Virus Alert! Spyware Quake ... Your computer is infected! usw.

#0
06.06.2006, 14:33
...neu hier

Beiträge: 4
#1 Hallöle ...

ich war gestern im Netz und kontrollierte meine Mails bie GMX. Hatte nebenbei noch ICQ laufen und ebenso ein weiteres Fenster meines Standardbrowsers "Dark Fox 1.0" bei chat4free.de ...

Problem war, dass auf einmal Quake sich bei mir zu Wort meldete und meinen Browser mit seinen Meldungen überschwemmte.

Was kann ich da nun dagegen machen?

Hier nochmal der Log von Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 14:16:46, on 06.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Imageloading\DAEMON Tools\daemon.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Soundkartenprogramme\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Programme\Sicherheit\FritzDsl.exe
C:\Programme\Sicherheit\FwebProt.exe
C:\Programme\Sicherheit\StCenter.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\programme\sicherheit\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet\Browser\Firefox\firefox.exe
F:\Downloads\Firefox\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von

AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\Internet\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\nternet\Viewer\Acrobat 7.0 Professional\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\nternet\Viewer\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\nternet\Viewer\Acrobat 7.0Professional\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\Internet\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll (file missing)
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Soundkartenprogramme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\Imageloading\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Imageloading\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Sicherheit\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [EasyTuneIV] C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\ET4\et4Tray.exe
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Soundkartenprogramme\Creative\SBAudigy\TaskBar\CTLTray.exe
O4 - HKCU\..\Run: [SymKeepAlive] C:\Programme\Sicherheit\Norton SystemWorks\CKA\CKA.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\Sicherheit\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\Sicherheit\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\Sicherheit\StCenter.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren -
res://C:\Programme\nternet\Viewer\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren -
res://C:\Programme\nternet\Viewer\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\nternet\Viewer\Acrobat 7.0
Professional\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren -
res://C:\Programme\nternet\Viewer\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\nternet\Viewer\Acrobat 7.0
Professional\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\nternet\Viewer\Acrobat 7.0
Professional\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\SCHREI~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\nternet\Viewer\Acrobat
7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren -
res://C:\Programme\nternet\Viewer\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\SCHREI~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\Chat\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Programme\Internet\Chat\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\programme\sicherheit\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\sicherheit\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\sicherheit\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\sicherheit\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\sicherheit\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137442341186
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137442296858
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B476BFB-939D-4FC2-BB4E-A6711EA9D71F}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\AdobeSystemsShared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - c:\programme\sicherheit\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

NEU:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 2875-3EE1

Verzeichnis von C:\WINDOWS\system32

06.06.2006 15:10 5.080 stdole3.tlb
06.06.2006 15:10 40.973 ld101.tmp
06.06.2006 15:10 29.184 hp101.tmp
06.06.2006 15:07 6.656 simpole.tlb
06.06.2006 15:07 40.973 ld100.tmp
06.06.2006 15:07 29.184 hp100.tmp

06.06.2006 15:07 23.712 BMXCtrlState-{00000001-00000000-00000009-00001102-00000004-005A1102}.rfx
06.06.2006 15:07 18.792 BMXState-{00000001-00000000-00000009-00001102-00000004-005A1102}.rfx
06.06.2006 15:07 18.792 BMXStateBkp-{00000001-00000000-00000009-00001102-00000004-005A1102}.rfx
06.06.2006 15:07 23.712 BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000004-005A1102}.rfx
06.06.2006 15:07 24 DVCState-{00000001-00000000-00000009-00001102-00000004-005A1102}.dat
06.06.2006 15:07 1.080 settings.sfm
06.06.2006 15:07 1.080 settingsbkup.sfm
06.06.2006 15:07 24 DVCStateBkp-{00000001-00000000-00000009-00001102-00000004-005A1102}.dat
05.06.2006 23:04 176.128 acvgxw.dll
05.06.2006 23:04 4.286 ot.ico
05.06.2006 23:04 48.640 dcomcfg.exe
05.06.2006 23:04 4.286 ts.ico
05.06.2006 23:04 10.468 atmclk.exe
02.06.2006 15:20 50.189 regperf.exe

