Spyware - bin mir nicht sicher ob ich alles erwischt hab

#1 Hi
hab seit paar Tagen Probleme gehabt mit Spyware (gelbes Warndreieck, Virus Warnung, Pop-Up Fenstern und verstellter Homepage). Hab nun verschiedenes abgearbeitet von http://www.forum.windows-tweaks.info/thread.php?threadid=19204
und
http://virus-protect.org/artikel/spyware/spywarequake.html
und soweit ich es beurteilen kann hab ich keine Probleme mehr. Wollte jetzt eigentlich nur nochmal fragen ob ihr nochwas seht.



Logfile of HijackThis v1.99.1
Scan saved at 13:47:51, on 22.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\Anti Spy Ware\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142391625212
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C6C-2C27

Verzeichnis von C:\WINDOWS\system32

22.06.2006 13:19 2.206 wpa.dbl
22.06.2006 01:39 2.550 Uninstall.ico
22.06.2006 01:39 1.406 Help.ico
22.06.2006 01:18 0 asfiles.txt
19.06.2006 04:36 2.957 x_dtrace_log
19.06.2006 04:36 14 getfile.dat
12.06.2006 09:24 228.800 FNTCACHE.DAT
11.06.2006 09:18 57.384 avsda.dll
09.06.2006 03:19 5.967.776 MRT.exe
07.06.2006 12:51 6.067 EPPICResdb0000
07.06.2006 12:51 117 EPPICResdb
02.06.2006 13:39 579.888 LegitCheckControl.dll
02.06.2006 13:39 286.000 WgaTray.exe
02.06.2006 13:39 402.736 WgaLogon.dll
01.06.2006 22:18 14.048 spmsg.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
06.04.2006 20:11 3.596.288 qt-dx331.dll
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
26.03.2006 12:37 380.684 perfh009.dat
26.03.2006 12:37 53.098 perfc009.dat
26.03.2006 12:37 391.574 perfh007.dat
26.03.2006 12:37 63.976 perfc007.dat
26.03.2006 12:37 897.954 PerfStringBackup.INI
21.03.2006 21:11 3.136 dtu_de.qm
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C6C-2C27

Verzeichnis von C:\DOKUME~1\Andy\LOKALE~1\Temp

17.02.2006 16:55 143.360 SSUPDATE.EXE
1 Datei(en) 143.360 Bytes
0 Verzeichnis(se), 30.581.686.272 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C6C-2C27

