.2006 20:53 116.600 tsoc.log
01.06.2006 20:53 64.514 ntdtcsetup.log
01.06.2006 20:53 104.724 comsetup.log
01.06.2006 20:53 39.291 iis6.log
01.06.2006 20:53 14.413 msgsocm.log
01.06.2006 20:53 16.341 ocmsn.log
01.06.2006 20:53 158.126 ocgen.log
01.06.2006 20:53 266.866 FaxSetup.log
01.06.2006 20:53 986.031 setupapi.log
01.06.2006 20:50 237 system.ini
01.06.2006 19:54 76.534 Omega Drivers v3.8.252.log
01.06.2006 19:45 413 IEPatchUninstall.log
31.05.2006 23:11 451.072 Radeon Omega Drivers v3.8.252 Uninstall.exe
31.05.2006 22:17 1.442 COM+.log
31.05.2006 22:17 6.044 Windows Update.log
31.05.2006 22:09 85.098 DirectX.log
31.05.2006 22:07 733.245 setuplog.txt
31.05.2006 22:03 4.382 imsins.BAK
31.05.2006 22:03 140.796 setupact.log
31.05.2006 21:58 5.143 xpsp1hfm.log


Verzeichnis von C:\

01.06.2006 22:12 0 sys.txt
01.06.2006 22:12 10.230 system.txt
01.06.2006 22:12 287 systemtemp.txt
01.06.2006 22:11 111.819 system32.txt
01.06.2006 22:07 1.072.484.352 hiberfil.sys
01.06.2006 22:07 1.610.612.736 pagefile.sys
01.06.2006 20:50 211 boot.ini
01.06.2006 20:26 0 23990098.$$$
31.05.2006 22:10 711 pnpID.dat
31.05.2006 22:10 39 CTJINI.INI
26.05.2006 22:41 864 TSP.log
Dieser Beitrag wurde am 01.06.2006 um 23:53 Uhr von FresH editiert.
Seitenanfang Seitenende
02.06.2006, 11:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 FresH

1.
*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der registry beifuegen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\imfdfcj.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\regperf.exe
C:\Dokumente und Einstellungen\Andre\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\ms32.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp
O4 - HKLM\..\Run: [NAVNet] "C:\ms32.exe" /m
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
**
arbeite das ab und poste beide Logs (smitfraud.fix)
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1