29.05.2006 15:37 2.184 wpa.dbl
18.04.2006 13:49 25.065 wmpscheme.xml
26.03.2006 15:31 40.836 perfc009.dat
26.03.2006 15:31 314.508 perfh009.dat
26.03.2006 15:31 320.094 perfh007.dat
26.03.2006 15:31 49.174 perfc007.dat
26.03.2006 15:31 732.342 PerfStringBackup.INI
24.03.2006 18:46 100 LuResult.txt

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 2875-3EE1

Verzeichnis von C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp

06.06.2006 15:10 49.152 ~DF2501.tmp
06.06.2006 15:10 16.384 ~DF239F.tmp
06.06.2006 15:07 49.152 ~DFD4B7.tmp
06.06.2006 15:07 16.384 ~DFD317.tmp
06.06.2006 15:07 32.768 ~DF99D5.tmp
5 Datei(en) 163.840 Bytes
0 Verzeichnis(se), 12.056.059.904 Bytes frei

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 2875-3EE1

Verzeichnis von C:\WINDOWS

06.06.2006 15:10 3.208.749 {00000001-00000000-00000009-00001102-00000004-005A1102}.BAK
06.06.2006 15:10 3.208.749 {00000001-00000000-00000009-00001102-00000004-005A1102}.CDF
06.06.2006 15:08 0 0.log
06.06.2006 15:07 1.749.995 WindowsUpdate.log
06.06.2006 15:07 2.048 bootstat.dat
06.06.2006 15:07 32.460 SchedLgU.Txt
06.06.2006 00:48 116 NeroDigital.ini
05.06.2006 19:46 691 win.ini
05.06.2006 03:04 216 wiadebug.log
05.06.2006 00:38 50 wiaservc.log
05.06.2006 00:04 431.724 DirectX.log
04.06.2006 17:22 1.210.793 setupapi.log
22.05.2006 14:17 25.797 DesertCombat Setup Log.txt
22.05.2006 14:13 729.088 iun6002.exe
22.05.2006 12:08 906 eReg.dat
22.05.2006 12:03 181 setup.log
05.05.2006 18:41 247 RomeTW.ini
18.04.2006 13:49 1.510 OEWABLog.txt
14.04.2006 19:36 10 WININIT.INI
26.03.2006 16:14 107.134 UninstallFirefox.exe
26.03.2006 16:14 7.099 mozver.dat
26.03.2006 14:37 40 avfile_h.ini
26.03.2006 14:35 44 ad_av_2_h_0001.ini
25.03.2006 22:22 46 avfile_dir.ini
24.03.2006 18:59 18.147 dasetup.log
24.03.2006 18:50 13.317 LUINSTALL.LOG

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 2875-3EE1

Verzeichnis von C:\

06.06.2006 15:20 0 sys.txt
06.06.2006 15:20 7.750 system.txt
06.06.2006 15:19 485 systemtemp.txt
06.06.2006 15:15 102.324 system32.txt
06.06.2006 15:07 1.048.576.000 pagefile.sys
24.03.2006 18:39 100 LuResult.txt
15.01.2006 17:30 193 boot.ini
14.01.2006 23:18 0 AUTOEXEC.BAT
14.01.2006 23:18 0 MSDOS.SYS
14.01.2006 23:18 0 IO.SYS
14.01.2006 23:18 0 CONFIG.SYS
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 45.124 NTDETECT.COM
18.08.2001 14:00 224.032 ntldr
14 Datei(en) 1.048.960.960 Bytes
0 Verzeichnis(se), 12.056.047.616 Bytes frei


Hab da auch gleich noch ne Frage, was kann ich tun, dass in Zukunft mir soetwas nichtmehr passiert.
Grund dafür, ich habe ne Fritz! W-Lan-Box und die hauseigene AVM-Firewall, die scheint aber auch nicht wirklich mir weiterzuhelfen. ;-)

Danke schonmal im Vorraus!
Dieser Beitrag wurde am 06.06.2006 um 15:24 Uhr von lonestarone editiert.
Seitenanfang Seitenende
06.06.2006, 15:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.06.2006, 15:27
...neu hier

Themenstarter

Beiträge: 4
#3 So, hab nun meinen Post edited ...

Ich hoffe, das ist richtig so ...

Greetz Danü
Seitenanfang Seitenende
06.06.2006, 16:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 lonestarone

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der Registry beifuegen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\WINDOWS\system32\acvgxw.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\regperf.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} -C:\Programme\Security Toolbar\Security Toolbar.dll (file missing
PC neustarten

*
SmitfraudFix
download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip
http://virus-protect.org/artikel/tools/smitfrautfix.html
1. doppelklick smitfraudfix.cmd
2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
3. doppelklick smitfraudfix.cmd
4. schreibe: 2
5. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.06.2006, 17:23
...neu hier

Themenstarter

Beiträge: 4
#5

Zitat

Sabina postete
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab
Das dann auch posten?