Verzeichnis von C:\WINDOWS

22.06.2006 12:52 1.067.679 WindowsUpdate.log
22.06.2006 12:52 159 wiadebug.log
22.06.2006 12:52 50 wiaservc.log
22.06.2006 12:52 0 0.log
22.06.2006 12:52 2.048 bootstat.dat
22.06.2006 09:33 32.604 SchedLgU.Txt
22.06.2006 01:39 32 pavsig.txt
22.06.2006 01:18 780 win.ini
22.06.2006 01:16 822.980 setupapi.log
21.06.2006 22:56 748.722 ntbtlog.txt
21.06.2006 14:16 174.717 setupact.log
19.06.2006 19:33 2.899 mozver.dat
19.06.2006 19:19 0 nsreg.dat
19.06.2006 18:30 19 SoundConverter.INI
19.06.2006 18:13 69 NeroDigital.ini
19.06.2006 03:15 33.428 spupdsvc.log
19.06.2006 03:13 8.450 WgaNotify.log
19.06.2006 03:13 22.288 updspapi.log
19.06.2006 03:10 15.176 WGA.log
15.06.2006 20:52 79.671 ntdtcsetup.log
15.06.2006 20:52 133.179 comsetup.log
15.06.2006 20:52 56.507 iis6.log
15.06.2006 20:52 1.374 imsins.log
15.06.2006 20:52 143.363 tsoc.log
15.06.2006 20:52 20.490 ocmsn.log
15.06.2006 20:52 11.243 KB917734.log
15.06.2006 20:52 112.697 wmsetup.log
15.06.2006 20:52 183.986 ocgen.log
15.06.2006 20:52 18.556 msgsocm.log
15.06.2006 20:52 361.080 FaxSetup.log
15.06.2006 20:51 1.374 imsins.BAK
15.06.2006 20:51 14.743 KB918439.log
15.06.2006 20:51 15.099 KB917344.log
15.06.2006 20:51 14.874 KB917953.log
15.06.2006 20:51 14.854 KB911280.log
15.06.2006 20:50 18.133 KB916281.log
15.06.2006 20:50 11.682 KB914389.log
07.06.2006 12:47 29 DEBUGSM.INI
06.06.2006 22:59 817 cdplayer.ini
05.06.2006 15:12 790 stwin05.ini
05.06.2006 15:12 112 d2hnav.ini
23.05.2006 00:53 63 mdm.ini
22.05.2006 22:47 316.640 WMSysPr9.prx
20.05.2006 21:07 400 ODBC.INI
20.05.2006 21:07 4.335 ODBCINST.INI
20.05.2006 21:06 59 vbaddin.ini
10.05.2006 12:54 3.303 tm.ini
10.05.2006 01:35 13.209 KB913580.log
25.04.2006 22:32 11.299 KB900485.log
15.04.2006 20:15 20.611 KB908531.log
15.04.2006 20:14 0 PROTOCOL.INI
15.04.2006 20:14 15.146 KB911562.log
15.04.2006 20:13 17.140 KB912812.log
15.04.2006 20:13 21.745 KB911565.log
15.04.2006 20:12 10.862 KB911567.log
09.04.2006 18:31 50.176 uninstyler.exe
09.04.2006 17:31 118 tdf.dii
07.04.2006 09:21 9.983 KB901190.log
24.03.2006 16:58 139 dinksmallwood.ini
19.03.2006 19:46 1.080 gramit32.cfg
19.03.2006 04:21 236 wmsetup10.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C6C-2C27

Verzeichnis von C:\

22.06.2006 13:26 0 sys.txt
22.06.2006 13:26 8.238 system.txt
22.06.2006 13:25 292 systemtemp.txt
22.06.2006 13:21 98.548 system32.txt
22.06.2006 12:51 591.396.864 pagefile.sys
15.03.2006 06:38 211 boot.ini
15.03.2006 06:38 211 boot.ini.SAB
15.03.2006 06:22 47.564 NTDETECT.COM
15.03.2006 06:22 251.184 ntldr
15.03.2006 03:39 603 TO_InstallLog.txt
15.03.2006 01:46 184 Setup.log
15.03.2006 00:55 0 IO.SYS
15.03.2006 00:55 0 CONFIG.SYS
15.03.2006 00:55 0 AUTOEXEC.BAT
15.03.2006 00:55 0 MSDOS.SYS



10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C6C-2C27

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
25.07.2002 18:05 172.032 isusweb.dll
02.12.2005 12:55 5.101 swflash.inf
26.05.2005 05:19 291 wuweb.inf


Vielen Dank schon mal im voraus
Andy

#2 kommen noch popups ? meiner meinung nach ist alles sauber, aber du kannst noch mal mit smitrfaud.fix drueberbuegeln, falls du es nicht schon getan hast
http://virus-protect.org/artikel/tools/smitfrautfix.html

-------------------------------------------------------------------
unabhaengig vom SpywareQuake:

das sollte raus:

Verzeichnis von C:\WINDOWS\system32
19.06.2006 04:36 2.957 x_dtrace_log
19.06.2006 04:36 14 getfile.dat

Verzeichnis von C:\WINDOWS
09.04.2006 18:31 50.176 uninstyler.exe

siehe:
http://research.sunbelt-software.com/threatdisplay.aspx?name=DarkOmen&threatid=29193
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Popups kommen keine mehr und mit smitrfaud.fix hab ich auch schon gecheckt.
Vielen Dank für die Hilfe. Hätte erst gedacht des wird komplizierter aber dank euerer Hilfe kein Problem.

MFG Andy