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 1813

--> Kann es sein, dass ich schon vorher etwas gelöscht habe? ... Hat sich erledigt, hatte vergessen, "Files to delete:" und Leerzeile hinzuschreiben.


So, hier der Post:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jhoceodu

*******************

Script file located at: \??\C:\WINDOWS\vjwmetbi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\stdole3.tlb deleted successfully.
File C:\WINDOWS\system32\simpole.tlb deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url deleted successfully.
File C:\WINDOWS\system32\acvgxw.dll deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\dcomcfg.exe deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\atmclk.exe deleted successfully.
File C:\WINDOWS\system32\regperf.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hier der erste Log von ...

SmitFraudFix v2.55

Scan done at 17:47:12,27, 06.06.2006
Run from C:\Dokumente und Einstellungen\Daniel Borns\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Daniel Borns\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DANIEL~1\FAVORI~1

C:\DOKUME~1\DANIEL~1\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{5aaf6542-f4ba-4df4-873d-4902ecbe794c}"="acheweed"

[HKEY_CLASSES_ROOT\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\System32\acvgxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\System32\acvgxw.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

... und hier der Zweite ...

SmitFraudFix v2.55

Scan done at 17:47:53,45, 06.06.2006
Run from C:\Dokumente und Einstellungen\Daniel Borns\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{5aaf6542-f4ba-4df4-873d-4902ecbe794c}"="acheweed"

[HKEY_CLASSES_ROOT\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\System32\acvgxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\System32\acvgxw.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\DANIEL~1\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\acvgxw.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Panda-Log:

Browser not supported
We're sorry. ActiveScan requires the browser Microsoft Internet Explorer 5.0 or later version.

Minimum requirements

Operating system:
Windows 95/98/Me/NT/2000/XP

RAM:
32 Mb (Win 95/98/Me)
64 Mb (Win NT/2000/XP)

Browser:
Internet Explorer 5.0 or later

Was tun? Der will irgendwie nicht, oder bin ich gerade fehlgeleitet?
Dieser Beitrag wurde am 06.06.2006 um 18:11 Uhr von lonestarone editiert.
Seitenanfang Seitenende
07.06.2006, 02:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 lonestarone

im Grunde muesste wieder alles sauber sein ;)
kommen noch PopUps ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2006, 09:55
...neu hier

Themenstarter

Beiträge: 4
#7 Also die, die ich nicht geblockt habe, ja, aber die sind auch gewollt.

Die von Quake kommen gar nicht mehr.

Super Arbeit, bist einfach Klasse! :o)

MfG ONE
Seitenanfang Seitenende
16.06.2006, 19:07
Member

Beiträge: 156
#8 Mich hat es auch erwischt.

wie muss ich vorgehen? Danke im Vorraus.

lg Stefan


Logfile of HijackThis v1.99.1
Scan saved at 19:06:29, on 16.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\LiveUpdate\LiveUpdate.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe

C:\WINDOWS\system32\rundll32.exe
C:\Programme\SpywareQuake.com\spyware-quake.exe
C:\Programme\SpywareQuake.com\spyware-quake.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Stefan\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT75\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programme\LiveUpdate\LiveUpdate.exe" /autostart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT75\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT75\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT75\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT75\PRMTIE\options.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
__________
Danke für Eure super Unterstützung!
Lg Stefan
Seitenanfang Seitenende
16.06.2006, 19:15
Member

Beiträge: 156
#9 datfind


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34EB-63BC

Verzeichnis von C:\WINDOWS\system32

16.06.2006 19:08 4.984 stdole3.tlb
16.06.2006 18:24 8.704 simpole.tlb
16.06.2006 18:24 176.128 oybgrql.dll
16.06.2006 18:24 48.640 hp100.tmp
16.06.2006 18:24 75.264 dcomcfg.exe
16.06.2006 18:24 4.286 ot.ico
16.06.2006 18:24 4.286 ts.ico
16.06.2006 18:24 10.860 atmclk.exe
16.06.2006 18:17 50.701 ld101.tmp
16.06.2006 18:17 2.206 wpa.dbl
13.06.2006 15:27 60.941 regperf.exe

26.05.2006 18:13 103 ROXECDC6Inst.log
24.05.2006 08:56 123.728 FNTCACHE.DAT
21.05.2006 14:42 314.508 perfh009.dat
21.05.2006 14:42 40.836 perfc009.dat
21.05.2006 14:42 320.094 perfh007.dat
21.05.2006 14:42 49.174 perfc007.dat
21.05.2006 14:42 724.842 PerfStringBackup.INI
04.05.2006 06:26 5.818.784 MRT.exe
01.05.2006 21:24 81.920 ElbyCDIO.dll
31.03.2006 15:40 7.006 jupdate-1.5.0_06-b05.log
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34EB-63BC

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

16.06.2006 18:28 13.827 jusched.log
16.06.2006 18:18 0 vga4E.tmp
16.06.2006 18:18 0 vga4D.tmp
13.06.2006 22:48 100 0CF6E057.TMP
13.06.2006 15:18 717 control.xml
13.06.2006 14:33 16.384 ~DFF2CA.tmp
13.06.2006 14:27 0 vga4C.tmp
13.06.2006 14:27 0 vga4B.tmp
07.06.2006 20:45 9.528 java_install_reg.log
07.06.2006 20:28 0 vga4A.tmp
07.06.2006 20:28 0 vga49.tmp
05.06.2006 16:28 65.536 ~DF9C31.tmp
05.06.2006 15:08 0 vga48.tmp
05.06.2006 15:08 0 vga47.tmp
02.06.2006 16:59 16.384 ~DF1197.tmp
02.06.2006 11:47 939 jupdate1.5.0.xml
02.06.2006 11:40 14.136 deswatch.bmp
02.06.2006 11:37 0 vga46.tmp
02.06.2006 11:37 0 vga45.tmp
31.05.2006 16:28 0 vga44.tmp
31.05.2006 16:28 0 vga43.tmp
31.05.2006 00:37 0 ypt60.tmp

edit

18.11.2004 22:25 335.872 eauninstall.exe
14.11.2004 16:08 929.792 AutoRunGUI.dll
29.10.2004 14:19 73.728 The Battle for Middle-earth_uninst.exe

235 Datei(en) 1.941.251 Bytes
0 Verzeichnis(se), 39.277.101.056 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34EB-63BC

Verzeichnis von C:\WINDOWS

16.06.2006 18:28 1.088.800 WindowsUpdate.log
16.06.2006 18:23 3.793 KB918439.log
16.06.2006 18:23 4.069 KB917344.log
16.06.2006 18:23 3.598 KB917953.log
16.06.2006 18:23 3.499 KB911280.log
16.06.2006 18:23 3.789 KB916281.log
16.06.2006 18:22 3.452 KB914389.log
16.06.2006 18:18 0 0.log
16.06.2006 18:17 2.048 bootstat.dat
13.06.2006 15:32 31.156 SchedLgU.Txt
13.06.2006 15:29 713 win.ini
13.06.2006 15:18 20.503 wmsetup.log
13.06.2006 14:29 437.454 setupapi.log
30.05.2006 01:14 216 wiadebug.log
30.05.2006 01:08 50 wiaservc.log
26.05.2006 18:21 55 cddabase.ini
26.05.2006 18:21 316.640 WMSysPr9.prx
10.05.2006 20:43 359.576 iis6.log


151 Datei(en) 14.548.224 Bytes
0 Verzeichnis(se), 39.277.096.960 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34EB-63BC

Verzeichnis von C:\

16.06.2006 19:12 0 sys.txt
16.06.2006 19:11 7.734 system.txt
16.06.2006 19:10 11.403 systemtemp.txt
16.06.2006 19:08 93.782 system32.txt
16.06.2006 18:17 1.207.959.552 pagefile.sys
19.05.2006 15:51 146 YServer.txt
10.01.2006 21:50 0 AUTOEXEC.BAT
10.01.2006 21:50 0 CONFIG.SYS
10.01.2006 21:50 0 MSDOS.SYS
10.01.2006 21:50 0 IO.SYS
10.01.2006 21:43 211 boot.ini
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 47.564 NTDETECT.COM
31.12.2002 14:00 251.184 ntldr
07.11.2002 01:28 108.020 setup.ini

15 Datei(en) 1.208.484.548 Bytes
0 Verzeichnis(se), 39.277.092.864 Bytes frei
__________
Danke für Eure super Unterstützung!
Lg Stefan
Seitenanfang Seitenende
17.06.2006, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Okto1967

Info Spyware Quake
http://virus-protect.org/artikel/spyware/spywarequake.html

---------------------------------------------------------------------------

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\oybgrql.dll
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\regperf.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
smitfraud.fix abarbeiten (poste den Scanreport, wenn es abgearbeitet ist)..C:\rapport.txt
http://virus-protect.org/artikel/tools/smitfrautfix.html

4.
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok
öffne smitRem --> Doppelklick: RunThis.bat - warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

5.
Deinstallieren: ...falls es vorhanden ist.....
"Start -> Einstellungen -> Systemsteuerung -> Software"

C:\Programme\SpywareQuake.com
C:\Programme\Security Toolbar
C:\Programme\Media-Codec

6.
Datenträgerbereinigung: und Löschen der Temporary-Dateien

Start - Ausführen - cleanmgr (reinschreiben)
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

7.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann nach der Reinigung wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.06.2006, 14:21
Member

Beiträge: 156
#11 Hallo Sabina,

SmitFraudFix v2.61

Scan done at 14:34:03,96, 17.06.2006
Run from C:\Dokumente und Einstellungen\Stefan\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{ed39ecef-902e-4ed1-8434-71e8db89e5ca}"="decorin"

[HKEY_CLASSES_ROOT\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}\InProcServer32]
@="C:\WINDOWS\system32\oybgrql.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}\InProcServer32]
@="C:\WINDOWS\system32\oybgrql.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\atmclk.exe
Problem while deleting C:\WINDOWS\system32\dcomcfg.exe
Problem while deleting C:\WINDOWS\system32\hp???.tmp
Problem while deleting C:\WINDOWS\system32\hp????.tmp
Problem while deleting C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\ot.ico Deleted
Problem while deleting C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\simpole.tlb Deleted
Problem while deleting C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\Stefan\FAVORI~1\Antivirus Test Online.url Deleted
C:\Programme\SpywareQuake.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\oybgrql.dll -> Hoax.Win32.Renos.gen.b
C:\WINDOWS\system32\oybgrql.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted

»»»»»»»»»»»»»»»»»»»»»»»» End


Ist das Okay so?

Viele Grüße und herzlichen Dank an Dich Stefan
__________
Danke für Eure super Unterstützung!
Lg Stefan
Dieser Beitrag wurde am 17.06.2006 um 14:40 Uhr von Okto1967 editiert.
Seitenanfang Seitenende
17.06.2006, 16:07
...neu hier

Beiträge: 3
#12 Guten Tag, habe vermutlich alles Mögliche falsch gemacht und bin dadurch mehrfach befallen (Glaube ich):


Neben der hier üblichen Lösungen,
was ist denn von einer Formatierung
der Festplatte zu halten? Bekommt
man damit Viren etc. überhaupt in den
Griff? Schließlich scheint es mitunter
weniger Arbeit, als so mancher hier
vorgestellter Lösungsweg.


Hier alles, was ich bisher an herausbekommen bzw. erlebt habe:


::: Popup und Taskleistenwarnung "Security Alert"
::: Popup zweier leerer Fenster in deren Reiter URL WindowSeek o. ä. steht
::: Auf meinem Desktop sind gefakte WindowsSecurity-Icons die "Security Troubleshooting" etc. heißen
::: Rechts unten popt ein kleines Fenster auf "Your Computer is infected"
::: Habe versehentlich BraveSentry heruntergeladen (adware.spysheriff)
::: downloader zlob.nl

Habe schon E-wido durchlaufen lassen, Virenschutz ist Avira Antivir. Aber irgendetwas wird immer wieder neu erzeugt, ich habe das gefühl im kreis zu laufen.



Hier die nötigen Daten, bitte helft mir:


Logfile of HijackThis v1.99.1
Scan saved at 15:47:57, on 17.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Extensis\Suitcase 9.2\Suitcase.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Temporäres Verzeichnis 1 für KillBox.zip\KillBox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis_v1.99.1.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [HP Update 4200C] G:\HPSCAN~4\hpupdate.exe 4200C+
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BraveSentry] C:\Program Files\BraveSentry\BraveSentry.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Suitcase Startup.lnk = C:\Programme\Extensis\Suitcase 9.2\Suitcase.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122458385046
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.serviceurl.de/InstallationsAssistent.ocx
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

1. Log



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS\system32

17.06.2006 15:30 376.016 perfh009.dat
17.06.2006 15:30 51.814 perfc009.dat
17.06.2006 15:30 62.578 perfc007.dat
17.06.2006 15:30 386.338 perfh007.dat
17.06.2006 15:30 886.752 PerfStringBackup.INI
17.06.2006 15:26 16.603 tablet.dat

17.06.2006 11:42 9.301 rundll32.exe.Z-missing.txt
17.06.2006 11:36 4.286 ot.ico
17.06.2006 11:36 4.286 ts.ico
17.06.2006 11:36 176.128 yvvdj.dll
17.06.2006 11:34 0 hp85C5.tmp
17.06.2006 11:33 27.648 hp88B8.tmp

17.06.2006 10:30 2.206 wpa.dbl
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
29.04.2006 06:07 5.533.696 wmp.dll
22.04.2006 15:36 400.144 FNTCACHE.DAT
14.04.2006 16:56 4.976 ncompat.tlb
14.04.2006 16:43 176.128 stickrep.dll.Delete

17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll

2. Log


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

17.06.2006 15:49 240 datFind.zip
17.06.2006 15:47 16.384 ~DF19F2.tmp
17.06.2006 15:36 104.685 jusched.log
17.06.2006 15:36 16.384 ~DF1C0D.tmp
17.06.2006 15:02 372.330 SmitfraudFix.zip
17.06.2006 15:00 16.384 ~DFA16A.tmp
17.06.2006 14:59 3.806 spyfalcon-1.zip
17.06.2006 14:57 16.384 ~DF2052.tmp
17.06.2006 14:33 3.806 spyfalcon.zip
17.06.2006 11:33 1.440 InoSetup.log
17.06.2006 10:54 797.676 IMT1663.xml
17.06.2006 10:54 426 IMT1662.xml
17.06.2006 10:54 2.036 IMT1661.xml
17.06.2006 10:54 16.384 ~DF5F8A.tmp
17.06.2006 10:51 10.496 MPC165E.tmp
17.06.2006 10:48 797.676 IMT15CC.xml
17.06.2006 10:48 426 IMT15CB.xml
17.06.2006 10:48 2.036 IMT15CA.xml
17.06.2006 10:46 797.676 IMT1595.xml
17.06.2006 10:46 426 IMT1594.xml
17.06.2006 10:46 2.036 IMT1593.xml
17.06.2006 10:46 797.676 IMT1592.xml
17.06.2006 10:46 426 IMT1591.xml
17.06.2006 10:46 2.036 IMT1590.xml
17.06.2006 10:36 797.676 IMT148F.xml
17.06.2006 10:36 426 IMT148E.xml
17.06.2006 10:36 2.036 IMT148D.xml
17.06.2006 10:35 797.676 IMT147F.xml
17.06.2006 10:35 426 IMT147E.xml
17.06.2006 10:35 2.036 IMT147D.xml
17.06.2006 10:33 756 MSI3689e.LOG
11.06.2006 19:52 902 TWAIN.LOG
11.06.2006 19:52 5 Twain001.Mtx
11.06.2006 19:52 156 Twunk001.MTX
15.05.2006 16:11 10.609 vocabulaire.rtf
07.05.2006 22:32 1.170 MSI568a4.LOG
07.05.2006 14:56 717 control.xml
27.04.2006 15:10 939 jupdate1.5.0.xml
22.04.2006 18:01 50.726 SuiteInstaller.log
22.04.2006 01:32 0 ku7970.tmp
22.04.2006 01:32 0 axw96F.tmp
22.04.2006 01:31 0 wgk96E.tmp
21.04.2006 20:37 59.964 Adobelm_Cleanup.0001
21.04.2006 20:00 0 sq0.pdf
18.04.2006 16:26 0 s3ig.pdf
16.04.2006 18:58 19.983 java_install_reg.log
16.04.2006 16:51 0 36v29.tmp
16.04.2006 16:00 0 s33o.pdf
14.04.2006 16:42 178 cli3.bat
14.04.2006 16:42 0 22.tmp
14.04.2006 16:42 0 win21.tmp
14.04.2006 16:42 0 win1C.tmp
14.04.2006 16:41 0 win1A.tmp
14.04.2006 16:41 0 win16.tmp
14.04.2006 16:41 0 win14.tmp
14.04.2006 16:41 178 cli8.bat
14.04.2006 16:41 0 win13.tmp
14.04.2006 16:41 0 win12.tmp
14.04.2006 16:40 826 winD.tmp
14.04.2006 11:45 0 s394.pdf
14.04.2006 00:18 0 4fjB.tmp
14.04.2006 00:18 0 peuA.tmp
13.04.2006 14:16 0 s2fo.pdf
13.04.2006 13:56 3.133 checkhw.log
13.04.2006 11:53 0 smk.pdf
12.04.2006 21:06 0 s15k.pdf
12.04.2006 20:50 0 ekf7.tmp
12.04.2006 15:31 0 s320.pdf
12.04.2006 13:56 0 neo4.tmp
12.04.2006 13:56 0 i5d3.tmp
11.04.2006 17:56 0 s2bc.pdf
10.04.2006 22:13 0 isv41.tmp
10.04.2006 13:24 0 ubeA.tmp
10.04.2006 13:24 0 rhj8.tmp
10.04.2006 13:24 0 xxe7.tmp
10.04.2006 13:23 0 uwy6.tmp
10.04.2006 12:56 0 s2fg.pdf
10.04.2006 12:51 87.396.296 aaj00488
10.04.2006 12:51 168 aak00488
10.04.2006 12:51 355 aai00488
10.04.2006 10:40 0 7i8B.tmp
10.04.2006 10:40 0 na2A.tmp
10.04.2006 10:40 0 3dw8.tmp
10.04.2006 10:33 0 8vs5.tmp
10.04.2006 10:32 0 sf4.pdf
10.04.2006 02:42 0 s3o8.pdf
10.04.2006 01:50 0 xadE.tmp
09.04.2006 23:33 0 7p35.tmp
09.04.2006 23:33 0 s298.pdf

09.04.2006 16:08 797.676 IMTD.xml
09.04.2006 16:08 426 IMTC.xml
09.04.2006 16:08 2.036 IMTB.xml
09.04.2006 16:08 797.676 IMTA.xml
09.04.2006 16:08 426 IMT9.xml
09.04.2006 16:08 2.036 IMT8.xml
09.04.2006 15:26 0 s8g.pdf
04.04.2006 23:25 206 After_Effects_7.0_PRO_Registration_MAC_Complete_Instructions.3438106.TPB.torrent
06.03.2006 21:13 0 s1go.pdf
05.03.2006 22:45 0 dz03.tmp
02.03.2006 15:48 0 s3ns.pdf
02.03.2006 12:50 0 xfk18.tmp
02.03.2006 12:50 0 60e17.tmp
02.03.2006 12:49 0 cgw15.tmp
02.03.2006 12:45 0 fyx12.tmp
02.03.2006 12:45 0 spp11.tmp
02.03.2006 12:45 0 cfeF.tmp
02.03.2006 12:45 0 tu2E.tmp
02.03.2006 12:31 0 mmy9.tmp
02.03.2006 12:26 0 o8d8.tmp
02.03.2006 12:25 0 f4j7.tmp
01.03.2006 19:41 0 ryi12.tmp



3.Log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS

17.06.2006 15:36 1.911.187 WindowsUpdate.log
17.06.2006 15:26 0 0.log
17.06.2006 15:26 159 wiadebug.log
17.06.2006 15:26 3.984 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
17.06.2006 15:25 31.697 spupdsvc.log
17.06.2006 15:25 50 wiaservc.log
17.06.2006 15:25 2.048 bootstat.dat
17.06.2006 15:20 32.626 SchedLgU.Txt
17.06.2006 15:20 108.457 iis6.log
17.06.2006 15:20 251.914 comsetup.log
17.06.2006 15:20 38.268 ocmsn.log
17.06.2006 15:20 299.616 tsoc.log
17.06.2006 15:20 158.328 ntdtcsetup.log
17.06.2006 15:20 1.374 imsins.log
17.06.2006 15:20 11.868 KB917734.log
17.06.2006 15:20 55.684 wmsetup.log
17.06.2006 15:20 432.526 ocgen.log
17.06.2006 15:20 37.155 msgsocm.log
17.06.2006 15:20 743.703 FaxSetup.log
17.06.2006 15:20 236.143 setupapi.log
17.06.2006 15:19 1.374 imsins.BAK
17.06.2006 15:19 13.567 KB918439.log
17.06.2006 15:19 13.925 KB917344.log
17.06.2006 15:19 13.701 KB917953.log
17.06.2006 15:19 17.505 KB916281.log
17.06.2006 15:19 27.869 updspapi.log
17.06.2006 15:19 11.369 KB914389.log
17.06.2006 13:55 116 NeroDigital.ini
17.06.2006 10:32 227.398 setupact.log
15.05.2006 16:36 0 Explorer.EXE.Z-missing.txt
15.05.2006 16:35 488.614 ntbtlog.txt
15.05.2006 16:23 54.156 QTFont.qfn
15.05.2006 13:39 12.074 KB913580.log
30.04.2006 21:44 1.125 winamp.ini
27.04.2006 15:07 14.603 KB900485.log
22.04.2006 17:11 1.409 QTFont.for
14.04.2006 11:41 16.164 KB908531.log
14.04.2006 11:41 15.542 KB911562.log
14.04.2006 11:40 17.239 KB912812.log
14.04.2006 11:40 16.749 KB911565.log
14.04.2006 11:39 11.892 KB911567.log
14.04.2006 11:34 576 wipdate.log
13.04.2006 14:03 1.480 AUTOLNCH.REG
12.04.2006 20:14 750 win.ini
18.02.2006 17:17 10.621 KB911927.log
18.02.2006 17:17 7.674 KB911564.log
18.02.2006 17:16 6.623 KB913446.log
18.02.2006 16:45 1.147.387 setupapi.log.0.old
04.02.2006 14:35 245.345 DirectX.log

4. Log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\

17.06.2006 15:55 0 sys.txt
17.06.2006 15:54 15.054 system.txt
17.06.2006 15:51 46.713 systemtemp.txt
17.06.2006 15:49 104.486 system32.txt
17.06.2006 15:25 1.073.270.784 hiberfil.sys
17.06.2006 15:25 805.306.368 pagefile.sys
11.06.2006 19:52 495 stub.log
22.04.2006 18:00 453 temp.log
09.04.2006 16:06 15.364 .DS_Store
06.12.2004 15:14 211 boot.ini
01.12.2004 18:22 47.564 NTDETECT.COM
01.12.2004 18:22 251.184 ntldr
03.02.2004 20:34 0 CONFIG.SYS
03.02.2004 20:34 0 IO.SYS
03.02.2004 20:34 0 AUTOEXEC.BAT
03.02.2004 20:34 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin
17 Datei(en) 1.879.063.628 Bytes
0 Verzeichnis(se), 15.375.994.880 Bytes frei
Seitenanfang Seitenende
17.06.2006, 23:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Okto1967

es muesste wieder alles o.k. sein ;) kommen noch PopUps ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.06.2006, 23:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 befallener

1.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

BraveSentry

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.06.2006, 02:33
...neu hier

Beiträge: 3
#15 danke für die ersten tips, sabina.

habe cleanup ausgeführt, danach neustart, dann registry search ausgeführt:

("Your computer is infected" kommt nach dem neustart allerdings immernoch.)

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 18.06.2006 02:28:33 for strings:
; 'enter search strings'
; 'bravesentry'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-2879836604-895034904-3579647907-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BraveSentry]

[HKEY_USERS\S-1-5-21-2879836604-895034904-3579647907-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\Daniel\\Desktop\\BraveSentrySetup.exe"="BraveSentrySetup"
"C:\\Program Files\\BraveSentry\\BraveSentry.exe"="BraveSentry"
"C:\\Program Files\\BraveSentry\\Uninstall.exe"="Uninstall"

; End Of The Log...


irgendwie habe ich nicht so recht verstanden, wo ich bei regedit "BraveSentry" reinschreiben soll, ich fand keinen menüpunkt "edit"


habe zu cleanup! noch eine frage:

Zitat

Klicke den CleanUp! Button, um das Programm zu starten
Wenn man am Ende gefragt wird, ob der PC neustarten soll (reboot), klicke "yes"
bei mir kam ein popup, das sagte, dass es sich um eine Demoversion handele und es soundsoviele dateien erwischt hätte, wenn man den cleanup wirklich durchgeführt hätte. das habe ich einfach per "ok" abgenickt und habe dann manuell den reboot durchgeführt.
war das richtig?
Dieser Beitrag wurde am 18.06.2006 um 02:45 Uhr von befallener editiert.
Seitenanfang Seitenende